Problem z wysakującymi str, plikami qwerty,!update,arpa,itd

moris210 · 5 Sierpień 2007 19:01

+Witam, mam problem: wyskakują mi co chwila strony typu: Advertissement , jakieś oferty SafeError itp, w Menedżerze zadań widzę co i rusz pliki: qwerty12.exe, !update.exe, arpa.exe, dodatkowy csrss.exe. Co wywalę, to się instaluje na nowo. Niezmiernie to przeszkadza, a dodatkowo obserwuję spowolnienie co jakiś czas pracy eMule’a.

Mam Avast’a, ale nie wyłapał nic. Uruchamiam np. Absolute StartUp,ale nawet jak wywalę nim ww. pliki, i tak na nowo się instalują i uruchamiają.

Proszę o pomoc.

Pozdrawiam

Mariusz

adam9870 · 5 Sierpień 2007 19:10

Wykonaj i wklej log z ComboFix.

moris210 · 6 Sierpień 2007 16:56

Combo robi coś baaaardzo długo. Do teraz pewnie by robił, gdybym po 5 godzinach nie przerwał.

Jakaś inna metoda może?

Bardzo proszę o pomoc, nie do zniesienia są te reklamiarze czy co to tam jest.

PS. Ale ogromne dzięki za zainteresowanie

jessica · 6 Sierpień 2007 17:09

Robienie logu przez ComboFix nigdy nie trwa dłużej niż 10 minut.

U Ciebie musiał się “zawiesić” - być może poruszyłeś myszką, a to wystarczy, by ComboFix się zawiesił.

Alternatywnym logiem jest log z DSS -->

DSS.

.

moris210 · 6 Sierpień 2007 17:15

+Dzięki!

Wklejam log’a - zrobiłem jeszcze raz. Ciekawe, że przy włączaniu MSIE Avast wykrył trojana i nie chciał pozwolić właczyć MSIE!

Oto log z combo:

ComboFix 07-07-30.2 - “mariusz” 2007-08-06 18:51:57.3 [GMT 2:00] - NTFS

Microsoft Windows XP Professional

(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\klgkbabw.exe

C:\WINDOWS\system32\quvuunre.exe

C:\WINDOWS\system32\splspdxf.exe

C:\WINDOWS\system32\whiltngn.exe

C:\WINDOWS\system32\ilnmp.bak1

C:\WINDOWS\system32\ilnmp.bak2

C:\WINDOWS\system32\ilnmp.ini

C:\WINDOWS\system32\ilnmp.bak1

C:\WINDOWS\system32\ilnmp.bak2

C:\WINDOWS\system32\ilnmp.ini

C:\WINDOWS\system32\pmnli.dll

C:\WINDOWS\system32\urqnlmj.dll

* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\DOCUME~1\mariusz\DANEAP~1.\macromedia\Flash Player#SharedObjects\6Y8EW5AB\iforex.com

C:\DOCUME~1\mariusz\DANEAP~1.\macromedia\Flash Player#SharedObjects\6Y8EW5AB\iforex.com\Emerp\Events\flash_object.swf\user_data.sol

C:\DOCUME~1\mariusz\DANEAP~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys#iforex.com

C:\DOCUME~1\mariusz\DANEAP~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys#iforex.com\settings.sol

C:\DOCUME~1\mariusz\DANEAP~1.\wnsxs~1

C:\DOCUME~1\mariusz\DANEAP~1.\wnsxs~1??rss.exe

C:\Program Files\Common Files\Yazzle1162OinAdmin.exe

C:\Program Files\Common Files\Yazzle1162OinUninstaller.exe

C:\Program Files\outerinfo

C:\Program Files\outerinfo\Terms.rtf

C:\Program Files\wnsxs~1

C:\Program Files\wnsxs~1\arpa.exe

C:\Program Files\wnsxs~1\arpa.exe~

C:\WINDOWS\system32\1_exception.nls

C:\WINDOWS\system32\1165669957.exe

C:\WINDOWS\system32\1166342564.exe

C:\WINDOWS\system32\cjlxldrm.exe

C:\WINDOWS\system32\drivers\runtime2.sys

C:\WINDOWS\system32\drivers\secdrv.sys

C:\WINDOWS\system32\etrxpwmc.exe

C:\WINDOWS\system32\qwerty12.exe

C:\WINDOWS\system32\wfijvois.exe

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_DOMAINSERVICE

-------\LEGACY_GB

-------\LEGACY_RUNTIME

-------\LEGACY_RUNTIME2

-------\DomainService

-------\gb

-------\runtime

((((((((((((((((((((((((( Files Created from 2007-07-06 to 2007-08-06 )))))))))))))))))))))))))))))))

2007-08-06 18:46 125,460 --a------ C:\WINDOWS\system32\quilcfdh.dll

2007-08-04 18:47 125,460 --a------ C:\WINDOWS\system32\iftqiljm.dll

2007-08-04 18:47 120,852 --a------ C:\WINDOWS\system32\oywhhpjw.dll

2007-08-03 18:48 125,460 --a------ C:\WINDOWS\system32\rrrxshhk.dll

2007-08-02 20:53

2007-08-02 11:12 60,928 --a------ C:\WINDOWS\system32\zxbsypk.dll

2007-08-01 20:43 51,200 --a------ C:\WINDOWS\nircmd.exe

2007-08-01 20:40 83,024 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2007-08-01 20:40 57,424 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2007-08-01 20:40 53,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2007-08-01 20:40 39,376 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys

2007-08-01 20:40 29,264 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2007-08-01 20:40

2007-08-01 19:22

2007-08-01 18:37 499,712 --a------ C:\WINDOWS\msvcp71.dll

2007-08-01 18:37 348,160 --a------ C:\WINDOWS\msvcr71.dll

2007-08-01 12:32 48,640 --a------ C:\WINDOWS\mmfs.dll

2007-08-01 12:32 1,329 --ahs---- C:\WINDOWS\system32\mmf.sys

2007-08-01 10:31

2007-07-31 21:00

2007-07-28 11:33

2007-07-27 23:36

2007-07-24 19:46

2007-07-22 22:03

2007-07-22 21:24

2007-07-17 00:06 974,848 --a------ C:\WINDOWS\system32\mfc70.dll

2007-07-17 00:06 90,112 --a------ C:\WINDOWS\system32\ALOAudioFormatSettings3.dll

2007-07-17 00:06 877,568 --a------ C:\WINDOWS\system32\ALOAudioFile2.dll

2007-07-17 00:06 780,288 --a------ C:\WINDOWS\system32\ALOVideoCompress.dll

2007-07-17 00:06 778,240 --a------ C:\WINDOWS\system32\ALOAudioCompress2.dll

2007-07-17 00:06 495,104 --a------ C:\WINDOWS\system32\ALOVideoCoreM.dll

2007-07-17 00:06 487,424 --a------ C:\WINDOWS\system32\msvcp70.dll

2007-07-17 00:06 403,968 --a------ C:\WINDOWS\system32\ALOWMAFile2.dll

2007-07-17 00:06 382,464 --a------ C:\WINDOWS\system32\ALOAVIFile.dll

2007-07-17 00:06 249,856 --a------ C:\WINDOWS\system32\ALOQuickTimeFile.dll

2007-07-17 00:06 237,568 --a------ C:\WINDOWS\system32\lame_enc.dll

2007-07-17 00:06 215,552 --a------ C:\WINDOWS\system32\ALOWMVFile.dll

2007-07-17 00:06 2,846,720 --a------ C:\WINDOWS\system32\ALOAudioCompress3.dll

2007-07-17 00:06 188,416 --a------ C:\WINDOWS\system32\ALOVideoFile.dll

2007-07-17 00:06 1,245,184 --a------ C:\WINDOWS\system32\bkll.dll

2007-07-17 00:06 1 --a------ C:\WINDOWS\dedlat2.dll

2007-07-17 00:06

2007-07-16 23:05

2007-07-16 23:01

2007-07-12 13:30

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2030-08-29 15:22 56832 --------- C:\WINDOWS\system32\IYVU9_32.DLL

2030-08-29 15:22 143872 --------- C:\WINDOWS\system32\iacenc.dll

2007-08-06 18:28 --------- d-------- C:\Program Files\eMule

2007-08-06 18:02 --------- d–h----- C:\Program Files\InstallShield Installation Information

2007-08-01 18:54 --------- d-------- C:\Program Files\Tweak-XP Pro 4

2007-08-01 10:23 685816 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe

2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AVASTSS.scr

2007-07-16 22:25 --------- d-------- C:\Program Files\Common Files\Real

2007-07-13 23:05 4184 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys

2007-07-11 23:28 21360 --a------ C:\DOCUME~1\mariusz\DANEAP~1\GDIPFONTCACHEV1.DAT

2007-07-03 09:42 --------- d-------- C:\Program Files\Infogrames

2007-07-01 21:39 --------- d-------- C:\Program Files\Microsoft Games

2007-06-27 10:52 --------- d-------- C:\DOCUME~1\mariusz\DANEAP~1\BitTorrent

2007-06-26 17:33 --------- d-------- C:\Program Files\BitTorrent

2007-06-25 13:01 --------- d-------- C:\Program Files\American Conquest - Odwet

2007-06-16 10:19 --------- d-------- C:\Program Files\City Interactive

2007-06-08 13:28 --------- d-------- C:\Program Files\Electronic Arts

2007-06-07 19:42 614 --a------ C:\WINDOWS\eReg.dat

2007-06-07 19:34 --------- d-------- C:\Program Files\EA Games

2007-06-07 00:32 --------- d-------- C:\Program Files\Cossacks - The Art Of War

2007-06-06 22:39 --------- d-------- C:\Program Files\EACom

2007-05-28 00:09 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2007-05-27 23:03 74230 --a------ C:\WINDOWS\system32\perfc015.dat

2007-05-27 23:03 448004 --a------ C:\WINDOWS\system32\perfh015.dat

2007-05-23 18:27 4096 --a------ C:\WINDOWS\d3dx.dat

2005-06-10 20:38 525113 --a------ C:\Program Files\XP Tuning.zip

2005-01-11 01:00:10 104 --sh–r C:\WINDOWS\system32\A16AC07905.sys

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{1DDBF9BA-447A-6C8B-2174-3FB6024EF2ED}]

2007-08-01 15:43 60928 --a------ C:\WINDOWS\System32\zxbsypk.dll

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{CF46BFB3-2ACC-441b-B82B-36B9562C7FF1}]

C:\WINDOWS\System32\klpvlgsn.dll

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{D55E08BA-0A8B-454C-8254-0488FC455FC0}]

2007-08-04 18:47 120852 --a------ C:\WINDOWS\System32\oywhhpjw.dll

[HKEY_LOCAL_MACHINE~\Browser Helper Objects{D5792AA9-D373-4039-8670-2CDAB6A71F15}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“Absolute StartUp monitor”=“C:\Program Files\F-Group\Absolute StartUp\ASMon.exe” [2004-12-04 04:53]

“ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2004-03-03 13:00]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-07-28 00:03]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\System32\ctfmon.exe” [2001-10-26 19:29]

[HKEY_USERS.default\software\microsoft\windows\currentversion\run]

“Start Upping”=spoolnt.exe

C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\

Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

“DisableStatusMessages”=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

“NoPropertiesRecycleBin”=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

“NoAutoUpdate”=1 (0x1)

“NoUserNameInStartMenu”=1 (0x1)

“NoWelcomeScreen”=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmqx32]

winmqx32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

“cFosSpeedS”=2 (0x2)

R0 ndisrd;ndisrd;C:\WINDOWS\System32\drivers\ndisrd.sys

R0 prohlp02;StarForce Protection Helper Driver v2;C:\WINDOWS\System32\drivers\prohlp02.sys

R0 prosync1;StarForce Protection Synchronization Driver v1;C:\WINDOWS\System32\drivers\prosync1.sys

R0 sfhlp01;StarForce Protection Helper Driver;C:\WINDOWS\System32\drivers\sfhlp01.sys

R0 sfsync02;StarForce Protection Synchronization Driver (version 2.x);C:\WINDOWS\System32\drivers\sfsync02.sys

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\System32\drivers\sfsync03.sys

R1 prodrv06;StarForce Protection Environment Driver v6;C:\WINDOWS\System32\drivers\prodrv06.sys

R2 Dnscache;Klient DNS;C:\WINDOWS\System32\svchost.exe -k NetworkService

R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\System32\DRIVERS\fetnd5b.sys

R3 Pcouffin;Low level access layer for CD devices;C:\WINDOWS\System32\Drivers\Pcouffin.sys

S3 AIRPLUS;D-Link AirPlus Wireless Adapter;C:\WINDOWS\System32\DRIVERS\airplus.sys

S3 cFosSpeed;cFosSpeed Miniport;C:\WINDOWS\System32\DRIVERS\cfosspeed.sys

S3 FETNDIS;Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet;C:\WINDOWS\System32\DRIVERS\fetnd5.sys

S3 FreshIO;FreshIO;??\C:\Program Files\FreshDevices\FreshDiagnose\FreshIO.sys

S3 IKFileFlt;File Filter Driver;C:\WINDOWS\System32\drivers\ikfileflt.sys

S3 IKFileSec;File Security Driver;C:\WINDOWS\System32\drivers\ikfilesec.sys

S3 IkSysFlt;System Filter Driver;C:\WINDOWS\System32\drivers\iksysflt.sys

S3 IKSysSec;System Security Driver;C:\WINDOWS\System32\drivers\iksyssec.sys

S3 NTSIM;NTSIM;??\C:\WINDOWS\System32\ntsim.sys

S3 SQTECH905C;DaulCamera;C:\WINDOWS\System32\Drivers\Capt905c.sys

S3 usbscan;Sterownik skanera USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys

S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS

Contents of the ‘Scheduled Tasks’ folder

2007-07-16 21:01:12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-08-06 19:04:39

Windows 5.1.2600 NTFS

scanning hidden processes …

scanning hidden registry entries …

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c]

“Order”=hex:08,00,00,00,02,00,00,00,0c,00,00,00,01,00,00,00,00,00,00,00

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Twain]

“y\1r?\xf3?d?B\1o? ?d?o?m?y?[\1l?n?e?”=“C:\WINDOWS\Twain_32\MyDsc2\TWSRC_32.ds”

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

Completion time: 2007-08-06 19:06:28 - machine was rebooted

C:\ComboFix-quarantined-files.txt … 2007-08-06 19:05

— E O F —

jessica · 6 Sierpień 2007 18:04

Wklej do Notatnika :

File::

C:\WINDOWS\system32\quilcfdh.dll

C:\WINDOWS\system32\iftqiljm.dll

C:\WINDOWS\system32\oywhhpjw.dll

C:\WINDOWS\system32\rrrxshhk.dll

C:\WINDOWS\system32\zxbsypk.dll

C:\WINDOWS\system32\mmf.sys


Registry::

 [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1DDBF9BA-447A-6C8B-2174-3FB6024EF2ED}]

 [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CF46BFB3-2ACC-441b-B82B-36B9562C7FF1}]

 [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D55E08BA-0A8B-454C-8254-0488FC455FC0}]

 [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D5792AA9-D373-4039-8670-2CDAB6A71F15}]

HKEY_USERS\.default\software\microsoft\windows\currentversion\run] 

"Start Upping"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmqx32]

>>Plik>>Zapisz jako… >>> ComboFix-Do (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka ComboFix-Do znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik ComboFix-Do.txt na plik ComboFix.exe

(czyli ikonkę ComboFix-Do.txt na ikonkę ComboFix.exe )

– tak jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Potem daj nowy log z ComboFixa.

.

moris210 · 6 Sierpień 2007 21:13

ComboFix 07-07-30.2 - “mariusz” 2007-08-06 22:56:53.4 [GMT 2:00] - NTFS

Command switches used :: C:\Documents and Settings\mariusz\Pulpit\instalki\ComboFix-Do.txt

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\iftqiljm.dll

C:\WINDOWS\system32\mmf.sys

C:\WINDOWS\system32\oywhhpjw.dll

C:\WINDOWS\system32\quilcfdh.dll

C:\WINDOWS\system32\rrrxshhk.dll