Problem z uruchamianiem kompa


(Vdr) #1

witam!

od 2 dni mój komp dziwnie się zachowuje podczas i tuż po uruchomieniu. Gdy klikam na menu start i przejeżdżam myszką, by uruchomić jakąś aplikację, zanim kliknę na nią, uruchamia mi się losowo jakaś inna aplikacja. Poza tym menu kontekstowe "świruje", tzn. po kliknięciu prawym menu miga i nic nie da się wybrać (nawet z traya), menadżer zadań mogę uruchomić tylko z alt+ctrl+del. Zauważyłem, że gdy w menadżerze zamknę procesy: userinit.exe, wuauclt.exe komp albo łapie zwiechę, albo w/w problemy znikają.

W 2gim przypadku najczęściej pojawia sie kolejny problem: choć cpf pokazuje aktywność w sieci (95% ruchu to udp system i svhost !!

Nie mam pojęcia czy to error windy, czy jakiś syf (próbowałem naprawić partycję c:\, ale po restarcie kompa wyskakuje komunikat, że anulowano sprawdzanie patrycji; skanowałem nodem32 i ad-avare i nic)

Załączam log z hijacka i proszę o pomoc.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:12:10, on 2008-05-24

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe

C:\Program Files\Comodo\Firewall\CPF.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\Program Files\COMODO\Firewall\cmdagent.exe

C:\WINDOWS\system32\CTSvcCDA.EXE

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r

O4 - HKLM..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background

O4 - HKLM..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Eksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe

O20 - AppInit_DLLs:

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

O24 - Desktop Component AutorunsDisabled: (no name) - (no file)

--

End of file - 5477 bytes


(huber2t) #2

fix w hijackthis

http://forum.centrumxp.pl/default.aspx?g=posts&t=108100 <----svchost.exe 100%

Podaj log z Combofix


(Vdr) #3

Dzięki bardzo.

Fix w hijacku i zamknięcie portów się udało. Nie dało rady podmienić spod konsoli svchost'a (wyskakiwał komunikat, że nieprawidłowa komenda lub ścieżka).

Ale problemy raczej zniknęły. Jedynie martwi mnie bardzo długi rozruch cpf przy starcie systemu.

A oto i log z Combofix:

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\uTorrent\uTorrent.exe"=

"C:\Program Files\Gadu-Gadu\gg.exe"=

"C:\Program Files\Winamp Remote\bin\Orb.exe"=

"C:\Program Files\Winamp Remote\bin\OrbTray.exe"=

"C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe"=

"C:\Program Files\Common Files\Ahead\Nero Web\SetupX.exe"=

"C:\Program Files\FlashGet\flashget.exe"=

"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"=

"C:\Program Files\Joost\xulrunner\tvprunner.exe"=

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-03-13 16:52]

S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2006-02-17 21:34]

S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2006-02-17 21:34]

S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2006-02-17 21:34]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{6550948a-184c-11dd-853d-00138f65afa2}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

.

Contents of the 'Scheduled Tasks' folder

"2008-05-16 17:21:29 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

  • C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-26 17:34:49

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-05-26 17:35:18

ComboFix-quarantined-files.txt 2008-05-26 15:35:13

Pre-Run: 4,644,388,864 bajtów wolnych

Post-Run: 4,638,904,320 bajtów wolnych

121 --- E O F --- 2008-05-16 12:38:16


(huber2t) #4

Podaj pełny log z Combofix


(Vdr) #5

Podwójna skucha z mojej strony ](*,)

Już się poprawiam:

http://www.wklej.org/id/10ad3ac27b


(huber2t) #6

Log wyglada na czysty

Usuń ręcznie folder C:\Qoobox ,usuń instalkę Combofix z dysku

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.


(Vdr) #7

O zgrozo.. zanim wyczytałem Twoją odpowiedź huber2t,

znów miałem to samo ... symptomy powróciły a na dodatek net mi spowolnił, firefox szaleje (po 0.5h przed netem zżera 100-400 ramu i chwilami 95%cpu przy kilku kartach otwartych. do tego na chwilę podczas uruchamiania kompa pojawia się dziwny proces: ehttpsvr.exe; w 50% przypadków zwiecha explorera przy próbie otwarcia "mój komputer"

próbowałem powtórzyć "operację na otwartej aorcie", tj:

ale nic z tego, 020 tym razem nie ma w hijacku, natomiast 024 niby naprawia, ale jak powtórnie odpalę hijacka, nadal jest.

Ponadto wwdc nie zamyka mi portu netbiosa (za każdym razem opis: "netbios will be disabled after the next reboot" - restart i to samo.)

Autostart zoptymalizowany, konsole odzyskiwania wyłączyłem a potem włączyłem, ale nie usuwałem nowego folderu C:\Qoobox

Oto nowe logi z hijacka, combofix i log z kasperskiego:

http://www.wklej.org/id/b6227dbed2

http://www.wklej.org/id/9319978112

http://www.wklej.org/id/eeb762222c


(huber2t) #8

fix w hijackathis w trybie awaryjnym

Pobierz The Avenger

wklej do niego ten tekst:

Folders to delete:

D:\System Volume Information\_restore{05869874-5C90-4ECF-BCA8-D355AD885B17}\RP65


Registry keys to delete:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Vdr) #9

Nawet spod awaryjnego nie dało się tego naprawić w hijacku

Log z Avenger'a:

http://www.wklej.org/id/34d6ac7500

po dokonaniu czynności w avengerze i po restartrcie kompa w procesach pojawiło mi sie coś nowego : zip.exe, czy to normalne??

Jescze jedno. Wśród tylu symptomów zapomniałem o jednym: tuż przed pojawieniem się pulpiu podczas rozruchu systemu komp wydaje dźwięk, jakby komunikował o errorze, ale rzaden komunikat się nia pojawia

Przy uruchomieniu trybu awaryjnego komp piknął 3-4 razy pod rzad i pojawił się jakiś komunikat, ale na chwilę i nie wiem co to było.


(huber2t) #10

Folder się usunął powinno być ok :slight_smile:


(Vdr) #11

niestety, nadal lipa :frowning:

skanowalem 2krotnie kaspersky'm:

-przy pierwszym skanie wykrył mi wiry w katalogu D:\avanger, usunąłem go ręcznie

-następnie znów kaspersky - tym razem znów te same wiry w D:\system volume information\restore

Nota bene, czy przy reinstalce systemu bez formatowania pozostałych partycji niesystemowych jakieś wiry sprzed reinstalki z system volume information na niesystemowych partycjach mogą wpływać na funkcjinowanie po reinstalce? Ostatnio zbyt często jestem zmuszony robić reinstalki. Zdarzało sie, że nawet po 2-3 tygodniach funkcjonowania "świeżego" windowsa komp zwieszał mi się jeszcze przed ekranem wyboru trybu awaryjnego.


(huber2t) #12

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja to usunie wirusy z D:\system volume information\restore