Problem z Robakiem w plikach systemowych


(Damaroc) #1

Witam wszystkich userów gdyż jestem nowy na forum :wink:

Mam problem z tzw "robakiem" jak widać na scr poniżej.

[log skanera antywirusa NOD32]

wirusy.jpg

Komputer jest świeżo po formacie gdyż miałem problem z zrywaniem połączenia internetu i musiałem resetować połączenie żeby połączyć się na nowo, było to uciążliwe. Po formacie miałem nadzieje że tego problemu już nie będę miał lecz sie zawiodłem. Po skanie zaraz po instalacji windy od razu miałem w systemie takie wirusy a problem zrywania połączenia wciąż występował.

Skan Ad-Aware nie pomógł a nod32 niby usunął robaka ale połączenie dalej ma ten sam problem.

Logi z Hijacka:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:39:27, on 2009-06-18

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\cFosSpeed\spd.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\cFosSpeed\cFosSpeed.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Damaroc\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

D:\Tlen.pl\tlen.exe

C:\Documents and Settings\Damaroc\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Damaroc\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Eset\nod32.exe

C:\Documents and Settings\Damaroc\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Damaroc\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Damaroc\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

C:\DOCUME~1\Damaroc\USTAWI~1\Temp\Katalog tymczasowy 1 dla HiJackThis (1).zip\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsServer] msfun80.exe

O4 - HKCU\..\Run: [Komunikator] "D:\Tlen.pl\tlen.exe" 

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Damaroc\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\daemon.exe -autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{6CF82EC4-E82C-4075-A92D-08C446795F06}: NameServer = 10.1.3.1

O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


--

End of file - 3686 bytes

Liczę na pomoc, jeżeli będą potrzebne dodatkowe informacje to piszcie w temacie :slight_smile:


(deFco247) #2

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Fix w HiJackThis: ( Do a system scan only -> zaznaczasz pola przy podanych niżej wpisach -> Fix checked )

Ten robak przenosi się przez pamięci przenośne, dlatego zabezpiecz i wylecz je tymi narzędziami.

Pobierz Combofix, ale nie uruchamiaj.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Otwórz Notatnik i wklej do niego:

File::

C:\fun.xls.exe

C:\WINDOWS\system32\msime82.exe

C:\WINDOWS\system32\msfun.exe

D:\fun.xls.exe

Plik zapisz jako CFScript.txt , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

Potem dajesz log z usuwania Combofix.


(Damaroc) #3

Pobrałem combofixa i zrobiłem tak jak napisałeś powyżej ale zaniepokoiło mnie to ze piszczał mi o tym ze mam antywirusa włączonego pomimo że go wyłączyłem oraz jakieś komunikaty ze mam nie oryginalną jego wersje.

Tu są logi po skanowaniu:

http://wklej.org/id/108500/?zawin=1

Internet dalej się rozłącza :(... Jeszcze bardziej uporczywie.

A co do pamięci przenośnej to na pendrive oraz na palmtopie którego często podłączałem do kompa mogę mieć tego robaka?

O co chodzi z tym czarnym ekranem który ma się pojawiać przy starcie systemu? Będzie to można wyłączyć?


(deFco247) #4

Akurat NOD znany jest z tego, że nigdy go się nie da wyłączyć. :stuck_out_tongue:

Log wygląda na czysty.

Menu Start -> Uruchom... -> Combofix /u

Przeczyść system CCleanerem.

Usuń zbędniki z autostartu.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport.

problem-usunieciem-konsoli-odzyskiwania-systemu-t335985.html