Problem z kompem-zamulony totalnie

barbal10 · 8 Lipiec 2008 08:23

Witam !

Prośba o sprawdzenie loga. Totalnie zamulony komputer przy połączeniu z netem, jakby gdzieś coś w tle pracowało.

Log Hijack

http://wklejto.pl/txt5203

eyeti · 8 Lipiec 2008 08:27

To mi wygląda podejrzanie

djarta · 8 Lipiec 2008 09:08

Infekcja " Vundo "

O1 - Hosts: 202.165.102.205 972.aksjd11.com O1 - Hosts: 202.165.102.205 w3og.cn O1 - Hosts: 203.208.35.100 qazc.fourtw.cn O1 - Hosts: 203.208.35.100 http://www.aujoy.cn O1 - Hosts: 203.208.35.101 http://www.hao601.cn O1 - Hosts: 203.208.35.101 http://www.psp476.cn O1 - Hosts: 72.14.235.99 222.1212l112.net O1 - Hosts: 72.14.235.99 444.1212l112.netn O1 - Hosts: 72.14.235.99 555.1212l112.net O1 - Hosts: 72.14.235.99 111.1212l112.net O1 - Hosts: 65.55.21.250 111.3243l24.com O1 - Hosts: 65.55.21.250 222.3243l24.com O1 - Hosts: 65.55.21.250 333.3243l24.com O1 - Hosts: 125.64.8.112 kao2.gmwo03.com O1 - Hosts: 125.64.8.112 kao.gmwo06.com O1 - Hosts: 125.64.8.112 444.gmwo07.com O1 - Hosts: 116.252.185.15 ru.update365.us O1 - Hosts: 116.252.185.15 ad.update365.us O1 - Hosts: 207.46.232.182 popmails.net O1 - Hosts: 203.208.37.99 3.goodhh.com O1 - Hosts: 220.181.37.55 down.rwixr.com O1 - Hosts: 160.79.42.52 http://www.xdj2008.com O1 - Hosts: 63.175.76.152 http://www.revtr.cn O1 - Hosts: 219.133.40.91 qq.ljsll.com O1 - Hosts: 203.208.35.102 http://www.aassccwe.cn O1 - Hosts: 209.132.177.50 973.aksjd11.com O1 - Hosts: 209.132.177.50 974.aksjd11.com O1 - Hosts: 209.132.177.50 971.aksjd11.com O1 - Hosts: 209.132.177.50 975.aksjd11.com O1 - Hosts: 72.14.235.104 user1.12-39.net O1 - Hosts: 72.14.235.147 http://www.infomt.net O1 - Hosts: 192.150.18.101 ata1.sysions.net O1 - Hosts: 192.150.18.101 ata2.sysions.net O1 - Hosts: 192.150.18.101 ata3.sysions.net O1 - Hosts: 192.150.18.101 ata4.sysions.net O1 - Hosts: 193.120.42.226 8nnnnn99.cn O1 - Hosts: 24.39.54.34 http://www.haoaoao.cn O2 - BHO: tisqatyu.dll - {18093456-9012-4568-9076-908765467181} - C:\WINXP\system32\tisqatyu.dll (file missing) O2 - BHO: ijdyapaw.dll - {1A698452-C5D8-C584-C256-C264C987C5A1} - C:\WINXP\system32\ijdyapaw.dll (file missing) O2 - BHO: detxbiua.dll - {20618412-C528-C784-C056-C164D1F7C502} - C:\WINXP\system32\detxbiua.dll (file missing) O2 - BHO: lassaplo.dll - {2B69874A-C58C-458D-69F0-698F874E41B2} - C:\WINXP\system32\lassaplo.dll O2 - BHO: lassaplo.dll - {2B69874A-C58C-458D-69F0-698F874E41B2} - C:\WINXP\system32\lassaplo.dll O2 - BHO: nhmxcjkl.dll - {37AC9076-C898-B098-D098-A18319080973} - (no file) O2 - BHO: nhmxcjkl.dll - {37AC9076-C898-B098-D098-A18319080973} - (no file) O2 - BHO: apzhctde.dll - {3D698451-2015-6358-9871-2015987452D3} - C:\WINXP\system32\apzhctde.dll (file missing) O2 - BHO: mpwddapi.dll - {45694105-5108-9405-3695-954187462154} - (no file) O2 - BHO: nhmxdjkl.dll - {47AC9076-C898-B098-D098-A18319080974} - C:\WINXP\system32\nhmxdjkl.dll (file missing) O2 - BHO: zycbdime.dll - {4A698102-5904-AFD0-20DF-CD1A65829CA4} - C:\WINXP\system32\zycbdime.dll O2 - BHO: zptlcsys.dll - {50940F85-F015-14F1-A05F-F69858AC6D05} - C:\WINXP\system32\zptlcsys.dll (file missing) O2 - BHO: zptlcsys.dll - {50940F85-F015-14F1-A05F-F69858AC6D05} - C:\WINXP\system32\zptlcsys.dll (file missing) O2 - BHO: ptjhehlp.dll - {528DF602-9541-A985-210A-984A698C6F25} - C:\WINXP\system32\ptjhehlp.dll O2 - BHO: mpwdeapi.dll - {55694105-5108-9405-3695-954187462155} - C:\WINXP\system32\mpwdeapi.dll O2 - BHO: ozfyebyt.dll - {5A069845-2036-6084-9054-6087502480A5} - C:\WINXP\system32\ozfyebyt.dll O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file) O2 - BHO: arjrdler.dll - {6C69034A-F45F-D34D-A33A-C33C4D324FC6} - (no file) O2 - BHO: apsgfjba.dll - {6FD45A54-9875-698F-E56E-65102358FDF6} - (no file) O2 - BHO: mndsgsrv.dll - {77FD640A-158F-48AC-FD14-1597F14A9777} - (no file) O2 - BHO: zxmsdwin.dll - {7A041F13-A111-12A3-B0CF-F99818AA68A7} - C:\WINXP\system32\zxmsdwin.dll (file missing) O2 - BHO: arjreler.dll - {7C69034A-F45F-D34D-A33A-C33C4D324FC7} - (no file) O2 - BHO: mnmhgsrv.dll - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - C:\WINXP\system32\mnmhgsrv.dll O2 - BHO: mnmhgsrv.dll - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - C:\WINXP\system32\mnmhgsrv.dll O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINXP\Downloaded Program Files\ThunderAdvise.dll O2 - BHO: arjrgler.dll - {9C69034A-F45F-D34D-A33A-C33C4D324FC9} - C:\WINXP\system32\arjrgler.dll (file missing) O2 - BHO: s2da2f323.dll - {A629FF4F-ACDB-5C90-A098-FACB3456A26A} - (no file) O2 - BHO: zyzxjime.dll - {AA59145F-315D-BC23-AC1F-145DF81A34AA} - C:\WINXP\system32\zyzxjime.dll O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file) O20 - AppInit_DLLs: tuker.dll,ujkwet.dll,asefry.dll,sdvj.dll,asfhjy.dll,hjukrt.dll,dhdhvv.dll,asfjthj.dll,hmsdvf.dll,jrhhh.dll,sdrfh.dll,vhsdfg.dll,dger.dll,hjdrg.dll,kergt.dll,gfcfg.dll,reger.dll,hrergh.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,ghkrg.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,yukevg.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,ghthhh.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,

>>Hijack>>scan(Do a system scan only)>>zaznacz je >>Fix checked.

Daj log z Combofix

barbal10 · 8 Lipiec 2008 11:31

Zrobiłem tak jak napisałeś, a oto log z Combifixa

http://wklejto.pl/txt5225 :roll:

huber2t · 8 Lipiec 2008 12:25

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\Temp\catchme.dll

C:\WINXP\system32\qbhxaklo.sys

C:\WINXP\system32\hellodonk.exe

C:\WINXP\system32\ngjxakin.sys

C:\WINXP\system32\weblsok.exe

C:\WINXP\system32\verptw.dll

C:\WINXP\system32\quaryfy.dll

C:\WINXP\system32\quaryfyk.exe

C:\WINXP\system32\qflxs.dll

C:\WINXP\system32\hellodon.dll

C:\WINXP\system32\weblso.dll

C:\WINXP\system32\yitalle.dll

C:\WINXP\system32\mrsingd.dll

C:\WINXP\system32\mrsingdk.exe

C:\WINXP\system32\msbod.dll

C:\WINXP\system32\msbodk.exe

C:\WINXP\system32\woasick.dll

C:\WINXP\system32\jfdses.dll

C:\WINXP\system32\ypdjhbmp.dll

C:\WINXP\system32\jfdses.dll

C:\WINXP\system32\mstimewd.dll

C:\WINXP\system32\pedadt.dll

C:\WINXP\system32\yxcsdhlp.dll


C:\WINXP\system32\zptldsys.dll

C:\WINXP\system32\detxciua.dll 

C:\WINXP\system32\mnmhhsrv.dll

C:\WINXP\system32\apzhdtde.dll"

C:\WINXP\system32\detxciua.dll


Folder::

C:\WINXP\AppPatch


Registry::

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B}"=-

"{00180018-0018-0018-0018-00180018BB15}"=-

"{5E907A48-400E-4EA8-9792-FFAE052D59E9}"=-

"{45671234-7890-ABCD-CDEF-567801237654}"=-

"{60940F85-F015-14F1-A05F-F69858AC6D06}"=-

"{30618412-C528-C784-C056-C164D1F7C503}"=-

"{4D698451-2015-6358-9871-2015987452D4}"=-

"{8C8D1401-A58D-A81C-CD24-A5915C4517C8}"=-

"{A1954FAC-1023-154F-895A-1458258AD81A}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"mstimewd"=-

"DesktopWin"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a34d729c-9a84-11dc-8f1d-0000392130a2}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

barbal10 · 8 Lipiec 2008 13:39

O.k.

Zrobiłem tak jak kazałeś.

A oto log :

http://wklejto.pl/txt5236

Czekam na odpowiedź :roll:

Gutek · 10 Lipiec 2008 08:42

Wklej do Notatnika:

File::

C:\Temp\wmsetup.dll

C:\WINXP\system32\agxyaloe.exe

C:\WINXP\system32\akjsfkaq.dll

C:\WINXP\system32\aoqnabib.sys

C:\WINXP\system32\apsggjba.dll

C:\WINXP\system32\arjrhler.dll

C:\WINXP\system32\dazfajke.exe

C:\WINXP\system32\dehxaklo.exe

C:\WINXP\system32\dfqnabib.exe

C:\WINXP\system32\dtzfajke.sys

C:\WINXP\system32\erjxakin.sys

C:\WINXP\system32\erxybloe.dll

C:\WINXP\system32\fd233ds4f3.dll

C:\WINXP\system32\fdtxaiua.exe

C:\WINXP\system32\ictxaiua.sys

C:\WINXP\system32\ietzcpaq.dll

C:\WINXP\system32\igxyaloe.sys

C:\WINXP\system32\iujraler.sys

C:\WINXP\system32\mkjraler.exe

C:\WINXP\system32\mndshsrv.dll

C:\WINXP\system32\nhmxejkl.dll

C:\WINXP\system32\nttzapaq.sys

C:\WINXP\system32\oltzapaq.exe

C:\WINXP\system32\pqzfajke.dll

C:\WINXP\system32\pusqakol.exe

C:\WINXP\system32\rijxbkin.dll

C:\WINXP\system32\sbsqakol.sys

C:\WINXP\system32\skqnebib.dll

C:\WINXP\system32\smdsbsrv.sys

C:\WINXP\system32\snfybbyt.sys

C:\WINXP\system32\stjxakin.exe

C:\WINXP\system32\tisqctyu.dll

C:\WINXP\system32\tjfyabyt.exe

C:\WINXP\system32\tpfsajbo.exe

C:\WINXP\system32\tysqbkol.dll

C:\WINXP\system32\vlhxaklo.sys

C:\WINXP\system32\xbfsbjbo.sys

C:\WINXP\system32\xscqbhlp.sys

C:\WINXP\system32\xsdjbbmp.sys

C:\WINXP\system32\yzztlmsn.dll

C:\WINXP\system32\zscqahlp.exe

C:\WINXP\system32\zsdjabmp.exe

C:\WINXP\system32\zxmsewin.dll

C:\WINXP\system32\zywmgime.dll

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html

barbal10 · 11 Lipiec 2008 14:03

Zrobiłem wszystko zgodnie z zaleceniami.

Oto raporty :

http://wklejto.pl/txt5498

huber2t · 11 Lipiec 2008 14:19

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

barbal10 · 11 Lipiec 2008 17:12

Hmm…Niby wszystko już jest o.k. ale regularnie pojawia sie próba ataku trojanem murlo. Mam NOD 32 i on co pewien czas melduje o takim ataku.

Czy coś z tym mogę zrobić ?