Problem z plikami dll - wirus? logi Hijacki i Silent Runners

Naruto8 · 14 Kwiecień 2008 20:53

Witam.

na sam początek wspomnę że napisanie tego postu zajęło mi jakieś 20 min ( tak chodzi mój komputer)

do rzeczy:

Komputer z moim Windows XP chodził sprawnie. Miałem zainstalowanego Avasta, robiłem co jakiś czas skan i nic. Pdejrzewam jednak ze coś przyniosłem w weekend ze szkoły na penie ( wczesniej miałem ufo.exe ale szuybko sobie poradziłem). Inaczej tego nie wyjaśnię, bo sysyem od dzisiaj rana bez rzadnej wyrańznej przyczyny wariuje. więc tak:

NOD 32 wykrył “podejrzenie wirusa” w pliku secpol.exe ( nie usuwałem bo to chyba ważny plik systemowy)
Mam zainstalowanego Trojan Remover i od wczoraj - konkretnie przy “startup scan” mi się “zwiesił” przy sprawdzaniu plików ddl w katalogu windows. Podejrzewam ze w tym pliku wąłśnie coś siedzi ( albo dzieje się coś niedobrego - o tym niżej)
Nie miałem wczesniej problemów ze sterownikami do mojej grafiki ( PowerColor ATI Radeon X1950 Pro 512 Artci Cooling PCI-E ). Jednak przy próbie zrobienia loga Hijack This program ten też “sie zwiesił” jak Trojan Remover, przy czym wyskoczył komunikat mówiący że nie można przerwac procesu gdyż jest on niedostępny ( coś takiego) - a mówił on o sterownikach graficznych. Stwierdziłem ze mam jakieś problemy ze sterami, “przeinstaluje je” powiedziałem sobie, więc w trybie awaryjnyw wziąłem panel sterowania-> odinstaluj programy i sterowniki do karty graficznej ( reinstalkę robiłem kiedyś już i nie miałem z żadnych kłopotów). Cóż… wyskoczył błąd, stery znikły z listy ale w folderach nadal siedzą… Nie wiem jak ustrojstwo odinstalowac ( zaraz mam zamiar zainstalowac ponownie “na miejsce” starych)

To tyle w skrócie…

Uruchomiłem haxfix i nic nie znalazł.

raport głosił tylko:

"matchig notify keys found

ATIE"

oraz

"matchig services found

ASPI32"

Combofix mam wrażenie że się wywala, ale raz tylko próbowałem i może dlategio że odpalił mi w czasie skanu Windows inny program, uruchomiony-notabene-jakieś 10 min. temu)

Silent Runers uruchamiałem i wywaalił mi komunikat z błędem również, ale zaraz spróbuję ponownie…

Poniżej daję screena z hijacka - tyle mi się udało nim zrobic:

Wspomnę że programy ogólnie chodzą normalnie tzn. nie ma jakiś zwiech czy też dysk/procesor nie pracuje intensywnie. Problem polega na tym gdy probuję coś uruchomic - potrafi mi sie to uruchamiac np. 4 minuty jak w przypadku notatnika czy painta) , czas reakcji jest opóźniony ( a na mój komputer to czekam już 20 min i się nie doczekam, wcześniej ładował się z opóźnieniem ale jednak). Na początku ładowania windows pasek menu START jest nieaktywny, dopiero jakieś 6 nim po wlączeniu windows wyskakuje komunikat że jest nierozpoznane urządzenie 9 jest to tuner tv którego od dawna nie instalowałem) i po tym komunikacie wraca pasek do świata zywych

Na koniec powiem ze windows nie zamyka się sam z siebie, muszę wyączyc komputer przyciskiem, innej rady nie ma

Pozdrawiam

EDIT

jakoś udało mi się przeinstalowac sterowniki, oto logi:

http://wklej.org/id/8a7d10c85b

http://wklej.org/id/3d7999ad43

huber2t · 15 Kwiecień 2008 01:48

fix w hijackthis

O1 - Hosts: 87.118.118.4 nnm-club.ru O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM…\Run: [V0420Mon.exe] C:\WINDOWS\V0420Mon.exe O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_01] cmd.exe /c md “%USERPROFILE%\Ustawienia lokalne\Temp” (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_03] cmd.exe /c md “%SystemRoot%\System32\dllcache” (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_04] cmd.exe /C move /Y “%SystemRoot%\System32\syssetub.dll” “%SystemRoot%\System32\syssetup.dll” (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\RunOnce: [nlpo_01] cmd.exe /c md “%USERPROFILE%\Ustawienia lokalne\Temp” (User ‘USŁUGA SIECIOWA’)

Spróbuj dać log z Combofix

Naruto8 · 15 Kwiecień 2008 08:45

więc Kaspersky skaner on-line wykrył mi wira w pliku secpol.exe w katalogu windows/system32 . był to jeden z wirusów z rodziny Worm.Win32.AutoRun . googlowałem ale nie mogłem znaleźc o tym moim konkretnym przypadku wiele, więc zainstalowałem program Spyware Doctor i przeskanowałem system… Cż mogę powiedziec… znalazł mi on jaiegoś trojana którego trojan remover nie znajdował + “pozbył się” wspomnianego wyżej robaka… usuwając plik ( systemowy?) secpol.exe. Ciekawe jak mój system bez tego pociągnie ( i tak mam zamiar reinstalkę w czerwcu robic)

Podmieniłem też plik sens.dll ( wyłączylem unlockerem i podmieniłem) - pomogło od razu, to właśnie przy tym pliku ( wspominałem wyżej, ale nie wymieniłem nazwy) wszystko się zacinało.

Tak wiec mam wrażenie że mam spokój na jaki czas ale i że mj windows przez te boje nie jest taki jak byc powinien

na koniec: log z combofix:

http://wklej.org/id/aeb84bb14a

Pozdrawiam

huber2t · 15 Kwiecień 2008 15:55

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\sens.dll

C:\WINDOWS\DA0BF7AB88EB46758FA1531EAD938821.TMP

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka

CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox