Problem z services.exe - log HjT

4dr14n · 19 Styczeń 2008 10:29

Problem polega na tym, ze coś mi się skopiowało ze strony netowej, ale nie wiem co i próbuje się za kazdym razemprzy włączeniu kompa połączyc z netem, chcąc ściągnąc jakiś plik. W ZoneAlarm, dałem opcję “deny always”, ale pojawił się “krytyczny proces systemu windows” o nazwie services.exe, który co kilka sekund wykorzystuje procka w 100%. Nawet Ad-aware mi się zawiesił :|. Daję więc loga, bo nie wiem co można jeszcze i prosze o sprawdzenie

Logfile of HijackThis v1.99.1 Scan saved at 11:25:35, on 2008-01-19 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\drivers\spool.exe C:\WINDOWS\system32\drivers\spool.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\drivers\spool.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\USB Disk Win98 Driver\Res.EXE C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\LEXBCES.EXE C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\taskmgr.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient .exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Documents and Settings\Elyan\Pulpit\programy\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ F3 - REG:win.ini: load=C:\WINDOWS\system32\ddayx.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\drivers\spool.exe C:\WINDOWS\system32\userinit.exe O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll (file missing) O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKLM…\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [uSB Storage Toolbox] C:\Program Files\USB Disk Win98 Driver\Res.EXE O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM…\Run: [GCXX-Manager-Class] “C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe” -startup O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe” O4 - HKLM…\Run: [autoload] C:\Documents and Settings\Elyan\Local Settings\Application Data\cftmon.exe O4 - HKLM…\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Niezbędnik Internauty] C:\Program Files\HT NETWORKS\Niezbędnik Internauty\Niezb.exe O4 - HKCU…\Run: [CLAUDIO] C:\Program Files\XemiComputers\Claudio\Claudio.exe O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU…\Run: [autoload] C:\Documents and Settings\Elyan\Local Settings\Application Data\cftmon.exe O4 - HKCU…\Run: [ntuser] C:\WINDOWS\system32\drivers\spool.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Urządzenie mobilne Apple (Apple Mobile Device) - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Harmonogram zadań (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spool.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

arekmalek · 19 Styczeń 2008 12:41

Trochę tego jest =D> :lol:

Automat:

Daj log z combofix

4dr14n · 20 Styczeń 2008 11:07

Jest gożej niż było. Okazuje się, ze teraz nie mogę w ogóle korzystać z kompa, gdyż windows w ogóle się nie chc e uruchomic. Tzn tylko w tym sensie, ze pokazuje si e pulpit, ale żadne ikony i nawet paska na dole nie ma - tylko obrazek z pulpitu. Próbowałem uruchomić w stanie awaryjnym, ale tam w ogóle mam czarny obraz, więc zresetowałem i włączył się spowrotem w normalnym trybie ale po chwili, otrzymałem wiadomość, że komputer zosanie wyłączony za 60 sekund, i tak odlicza do zera, a potem się wiesza, nawet się nie wyłącza.

Moze znacie sposób, którym można byłoby go przywrócic do poprzedniego stanu, np z 19 stycznia, bo wczoraj tworzyłem punkt przywracania systemu. Niestety z pozycji wundowsa tego chyba nie zrobię, bo ciąglę widzę tylko pulpit, a raczej obrazek pulpitu i nic więcej

Pomóżcie ![-o<

4dr14n · 20 Styczeń 2008 11:17

Ok, mam już. Wystarczyło ctr alt del, i nowe zadanie w postaci explorer.exe, ale w menedżerze zadań zauważyłem nowe procesy. Obok cli.exe, pojawił się cli .exe - z odstępem w nazwie między “cli”, a “.exe”, to samo ze “spool.exe”, jest również “spool .exe”. Postaram sie dać jak najszybciej ten log dać.

4dr14n · 20 Styczeń 2008 12:16

Teraz log z combofix’a, ale jest strasznie długi i w zasadzie to nie wiem co jest najważniejsze, dlaego, wkleję całość

ComboFix 08-01-20.1 - Elyan 2008-01-20 12:31:14.1 - NTFSx86 Running from: C:\Documents and Settings\Elyan\Pulpit\ComboFix.exe * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\d.exe C:\Program Files\Helper C:\Program Files\Helper\superfindout.dll C:\WINDOWS\system32\ctfmon.exe.tmp C:\WINDOWS\system32\ddayx.dll C:\WINDOWS\system32\ddayx.exe C:\WINDOWS\system32\drivers\spool.exe C:\WINDOWS\system32\fccaxxx.dll C:\WINDOWS\system32\hggedbb.dll C:\WINDOWS\system32\info.txt C:\WINDOWS\system32\koos.exe C:\WINDOWS\system32\kprof C:\WINDOWS\system32\packet.dll C:\WINDOWS\system32\poof C:\WINDOWS\system32\winhab32.dll C:\WINDOWS\system32\xyadd.ini C:\WINDOWS\system32\xyadd.ini2 C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat . . . . failed to delete C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat . . . . failed to delete ----- Unknown downloads made by BITS: ---- http://hq-pharma.org . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_MSUDP4 -------\LEGACY_POOF -------\msudp4 -------\nm ((((((((((((((((((((((((( Files Created from 2007-12-20 to 2008-01-20 ))))))))))))))))))))))))))))))) . 2008-01-20 12:57 . 2008-01-20 12:58 319 --ahs---- C:\WINDOWS\system32\xyadd.ini 2008-01-20 12:56 . 2008-01-20 12:56 338,432 --a------ C:\WINDOWS\system32\ddayx.exe 2008-01-20 12:53 . 2008-01-20 12:54 334,848 --------- C:\WINDOWS\system32\ddayx.dll 2008-01-20 12:28 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-20 12:13 . 2008-01-20 12:54 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe 2008-01-20 10:32 . 2008-01-20 12:05 22,528 --a------ C:\WINDOWS\system32\drivers\spool .exe 2008-01-18 23:14 . 2008-01-18 23:14 6,656 —hs---- C:\Documents and Settings\LocalService\msftp.dll 2008-01-18 12:37 . 2008-01-18 12:37 41,984 --a------ C:\meghk.exe 2008-01-18 12:37 . 2008-01-20 12:28 14,080 --a------ C:\WINDOWS\system32\drivers\sysproc.sys 2008-01-18 12:37 . 2008-01-18 12:37 6,656 —hs---- C:\WINDOWS\system32\msftp.dll 2008-01-18 12:37 . 2008-01-18 12:37 6,656 —hs---- C:\Documents and Settings\Elyan\msftp.dll 2008-01-18 12:37 . 2008-01-18 12:37 0 --a------ C:\1014304572 2008-01-18 12:36 . 2008-01-18 12:36 58,880 --a------ C:\ydpgtbtq.exe 2008-01-18 12:36 . 2008-01-18 12:36 54,764 --a------ C:\WINDOWS\system32\dxdss.sys 2008-01-18 12:36 . 2008-01-18 12:36 41,673 --a------ C:\einedoyg.exe 2008-01-16 19:28 . 2008-01-16 19:28 2008-01-16 19:28 . 2008-01-16 21:57 2008-01-16 19:26 . 2003-05-12 10:00 327,680 --a------ C:\Documents and Settings\Elyan\Pajaczek_NxG_PRO_STD_v502_patch.exe . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-01-20 11:55 --------- d-----w C:\Program Files\USB Disk Win98 Driver 2008-01-20 11:55 --------- d-----w C:\Program Files\QuickTime 2008-01-20 11:55 --------- d-----w C:\Program Files\DAEMON Tools 2008-01-20 11:54 355,328 ----a-w C:\WINDOWS\system32\ctfmon.exe 2008-01-18 11:36 --------- d-----w C:\Program Files\Winamp 2008-01-17 18:54 --------- d-----w C:\Program Files\eMule 2008-01-14 21:41 --------- d-----w C:\Program Files\DC++ 2008-01-03 18:33 --------- d-----w C:\Documents and Settings\Elyan\Dane aplikacji\Skype 2007-12-15 23:44 6,416,896 ----a-w C:\WINDOWS\Internet Logs\xDB27A.tmp 2007-11-25 21:46 --------- d-----w C:\Program Files\BearShare Applications 2007-11-25 18:59 --------- d–h--w C:\Program Files\InstallShield Installation Information 2007-11-25 18:59 --------- d-----w C:\Program Files\DeliPlayer2 2007-11-25 10:47 --------- d-----w C:\Documents and Settings\Elyan\Dane aplikacji\OD2 2007-11-25 10:46 --------- d-----w C:\Program Files\MRConverter 2007-11-18 12:46 529,408 ----a-w C:\WINDOWS\Internet Logs\xDB28.tmp 2007-11-17 11:22 6,321,664 ----a-w C:\WINDOWS\Internet Logs\xDB27.tmp 2007-11-17 11:22 3,248,128 ----a-w C:\WINDOWS\Internet Logs\xDB26.tmp 2007-11-14 15:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll 2007-11-12 23:29 3,129,344 ----a-w C:\WINDOWS\Internet Logs\xDB25.tmp 2007-11-04 09:19 98,512 ----a-w C:\WINDOWS\GREUninstall.exe 2007-10-05 14:38 6,045,696 ----a-w C:\WINDOWS\Internet Logs\xDB163.tmp 2007-09-08 16:09 5,972,480 ----a-w C:\WINDOWS\Internet Logs\xDB24.tmp 2007-07-19 12:27 5,879,296 ----a-w C:\WINDOWS\Internet Logs\xDB8F.tmp 2007-06-19 13:13 5,807,616 ----a-w C:\WINDOWS\Internet Logs\xDB23.tmp 2007-06-16 09:04 70,007 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_06_16_10_52_00_small.dmp.zip 2007-04-12 11:15 5,605,888 ----a-w C:\WINDOWS\Internet Logs\xDB22.tmp 2007-04-07 18:20 5,590,016 ----a-w C:\WINDOWS\Internet Logs\xDB21.tmp 2007-03-31 18:46 5,583,872 ----a-w C:\WINDOWS\Internet Logs\xDB20.tmp 2007-03-30 16:29 5,576,192 ----a-w C:\WINDOWS\Internet Logs\xDB1F.tmp 2007-03-13 14:50 5,078,528 ----a-w C:\WINDOWS\Internet Logs\xDB1E.tmp 2007-01-22 22:02 4,963,328 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp 2007-01-22 10:47 4,960,256 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp 2007-01-19 11:30 4,956,672 ----a-w C:\WINDOWS\Internet Logs\xDB31E.tmp 2007-01-13 11:29 4,946,432 ----a-w C:\WINDOWS\Internet Logs\xDB1B.tmp 2007-01-06 11:03 4,923,904 ----a-w C:\WINDOWS\Internet Logs\xDB1A.tmp 2006-12-24 21:48 70,480 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_12_24_22_28_35_small.dmp.zip 2006-12-01 00:36 4,844,544 ----a-w C:\WINDOWS\Internet Logs\xDB19.tmp 2006-11-29 12:09 4,827,136 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp 2006-11-22 19:57 4,747,264 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp 2006-11-22 19:45 4,746,752 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp 2006-10-02 21:17 4,589,056 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp 2006-09-13 10:54 4,457,984 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp 2006-09-11 18:46 4,418,560 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp 2006-08-25 10:54 101,758 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2006_08_25_12_52_51_small.dmp.zip 2006-08-12 07:14 45,489 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_08_11_10_18_33_small.dmp.zip 2006-08-12 07:14 38,359 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_08_11_10_17_21_small.dmp.zip 2006-08-05 21:17 3,975,680 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp 2006-07-17 06:58 58,214 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_07_16_18_31_12_small.dmp.zip 2006-07-17 06:58 41,526 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_07_16_18_28_23_small.dmp.zip 2006-07-08 13:08 40,358 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_07_08_10_49_57_small.dmp.zip 2006-07-08 13:08 38,325 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2006_07_08_10_49_43_small.dmp.zip 2006-07-01 15:58 3,840,000 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp 2006-05-22 13:37 120,320 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp 2006-05-22 10:01 3,592,192 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp 2006-05-22 10:01 3,089,920 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp 2006-05-16 18:03 3,545,088 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp 2006-05-16 18:03 2,796,032 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp 2006-05-11 12:13 3,508,736 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp 2006-05-11 12:13 2,903,552 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp 2006-05-03 17:36 3,444,224 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp 2006-01-12 15:07 2,733,056 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp 2005-10-13 12:59 1,995,776 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp 2005-09-25 19:19 1,857,024 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp 2005-09-09 12:39 3,001,344 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp 2005-09-09 12:39 1,486,336 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp 2005-08-16 09:21 1,286,656 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp 2005-08-14 14:38 425,984 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip 2005-08-14 10:32 1,149,952 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp 2005-08-14 10:06 1,131,520 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp 2005-08-01 20:58 266 --sh–w C:\Program Files\desktop.ini 2005-08-01 20:58 11,232 -c-ha-w C:\Program Files\folder.htt . ----a-w 339,968 2008-01-20 11:54:00 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx .exe ----a-w 32,768 2008-01-20 11:54:01 C:\Program Files\ATI Technologies\ATI.ACE\cli .exe ----a-w 32,768 2008-01-20 11:54:34 C:\Program Files\CyberLink\PowerDVD\PDVDServ .exe ----a-w 157,592 2008-01-20 11:54:36 C:\Program Files\DAEMON Tools\daemon .exe ----a-w 49,152 2008-01-20 11:54:36 C:\Program Files\HP\HP Software Update\HPWuSchd2 .exe ----a-w 36,975 2008-01-20 11:54:35 C:\Program Files\Java\jre1.5.0_06\bin\jusched .exe ----a-w 1,694,208 2008-01-20 11:54:56 C:\Program Files\Messenger\msmsgs .exe ----a-w 652,288 2008-01-20 11:55:47 C:\Program Files\QuickTime\QTTask .exe ----a-w 652,288 2008-01-20 11:32:44 C:\Program Files\QuickTime\QTTask .exe ----a-w 65,536 2008-01-20 11:54:36 C:\Program Files\USB Disk Win98 Driver\Res .EXE ----a-w 919,016 2008-01-20 11:54:54 C:\Program Files\Zone Labs\ZoneAlarm\zlclient .exe ----a-w 15,360 2008-01-20 11:54:41 C:\WINDOWS\system32\ctfmon .exe ----a-w 22,528 2008-01-20 11:05:19 C:\WINDOWS\system32\drivers\spool .exe ----a-w 36,864 2008-01-20 11:54:00 C:\WINDOWS\system32\spool\drivers\w32x86\2\printray .exe [/code] ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE~\Browser Helper Objects{BFD7CEED-8027-4951-A9BD-D818140678DB}] 2008-01-20 12:54 334848 --------- C:\WINDOWS\system32\ddayx.dll [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] “{96EBBE6A-2864-4345-B32B-26EE9BE524B5}”= C:\Program Files\Brain Codec\iesplugin.dll [] [HKEY_CLASSES_ROOT\clsid{96ebbe6a-2864-4345-b32b-26ee9be524b5}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44 15360] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2008-01-20 12:32 2225152] “Niezbędnik Internauty”=“C:\Program Files\HT NETWORKS\Niezbędnik Internauty\Niezb.exe” [] “CLAUDIO”=“C:\Program Files\XemiComputers\Claudio\Claudio.exe” [] “swg”=“C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe” [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2008-01-20 12:54 749056] “ATICCC”=“C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” [2008-01-20 12:32 373760] “PrinTray”=“C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe” [2008-01-20 12:55 377344] “SoundMan”=“SOUNDMAN.EXE” [2004-12-01 08:54 77824 C:\WINDOWS\SOUNDMAN.EXE] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe” [2008-01-19 11:48 376320] “RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2008-01-19 11:48 373248] “DAEMON Tools”=“C:\Program Files\DAEMON Tools\daemon.exe” [2008-01-20 12:32 504320] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [] “USB Storage Toolbox”=“C:\Program Files\USB Disk Win98 Driver\Res.EXE” [2008-01-20 12:32 415744] “HP Software Update”=“C:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2008-01-19 11:49 389632] “GCXX-Manager-Class”=“C:\Program Files\Sony Ericsson\Wireless Manager\GCXXManager.exe” [] “QuickTime Task”=“C:\Program Files\QuickTime\QTTask .exe” [2008-01-20 12:55 652288] “ZoneAlarm Client”=“C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe” [2008-01-20 12:33 1520128] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2004-08-03 23:44 15360] “ATICCC”=“C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” [2008-01-20 12:32 373760] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ ATI CATALYST System Tray.lnk - C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe [2005-02-22 21:21:26 373760] HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 03:21:22 288472] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] “NoBandCustomize”= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] “System”=“csqai.exe” [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows] “load”=C:\WINDOWS\system32\ddayx.exe [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\ddayx [HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^LG SyncManager.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\LG SyncManager.lnk backup=C:\WINDOWS\pss\LG SyncManager.lnkCommon Startup [HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKLM~\startupfolder\C:^Documents and Settings^Elyan^Menu Start^Programy^Autostart^OpenOffice.org 1.1.lnk] path=C:\Documents and Settings\Elyan\Menu Start\Programy\Autostart\OpenOffice.org 1.1.lnk backup=C:\WINDOWS\pss\OpenOffice.org 1.1.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare Acceleration Patch] --a------ 2006-05-16 17:42 1880 C:\Documents and Settings\All Users\Menu Start\Programy\BearShare Acceleration Patch\BearShare Acceleration Patch.lnk [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMule Acceleration Patch] --a------ 2006-05-16 17:47 1816 C:\Documents and Settings\All Users\Menu Start\Programy\eMule Acceleration Patch\eMule Acceleration Patch.lnk [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] --a------ 2007-07-09 08:39 2119104 C:\Documents and Settings\Elyan\Pulpit\programy\Gadu-Gadu1\gg.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] C:\Program Files\Ahead\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LottomaniakTray] --a------ 2004-07-18 22:09 69632 C:\Program Files\SmartKite Software\Lottomaniak 1.0\LottomaniakTray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck] --a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-01-19 11:49 652288 C:\Program Files\QuickTime\qttask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Shareaza] C:\Program Files\Shareaza\Shareaza.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] -ra------ 2007-07-02 16:10 23237416 C:\Program Files\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\warez] C:\Program Files\Warez P2P Client\warez.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] C:\Program Files\Winamp\winampa.exe S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\system32\DRIVERS\KS-959.sys [2005-09-05 02:59] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{320a0f45-02d8-11da-b802-806d6172696f}] \Shell\AutoRun\command - D:\start.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-01-20 12:57:22 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180] - C:\WINDOWS\system32\ddayx.dll - C:\Program Files\WinRAR\rarext.dll - C:\Program Files\Easy CD-DA Extractor 102\ezcddax10.dll . Completion time: 2008-01-20 13:09:43 - machine was rebooted ComboFix-quarantined-files.txt 2008-01-20 12:09:33

Gutek · 20 Styczeń 2008 18:43

Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym

Pobierz program SDFix

4dr14n · 20 Styczeń 2008 21:44

Hej, wklejam świeżego reporta

http://wklej.org/id/5bb06f4064

Ale to i tak nie wykończyło wira, bo w menedżerze zadań są dalej dziwne procesy w postaci “cli .exe”, albo “Qtask .exe”, co prawda “spool .exe.” już nie ma, ale pojawił się “Res .exe” - te nazwy z odstępami oczywiście, ale bez cudzysłowia.

Mam propozycję, zeby wykończyć killboxem te pliki, które wskazał Combofix w logu, a które zostały zainstalowane na kompie w ostatmnich 2 dniach, tj:

----a-w 339,968 2008-01-20 11:54:00 C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx .exe ----a-w 32,768 2008-01-20 11:54:01 C:\Program Files\ATI Technologies\ATI.ACE\cli .exe ----a-w 32,768 2008-01-20 11:54:34 C:\Program Files\CyberLink\PowerDVD\PDVDServ .exe ----a-w 157,592 2008-01-20 11:54:36 C:\Program Files\DAEMON Tools\daemon .exe ----a-w 49,152 2008-01-20 11:54:36 C:\Program Files\HP\HP Software Update\HPWuSchd2 .exe ----a-w 36,975 2008-01-20 11:54:35 C:\Program Files\Java\jre1.5.0_06\bin\jusched .exe ----a-w 1,694,208 2008-01-20 11:54:56 C:\Program Files\Messenger\msmsgs .exe ----a-w 652,288 2008-01-20 11:55:47 C:\Program Files\QuickTime\QTTask .exe ----a-w 652,288 2008-01-20 11:32:44 C:\Program Files\QuickTime\QTTask .exe ----a-w 65,536 2008-01-20 11:54:36 C:\Program Files\USB Disk Win98 Driver\Res .EXE ----a-w 919,016 2008-01-20 11:54:54 C:\Program Files\Zone Labs\ZoneAlarm\zlclient .exe ----a-w 15,360 2008-01-20 11:54:41 C:\WINDOWS\system32\ctfmon .exe ----a-w 22,528 2008-01-20 11:05:19 C:\WINDOWS\system32\drivers\spool .exe ----a-w 36,864 2008-01-20 11:54:00 C:\WINDOWS\system32\spool\drivers\w32x86\2\printray .exe

oraz te:

((((((((((((((((((((((((( Files Created from 2007-12-20 to 2008-01-20 ))))))))))))))))))))))))))))))) . 2008-01-20 12:57 . 2008-01-20 12:58 319 --ahs---- C:\WINDOWS\system32\xyadd.ini 2008-01-20 12:56 . 2008-01-20 12:56 338,432 --a------ C:\WINDOWS\system32\ddayx.exe 2008-01-20 12:53 . 2008-01-20 12:54 334,848 --------- C:\WINDOWS\system32\ddayx.dll 2008-01-20 12:28 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-20 12:13 . 2008-01-20 12:54 15,360 --a------ C:\WINDOWS\system32\ctfmon .exe 2008-01-20 10:32 . 2008-01-20 12:05 22,528 --a------ C:\WINDOWS\system32\drivers\spool .exe 2008-01-18 23:14 . 2008-01-18 23:14 6,656 —hs---- C:\Documents and Settings\LocalService\msftp.dll 2008-01-18 12:37 . 2008-01-18 12:37 41,984 --a------ C:\meghk.exe 2008-01-18 12:37 . 2008-01-20 12:28 14,080 --a------ C:\WINDOWS\system32\drivers\sysproc.sys 2008-01-18 12:37 . 2008-01-18 12:37 6,656 —hs---- C:\WINDOWS\system32\msftp.dll 2008-01-18 12:37 . 2008-01-18 12:37 6,656 —hs---- C:\Documents and Settings\Elyan\msftp.dll 2008-01-18 12:37 . 2008-01-18 12:37 0 --a------ C:\1014304572 2008-01-18 12:36 . 2008-01-18 12:36 58,880 --a------ C:\ydpgtbtq.exe 2008-01-18 12:36 . 2008-01-18 12:36 54,764 --a------ C:\WINDOWS\system32\dxdss.sys 2008-01-18 12:36 . 2008-01-18 12:36 41,673 --a------ C:\einedoyg.exe 2008-01-16 19:28 . 2008-01-16 19:28 2008-01-16 19:28 . 2008-01-16 21:57 2008-01-16 19:26 . 2003-05-12 10:00 327,680 --a------ C:\Documents and Settings\Elyan\Pajaczek_NxG_PRO_STD_v502_patch.exe

Gutek · 20 Styczeń 2008 21:54

Teraz daj nowy log z Combo

4dr14n · 20 Styczeń 2008 22:41

oto log z combofixa - dalej nic moim zdaniem

http://wklej.org/id/d8e4ea4da2

Gutek · 21 Styczeń 2008 00:16

Wklej do Notatnika:

File::

C:\WINDOWS\system32\ctfmon .exe 

C:\WINDOWS\system32\drivers\spool .exe 

C:\Documents and Settings\LocalService\msftp.dll 

C:\meghk.exe

C:\WINDOWS\system32\drivers\sysproc.sys

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx .exe 

C:\Program Files\ATI Technologies\ATI.ACE\cli .exe 

C:\Program Files\CyberLink\PowerDVD\PDVDServ .exe 

C:\Program Files\DAEMON Tools\daemon .exe 

C:\Program Files\HP\HP Software Update\HPWuSchd2 .exe 

C:\Program Files\Java\jre1.5.0_06\bin\jusched .exe 

C:\Program Files\Messenger\msmsgs .exe 

C:\Program Files\QuickTime\QTTask .exe 

C:\Program Files\QuickTime\QTTask .exe 

C:\Program Files\QuickTime\QTTask .exe 

C:\Program Files\QuickTime\QTTask .exe 

C:\Program Files\QuickTime\QTTask .exe 

C:\Program Files\USB Disk Win98 Driver\Res .EXE 

C:\Program Files\Zone Labs\ZoneAlarm\zlclient .exe 

C:\WINDOWS\system32\ctfmon .exe 

C:\WINDOWS\system32\drivers\spool .exe 

C:\WINDOWS\system32\spool\drivers\w32x86\2\printray .exe

C:\WINDOWS\system32\ddayx.dll 

C:\einedoyg.exe

C:\Documents and Settings\LocalService\msftp.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2D4FA699-E177-4176-99DD-405BA55E84DD}] 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] 

"{96EBBE6A-2864-4345-B32B-26EE9BE524B5}"=-

[-HKEY_CLASSES_ROOT\clsid\{96ebbe6a-2864-4345-b32b-26ee9be524b5}]

[HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows] 

"load"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

Przeinstalować

QuickTime

DAEMON Tools

Winamp

Zone Labs

Skype

GG

4dr14n · 21 Styczeń 2008 09:27

wklejam loga z Combofix’a, ale o chyba nie dało do końca rezulatatów :(. W każdym razie looknij:

http://wklej.org/id/76d0e5925c

A co do przeinstalowania progsów, to czy mam jej odinstalowac przez dodaj usuń progr, czy jakoś inaczej??

Leon1 · 21 Styczeń 2008 14:17

Wyłącz przywracanie systemu na wszystkich dyskach potem dopiero usuwaj wirusy

widzę np. te pliki są usuwane za każdym razem a i tak siedzą w logach

# C:\WINDOWS\system32\ddayx.dll

# C:\WINDOWS\system32\ddayx.exe

# C:\WINDOWS\system32\xyadd.ini

# C:\WINDOWS\system32\xyadd.ini2

4dr14n · 21 Styczeń 2008 16:34

ok, ale czy te programy wyżej, to mam odinstalować przez dodaj/usuń całkowicie… czy jak

4dr14n · 21 Styczeń 2008 16:59

Oto log - wyłączyłem przywracanie systemu, ale dalej widzę ctfmon .exe i jeszcze jeden z tym odstępem:

http://wklej.org/id/84e41bf57b

aha, no i ten # C:\WINDOWS\system32\ddayx.dll, dalej tam jest

Gutek · 21 Styczeń 2008 20:36

Deinstalujesz/przeinstalowujesz programy, które były w Autostarcie

Java Sun = wystarczy tylko że skasujesz z dysku plik C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe (i pewnie jest tam do pary ten ze spacją… też skasować). On jest zbędny = to plik aktualizera.

ctfmon.exe = Plik Windows paska językowego. Już go skasowałam wraz ze spacjowymi kopiami. Przywracanie niekonieczne i nie takie ważne. Potem ewentualnie tym się zajmiemy.

W trybie awaryjnym wykonujesz instrukcję:

Wklej do Notatnika:

File::

C:\WINDOWS\system32\ctfmon.exe.tmp 

C:\WINDOWS\system32\xyadd.ini

C:\WINDOWS\system32\xyadd.ini

C:\WINDOWS\system32\ddayx.dll

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx .exe 

 C:\Program Files\ATI Technologies\ATI.ACE\cli .exe 

C:\Program Files\CyberLink\PowerDVD\PDVDServ .exe 

C:\Program Files\HP\HP Software Update\HPWuSchd2 .exe 

C:\Program Files\Java\jre1.5.0_06\bin\jusched .exe 

C:\Program Files\Messenger\msmsgs .exe 

C:\Program Files\USB Disk Win98 Driver\Res .EXE 

C:\Program Files\Zone Labs\ZoneAlarm\zlclient .exe 

C:\WINDOWS\system32\ctfmon .exe 

C:\WINDOWS\system32\spool\drivers\w32x86\2\printray .exe


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8DE576B4-F18D-41F1-AA88-4AF88B8F610C}]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

4dr14n · 21 Styczeń 2008 23:27

Zrobiłem tak:

najpierw usunąłem pliki o rozszerzeniu *.exe, które zostały wymienione w logu jako zarażone - czyli gg, zclient, quicktime, deamona nie mogłem znaleźć, res.exe też nie, ctfmon usunąłem - ozywiście wszystko wraz z tymi zdublowanymi, i ati.exe cy jakoś tak, też usunąłem.
potem zrobiłem znowu ten plikCFScript.txt i najechałem nim na ikonkę Combofixa i zrobił się log

http://wklej.org/id/2a6ba2bf74

następnie włączyłem znów kompa w safe mode, bo zapomniałe usunąć Qooboxa, i przy okazji okazało się, że te wszystkie ctfmony i zclienty znowu się pojawiły - więc je usunąłem spowrotem a wraz z nimi Qooboxa i zrobiłem nowego loga Combofixa:

http://wklej.org/id/cc5145df39

Proszę o dalsze komentarze i instrukcję przy okazji jak narazie nie zauważyłęm dziwnych procesów w menedżerze zadań - szkoda tylko, ze tyle komunikatów mi się pojawiło przy włączeniu kompa w normalny tryb - okazało się poprostu, ze brakuje tych progsów, co normalnie się uruchamiały

PS: po restarcie też usunąłem Qooboxa

Gutek · 22 Styczeń 2008 19:55

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177

możesz rejestr przelecieć albo

jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509

Opis RegCleaner - http://www.agavk.p9.pl/strony/progra_regcleaner.php

Zobacz - Obsługa jv16 PowerTools

Wklej do Notatnika:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]

"Authentication Packages"=-

"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\

  00

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> uruchom ten plik (dwuklik).