Proces explorer.exe, spowolniona praca

Azb3st18 · 12 Sierpień 2007 22:17

Witam. Na poczatek mam do powiedzenia iz komputer chodzi strasznie wolno . W IE uruchamiaja sie strony spyware dotyczace stron z Antiwirusami “Error Safe” itd. Plik explorer.exe pozera prawie cala pamiec w krytycznych przypadkach. Na pasku zadan dostaje ponizsza ikonke ktora po kliknieciu przekierowuje mnie na strone ze spammem.

Wiec wklejam loga z HiJackThis. Prosze o pomoc, z gory dziekuje.

Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 00:06:13, on 2007-08-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Program Files\Sandboxie\SbieSvc.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\wscntfy.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.exe D:\WINDOWS\system32\atiptaxx.exe D:\WINDOWS\SOUNDMAN.EXE D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe D:\PROGRA~1\Wanadoo\TaskbarIcon.exe D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe C:\WINDOWS\services.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Wanadoo\EspaceWanadoo.exe D:\Program Files\Wanadoo\ComComp.exe D:\Program Files\Wanadoo\Watch.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\WinRAR\WinRAR.exe D:\DOCUME~1\Azb3st\USTAWI~1\Temp\Rar$EX00.641\HiJackThis_v2.exe O2 - BHO: (no name) - {32904F52-3133-4F1C-AC05-19710A93C728} - D:\WINDOWS\system32\gvwkiphk.dll O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - (no file) O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: (no name) - {6148028B-D532-4417-8C0B-5A4A0B745393} - D:\WINDOWS\system32\mljgdbb.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {7A0A7DBB-609D-4920-901D-6C7C49978248} - D:\WINDOWS\system32\gvwkiphk.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {B2A1922E-20E8-4095-BF3C-E2157D39E04e} - D:\WINDOWS\system32\gvwkiphk.dll O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - D:\WINDOWS\system32\dfegbrps.dll O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - D:\WINDOWS\system32\avdcjhxf.dll O2 - BHO: (no name) - {F40FA3FD-5994-4BCD-8FAF-4B3973549457} - D:\WINDOWS\system32\ddayy.dll O4 - HKLM…\Run: [AtiPTA] atiptaxx.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [speedTouch USB Diagnostics] “D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] D:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] D:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM…\Run: [WheelMouse] D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM…\Run: [HPDJ Taskbar Utility] D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe O4 - HKLM…\Run: [orcToByloLatwe] C:\WINDOWS\services.exe O4 - HKLM…\Run: [sysCtrl] D:\WINDOWS\system32.exe O4 - HKLM…\Run: [RealTray] D:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM…\Run: [LVCOMS] D:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [MsnMsgr] “D:\Program Files\MSN Messenger\MsnMsgr.Exe” /background O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu7.6\gg.exe” /tray O4 - HKCU…\Run: [sandboxieControl] D:\Program Files\Sandboxie\Control.exe O4 - HKCU…\Run: [Adsgone] d:\program files\adsgone\adsgone.exe -s O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Startup: AdsGone.lnk = D:\Program Files\AdsGone\AdsGone.exe O4 - Global Startup: PalStart.lnk = D:\Program Files\Paltalk Messenger\palstart.exe O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - D:\Program Files\Paltalk Messenger\Paltalk.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra ‘Tools’ menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip…{04AF6788-B534-40D7-838F-C0F701FFDBF0}: NameServer = 194.204.159.1 217.98.63.164 O17 - HKLM\System\CS1\Services\Tcpip…{04AF6788-B534-40D7-838F-C0F701FFDBF0}: NameServer = 194.204.159.1 217.98.63.164 O20 - Winlogon Notify: ddayy - D:\WINDOWS\system32\ddayy.dll O20 - Winlogon Notify: mljgdbb - D:\WINDOWS\SYSTEM32\mljgdbb.dll O20 - Winlogon Notify: rpcc - D:\WINDOWS\system32\rpcc.dll O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - D:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - D:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: clinker - {a4029063-4fe3-422c-ac72-12905c09642a} - D:\WINDOWS\system32\xtsyynm.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Program Files\Sandboxie\SbieSvc.exe – End of file - 6156 bytes

qrczak13 · 12 Sierpień 2007 22:27

Na początek postrzelamy:

Pobierz Windows Worms Doors Cleaner, ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Zastosuj SimtFraudFix, opcja 2 w trybie awaryjnym.

W trybie awaryjnym użyj VundoFix + FixVundo + VirtmundoBeGone

Po wykonaniu w/w daj log z ComboFix + opis zrobienia loga na samym dole.

asterisk · 12 Sierpień 2007 23:55

Bardzo proszę zmienić tytuł na konkretny,

gdyż w przeciwnym razie zaliczy Kosz

Azb3st18 · 13 Sierpień 2007 00:01

Oki no wiec zaczynam opis:

1.Przy wlaczaniu Windows Worms Doors Cleaner wszystko ustawilem na zielono a NetBios na zolto. Wszystko ok!

2.Nastepnie restart i tryb awaryjny wciaz irytowala mnie pojawiajaca sie ikonka ktora wyzej opisalem. Program SimtFraudFix bardzo ladnie sie spisal po uzyciu funkcji 2 i restarcie systemu system chodzil o niebo lepiej i ikonka znikla. Daje loga z SimtFraudFixa w razie czego (log dlugi wiec wkleilem)

http://wklej.org/id/8b6a3301e6

3.Czas na Vundo, zrobilem tak jak w opisie duzo plikow znalazlo i usunelo.

4.Po tych wszystkich czynnosciach system chodzi o niebo lepiej, serdecznie dziekuje. Jesli jescze moge zastosowac jakies kosmetyczne zmiany to prosze mnie poinformowac. Teraz log z ComboFixa:

ComboFix 07-08-09.3 - “Azb3st” 2007-08-13 1:32:33.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.293 [GMT 2:00] * Created a new restore point ADS removed - system32: deleted 65568 bytes in 1 streams. ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) D:\DOCUME~1\Azb3st\DANEAP~1\WinAntiVirus Pro 2007 D:\DOCUME~1\Azb3st\DANEAP~1\WinAntiVirus Pro 2007\avtasks.dat D:\DOCUME~1\Azb3st\DANEAP~1\WinAntiVirus Pro 2007\CookieList.dat D:\DOCUME~1\Azb3st\DANEAP~1\WinAntiVirus Pro 2007\history.db D:\DOCUME~1\Azb3st\DANEAP~1\WinAntiVirus Pro 2007\Logs\update.log D:\DOCUME~1\Azb3st\DANEAP~1\WinAntiVirus Pro 2007\Logs\wa7Support.log D:\DOCUME~1\Azb3st\DANEAP~1\WinAntiVirus Pro 2007\Logs\winav.log D:\DOCUME~1\Azb3st\DANEAP~1\WinAntiVirus Pro 2007\PGE.dat D:\Program Files\Common Files\winantivirus pro 2007 D:\WINDOWS\system32.exe D:\WINDOWS\system32\aiquqipv.dll D:\WINDOWS\system32\aqifwkas.dll D:\WINDOWS\system32\gfdhvfnx.dll D:\WINDOWS\system32\inyyrngv.ini D:\WINDOWS\system32\j7291031.dll D:\WINDOWS\system32\jfahworo.dll D:\WINDOWS\system32\kwojgwip.dll D:\WINDOWS\system32\ncxjclwp.dll D:\WINDOWS\system32\olhaoatw.dll D:\WINDOWS\system32\oxbohgbt.dll D:\WINDOWS\system32\piwgjowk.ini D:\WINDOWS\system32\pwlcjxcn.ini D:\WINDOWS\system32\qnwabmqu.dll D:\WINDOWS\system32\rpcc.dll D:\WINDOWS\system32\sakwfiqa.ini D:\WINDOWS\system32\sfosbvaw.dll D:\WINDOWS\system32\tbghobxo.ini D:\WINDOWS\system32\tcsxqkxu.ini D:\WINDOWS\system32\tsduypay.dll D:\WINDOWS\system32\turhglil.dll D:\WINDOWS\system32\uqmbawnq.ini D:\WINDOWS\system32\uxkqxsct.dll D:\WINDOWS\system32\vgnryyni.dll D:\WINDOWS\system32\vpiquqia.ini D:\WINDOWS\system32\wavbsofs.ini D:\WINDOWS\system32\wdrcdaux.dll D:\WINDOWS\system32\wtaoahlo.ini D:\WINDOWS\system32\wwghqmbe.dll D:\WINDOWS\system32\xnfvhdfg.ini D:\WINDOWS\system32\xuadcrdw.ini D:\WINDOWS\system32\yapyudst.ini D:\WINDOWS\update.exe ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_DOMAINSERVICE -------\DomainService ((((((((((((((((((((((((( Files Created from 2007-07-12 to 2007-08-12 ))))))))))))))))))))))))))))))) 2007-08-13 01:31 51,200 --a------ D:\WINDOWS\nircmd.exe 2007-08-13 00:46 2007-08-13 00:42 2,562 --a------ D:\WINDOWS\system32\tmp.reg 2007-08-13 00:40 2007-08-13 00:27 75,284 --a------ D:\WINDOWS\system32\umxfnckx.exe 2007-08-13 00:27 120,852 --a------ D:\WINDOWS\system32\wmvcrcim.dll 2007-08-12 22:31 524,288 --ah----- D:\DOCUME~1\ADMINI~1\NTUSER.DAT 2007-08-12 22:31 2007-08-12 22:31 2007-08-12 22:31 2007-08-12 22:31 2007-08-12 22:31 2007-08-12 22:31 2007-08-12 22:31 2007-08-12 17:23 253,398 --a------ D:\WINDOWS\system32\xsibykvh.exe 2007-08-12 16:29 2007-08-11 19:45 253,400 --a------ D:\WINDOWS\system32\ccjixjkj.exe 2007-08-11 17:11 253,400 --a------ D:\WINDOWS\system32\riscplak.exe 2007-08-11 16:20 253,402 --a------ D:\WINDOWS\system32\hakvjwsj.exe 2007-08-11 14:51 253,408 --a------ D:\WINDOWS\system32\llivypbd.exe 2007-08-10 17:41 253,408 --a------ D:\WINDOWS\system32\gpuclrwq.exe 2007-08-10 15:44 253,402 --a------ D:\WINDOWS\system32\vbhroedh.exe 2007-08-10 03:07 2007-08-10 03:07 2007-08-10 03:07 2007-08-10 03:07 2007-08-10 03:07 2007-08-10 02:15 253,402 --a------ D:\WINDOWS\system32\bigoyxfp.exe 2007-08-10 01:34 253,406 --a------ D:\WINDOWS\system32\bhyuwtqh.exe 2007-08-09 17:00 253,406 --a------ D:\WINDOWS\system32\hshpohsd.exe 2007-08-09 15:50 2007-08-09 15:43 253,396 --a------ D:\WINDOWS\system32\agvwrdkj.exe 2007-08-09 15:39 85,376 --a–c— D:\WINDOWS\system32\dllcache\nabtsfec.sys 2007-08-09 15:39 85,376 --a------ D:\WINDOWS\system32\drivers\NABTSFEC.sys 2007-08-09 15:39 5,504 --a–c— D:\WINDOWS\system32\dllcache\mstee.sys 2007-08-09 15:39 5,504 --a------ D:\WINDOWS\system32\drivers\MSTEE.sys 2007-08-09 15:39 19,328 --a–c— D:\WINDOWS\system32\dllcache\wstcodec.sys 2007-08-09 15:39 19,328 --a------ D:\WINDOWS\system32\drivers\WSTCODEC.SYS 2007-08-09 15:39 17,024 --a–c— D:\WINDOWS\system32\dllcache\ccdecode.sys 2007-08-09 15:39 17,024 --a------ D:\WINDOWS\system32\drivers\CCDECODE.sys 2007-08-09 15:39 15,360 --a–c— D:\WINDOWS\system32\dllcache\streamip.sys 2007-08-09 15:39 15,360 --a------ D:\WINDOWS\system32\drivers\StreamIP.sys 2007-08-09 15:39 11,136 --a–c— D:\WINDOWS\system32\dllcache\slip.sys 2007-08-09 15:39 11,136 --a------ D:\WINDOWS\system32\drivers\SLIP.sys 2007-08-09 15:39 10,880 --a–c— D:\WINDOWS\system32\dllcache\ndisip.sys 2007-08-09 15:39 10,880 --a------ D:\WINDOWS\system32\drivers\NdisIP.sys 2007-08-09 15:38 54,784 --a–c— D:\WINDOWS\system32\dllcache\vfwwdm32.dll 2007-08-09 15:38 54,784 --a------ D:\WINDOWS\system32\vfwwdm32.dll 2007-08-09 15:37 69,632 --a------ D:\WINDOWS\system32\LVUI2RC.dll 2007-08-09 15:37 59,904 --a------ D:\WINDOWS\system32\drivers\lvcam2.dll 2007-08-09 15:37 57,344 --a------ D:\WINDOWS\system32\LVComC.dll 2007-08-09 15:37 53,248 --a------ D:\WINDOWS\system32\LVFWWDMT.dll 2007-08-09 15:37 412,672 --a------ D:\WINDOWS\system32\drivers\lvcodek2.dll 2007-08-09 15:37 38,912 --a------ D:\WINDOWS\system32\drivers\lvcd.sys 2007-08-09 15:37 275,936 --a------ D:\WINDOWS\system32\LVComS.exe 2007-08-09 15:37 200,704 --a------ D:\WINDOWS\system32\LVUI2.dll 2007-08-09 15:37 172,032 --a------ D:\WINDOWS\system32\lvcodec2.dll 2007-08-09 15:36 466,944 --a------ D:\WINDOWS\system32\CIMSVR.exe 2007-08-09 15:36 28,672 --a------ D:\WINDOWS\system32\CIMSVRps.dll 2007-08-09 15:36 233,472 --a------ D:\WINDOWS\system32\CIMVIEW.dll 2007-08-09 15:36 147,456 --a------ D:\WINDOWS\system32\MimicICM.dll 2007-08-09 15:36 2007-08-09 15:36 2007-08-09 15:35 2007-08-09 15:35 2007-08-09 15:35 2007-08-09 15:32 2007-08-09 13:49 253,406 --a------ D:\WINDOWS\system32\trghbnas.exe 2007-08-09 11:12 253,396 --a------ D:\WINDOWS\system32\xbapimej.exe 2007-08-09 11:07 253,406 --a------ D:\WINDOWS\system32\lqlhrkxp.exe 2007-08-08 22:55 253,408 --a------ D:\WINDOWS\system32\vnqlgbbw.exe 2007-08-08 13:09 244,182 --a------ D:\WINDOWS\system32\ernmcrfa.exe 2007-08-07 22:23 244,182 --a------ D:\WINDOWS\system32\rsoiahcd.exe 2007-08-07 22:08 244,184 --a------ D:\WINDOWS\system32\ypgakndl.exe 2007-08-07 12:56 244,184 --a------ D:\WINDOWS\system32\iirjobmi.exe 2007-08-06 14:14 244,188 --a------ D:\WINDOWS\system32\pqqypeqk.exe 2007-08-05 22:16 244,182 --a------ D:\WINDOWS\system32\gyljeeuy.exe 2007-08-05 18:53 2007-08-05 17:28 244,190 --a------ D:\WINDOWS\system32\mxuuciqi.exe 2007-08-05 17:28 120,852 --a------ D:\WINDOWS\system32\vebdsotm.dll 2007-08-05 16:58 244,192 --a------ D:\WINDOWS\system32\ggtssjol.exe 2007-08-05 10:39 244,182 --a------ D:\WINDOWS\system32\emblenxy.exe 2007-08-05 02:09 244,188 --a------ D:\WINDOWS\system32\tqeepgxh.exe 2007-08-05 02:09 120,852 --a------ D:\WINDOWS\system32\ehwvwkmn.dll 2007-08-04 23:27 244,184 --a------ D:\WINDOWS\system32\lufephap.exe 2007-08-04 14:10 244,186 --a------ D:\WINDOWS\system32\cvmhiwfr.exe 2007-08-04 13:58 244,188 --a------ D:\WINDOWS\system32\dhikdoqu.exe 2007-08-04 13:58 120,852 --a------ D:\WINDOWS\system32\kapodphw.dll 2007-08-04 13:06 244,188 --a------ D:\WINDOWS\system32\lnoovcvy.exe 2007-08-04 09:43 244,188 --a------ D:\WINDOWS\system32\kdgsabmx.exe 2007-08-04 06:01 2007-08-04 06:00 2007-08-04 06:00 2007-08-04 03:42 244,192 --a------ D:\WINDOWS\system32\bmihgdmk.exe 2007-08-03 23:36 244,194 --a------ D:\WINDOWS\system32\etrjmflc.exe 2007-08-03 23:13 244,186 --a------ D:\WINDOWS\system32\ppeuigfv.exe 2007-08-03 18:12 244,190 --a------ D:\WINDOWS\system32\evcakxmo.exe 2007-08-03 17:35 2007-08-03 01:09 244,184 --a------ D:\WINDOWS\system32\jupjaqjy.exe 2007-08-02 17:11 244,180 --a------ D:\WINDOWS\system32\ipajgbyk.exe (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-13 01:37 --------- d-------- D:\Program Files\Wanadoo 2007-08-12 23:52 --------- d-------- D:\Program Files\FlashGet 2007-08-12 23:33 --------- d-------- D:\Program Files\AdsGone 2007-08-09 15:36 --------- d–h----- D:\Program Files\InstallShield Installation Information 2007-08-05 11:55 --------- d-------- D:\Program Files\Call of Duty 2007-08-04 09:06 74450 --a------ D:\WINDOWS\system32\perfc015.dat 2007-08-04 09:06 448348 --a------ D:\WINDOWS\system32\perfh015.dat 2007-07-21 14:30 684032 --a------ D:\WINDOWS\system32\libeay32.dll 2007-07-21 14:30 155648 --a------ D:\WINDOWS\system32\ssleay32.dll 2007-07-18 20:17 --------- d-------- D:\DOCUME~1\Azb3st\DANEAP~1\teamspeak2 2007-07-12 19:12 --------- d-------- D:\DOCUME~1\Azb3st\DANEAP~1\Tibia 2007-07-12 11:48 244190 --a------ D:\WINDOWS\system32\jfoeembo.exe 2007-07-12 02:17 244192 --a------ D:\WINDOWS\system32\muyiaicm.exe 2007-07-12 02:16 244182 --a------ D:\WINDOWS\system32\hctfthib.exe 2007-07-11 23:25 244192 --a------ D:\WINDOWS\system32\dxybaqbf.exe 2007-07-11 13:56 244194 --a------ D:\WINDOWS\system32\nxsslbgh.exe 2007-07-11 13:25 244190 --a------ D:\WINDOWS\system32\ksuxbwjr.exe 2007-07-10 23:41 244188 --a------ D:\WINDOWS\system32\doeeofnf.exe 2007-07-10 23:16 244182 --a------ D:\WINDOWS\system32\goriiaqw.exe 2007-07-10 22:33 244182 --a------ D:\WINDOWS\system32\kmdqcmkg.exe 2007-07-10 15:29 244182 --a------ D:\WINDOWS\system32\jaylucbr.exe 2007-07-09 22:36 244192 --a------ D:\WINDOWS\system32\lrhhohgj.exe 2007-07-09 13:01 228832 --a------ D:\WINDOWS\system32\icvdnisw.exe 2007-07-09 08:42 --------- d-------- D:\Program Files\RTL Playtainment 2007-07-09 07:00 228826 --a------ D:\WINDOWS\system32\jufoxeow.exe 2007-07-08 22:35 228832 --a------ D:\WINDOWS\system32\mwbrbdej.exe 2007-07-08 22:21 228822 --a------ D:\WINDOWS\system32\dhjskdro.exe 2007-07-08 11:27 228820 --a------ D:\WINDOWS\system32\rnmvlrox.exe 2007-07-07 18:12 228826 --a------ D:\WINDOWS\system32\ulqwjxat.exe 2007-07-07 11:48 228834 --a------ D:\WINDOWS\system32\kjsselpo.exe 2007-07-06 11:24 228830 --a------ D:\WINDOWS\system32\dftvcwlq.exe 2007-07-06 10:33 228824 --a------ D:\WINDOWS\system32\lgtpkiiv.exe 2007-07-06 10:19 228830 --a------ D:\WINDOWS\system32\xyisbisa.exe 2007-07-06 09:59 --------- d-------- D:\DOCUME~1\Azb3st\DANEAP~1\Skype 2007-07-06 08:16 228832 --a------ D:\WINDOWS\system32\mlexdtvt.exe 2007-07-06 07:58 --------- d-------- D:\Program Files\Lavasoft 2007-07-06 07:58 --------- d-------- D:\DOCUME~1\Azb3st\DANEAP~1\Lavasoft 2007-07-06 07:52 228826 --a------ D:\WINDOWS\system32\cdpplmdy.exe 2007-07-06 07:34 --------- d-------- D:\DOCUME~1\Azb3st\DANEAP~1\Xfire 2007-07-06 07:33 --------- d—s---- D:\Program Files\Xfire 2007-07-06 07:30 --------- d-------- D:\Program Files\CCleaner 2007-07-06 06:41 228822 --a------ D:\WINDOWS\system32\fxcnordl.exe 2007-07-06 06:32 228826 --a------ D:\WINDOWS\system32\howuylua.exe 2007-07-06 01:38 --------- d-------- D:\Program Files\Sandboxie 2007-07-06 01:14 228828 --a------ D:\WINDOWS\system32\jtbtajnw.exe 2007-07-05 23:50 228826 --a------ D:\WINDOWS\system32\idbabtqm.exe 2007-07-05 22:02 228818 --a------ D:\WINDOWS\system32\thsfuirl.exe 2007-07-05 19:44 228826 --a------ D:\WINDOWS\system32\euykxcnf.exe 2007-05-30 20:26 192990 --a------ D:\WINDOWS\system32\getvrgdq.exe 2007-05-25 19:27 25088 --a------ D:\WINDOWS\system32\msxml3a.dll 2007-05-22 09:59 217600 --a------ D:\WINDOWS\iun3405.exe 2007-05-22 09:58 212992 --a------ D:\WINDOWS\alcupd.exe 2007-05-22 09:58 139264 --a------ D:\WINDOWS\alcrmv.exe 2007-05-22 09:32 524288 --a------ D:\WINDOWS\system32\ati2sgag.exe 2007-05-22 09:32 417792 --a------ D:\WINDOWS\system32\ati2evxx.exe 2007-05-22 09:32 159744 --a------ D:\WINDOWS\system32\NeroCheck.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{32904F52-3133-4F1C-AC05-19710A93C728}] D:\WINDOWS\system32\gvwkiphk.dll [HKEY_LOCAL_MACHINE~\Browser Helper Objects{7A0A7DBB-609D-4920-901D-6C7C49978248}] D:\WINDOWS\system32\gvwkiphk.dll [HKEY_LOCAL_MACHINE~\Browser Helper Objects{B2A1922E-20E8-4095-BF3C-E2157D39E04e}] D:\WINDOWS\system32\gvwkiphk.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “AtiPTA”=“atiptaxx.exe” [2002-07-25 11:04 D:\WINDOWS\system32\atiptaxx.exe] “SoundMan”=“SOUNDMAN.EXE” [2002-09-11 04:57 D:\WINDOWS\SOUNDMAN.EXE] “SpeedTouch USB Diagnostics”=“D:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe” [2002-06-06 11:15] “WOOWATCH”=“D:\PROGRA~1\Wanadoo\Watch.exe” [2002-12-09 18:24] “WOOTASKBARICON”=“D:\PROGRA~1\Wanadoo\TaskbarIcon.exe” [2002-12-09 18:24] “WheelMouse”=“D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe” [2004-08-25 07:35] “HPDJ Taskbar Utility”=“D:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe” [2002-07-11 14:54] “orcToByloLatwe”=“C:\WINDOWS\services.exe” [2007-05-10 12:40] “SysCtrl”=“D:\WINDOWS\system32.exe” [] “RealTray”=“D:\Program Files\Real\RealPlayer\RealPlay.exe” [2007-08-09 15:35] “LVCOMS”=“D:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE” [2001-11-13 15:43] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“D:\WINDOWS\system32\ctfmon.exe” [2004-08-04 01:44] “MsnMsgr”=“D:\Program Files\MSN Messenger\MsnMsgr.exe” [2007-05-22 09:51] “Gadu-Gadu”=“D:\Program Files\Gadu-Gadu7.6\gg.exe” [2007-01-30 16:58] “SandboxieControl”=“D:\Program Files\Sandboxie\Control.exe” [2007-04-20 02:21] “Adsgone”=“d:\program files\adsgone\adsgone.exe” [2007-05-30 10:03] D:\Documents and Settings\Azb3st\Menu Start\Programy\Autostart\ AdsGone.lnk - D:\Program Files\AdsGone\AdsGone.exe [2007-07-06 08:36:47] D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ PalStart.lnk - D:\Program Files\Paltalk Messenger\palstart.exe [2007-05-25 19:55:33] R3 alcan5wn;Alcatel SpeedTouch USB ADSL PPP Networking Driver (NDISWAN);D:\WINDOWS\system32\DRIVERS\alcan5wn.sys R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;D:\WINDOWS\system32\DRIVERS\Amps2prt.sys R3 SbieDrv;SbieDrv;??\D:\Program Files\Sandboxie\SbieDrv.sys S2 SVKP;SVKP;??\D:\WINDOWS\system32\SVKP.sys S3 g0wkudr1ver;g0wkudr1ver;??\D:\DOCUME~1\Azb3st\USTAWI~1\Temp\Rar$EX00.812\super\g0wku.sys S3 GMSIPCI;GMSIPCI;??\E:\INSTALL\GMSIPCI.SYS S3 Networktemple01;Networktemple01;??\D:\DOCUME~1\Azb3st\USTAWI~1\Temp\Rar$EX02.266\DK Hack\Networktemple.sys S3 XTrapD12;XTrapD12;??\D:\WINDOWS\system32\XTrapD12.sys [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Usnsvc usnsvc Contents of the ‘Scheduled Tasks’ folder 2007-07-06 06:37:04 D:\WINDOWS\Tasks\AdsGone.job - D:\Program Files\AdsGone\AdsGone.exe ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-13 01:36:55 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden registry entries … [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,… [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] “D:\Documents and Settings\Azb3st\Pulpit\YurOts_0.3__Vers_o_8.0_01\YurOts 0.3 (Vers\x103o 8.0)0\Yurots 0.3 Vers\x103o 0.8.exe”=“Yurots 0.3 Vers\xe3o 0.8” “D:\YurOts 0.3\Yurots 0.3 Vers\x103o 0.8.exe”=“Yurots 0.3 Vers\xe3o 0.8” “D:\Documents and Settings\Azb3st\Pulpit\YurOts 0.3 (Vers\x103o 8.0)0\Yurots 0.3 Vers\x103o 0.8.exe”=“Yurots 0.3 Vers\xe3o 0.8” “D:\Yourek 8.0\Yurots 0.3 Vers\x103o 0.8.exe”=“Yurots 0.3 Vers\xe3o 0.8” “D:\Documents and Settings\Azb3st\Pulpit\YurOts 0.3 (Vers\x103o 8.0)0\Remote-Control.exe”=“Remote-Control” scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-13 1:39:09 - machine was rebooted D:\ComboFix-quarantined-files.txt … 2007-08-13 01:38 — E O F —

asterisk · 13 Sierpień 2007 00:03

A należało zacząć od czego innego

Z powodu niekonkretnego tytułu Twój topic zostaje

zamknięty do czasu zatwierdzenia zaproponowanej

przez Ciebie zmiany, którą możesz wysłać, wraz

z linkiem do tematu, na PW do dowolnego Moderatora.

.

boczi · 13 Sierpień 2007 11:07

Temat odblokowany

jessica · 13 Sierpień 2007 12:45

Jeśli nie masz żadnego „usuwacza”, to ściągnij OTMoveIt.

Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:

D:\WINDOWS\system32\umxfnckx.exe D:\WINDOWS\system32\wmvcrcim.dll D:\WINDOWS\system32\xsibykvh.exe D:\WINDOWS\system32\ccjixjkj.exe D:\WINDOWS\system32\riscplak.exe D:\WINDOWS\system32\hakvjwsj.exe D:\WINDOWS\system32\llivypbd.exe D:\WINDOWS\system32\gpuclrwq.exe D:\WINDOWS\system32\vbhroedh.exe D:\WINDOWS\system32\bigoyxfp.exe D:\WINDOWS\system32\bhyuwtqh.exe D:\WINDOWS\system32\hshpohsd.exe D:\WINDOWS\system32\agvwrdkj.exe D:\WINDOWS\system32\trghbnas.exe D:\WINDOWS\system32\xbapimej.exe D:\WINDOWS\system32\lqlhrkxp.exe D:\WINDOWS\system32\vnqlgbbw.exe D:\WINDOWS\system32\ernmcrfa.exe D:\WINDOWS\system32\rsoiahcd.exe D:\WINDOWS\system32\ypgakndl.exe D:\WINDOWS\system32\iirjobmi.exe D:\WINDOWS\system32\pqqypeqk.exe D:\WINDOWS\system32\gyljeeuy.exe D:\WINDOWS\system32\mxuuciqi.exe D:\WINDOWS\system32\vebdsotm.dll D:\WINDOWS\system32\ggtssjol.exe D:\WINDOWS\system32\emblenxy.exe D:\WINDOWS\system32\tqeepgxh.exe D:\WINDOWS\system32\ehwvwkmn.dll D:\WINDOWS\system32\lufephap.exe D:\WINDOWS\system32\cvmhiwfr.exe D:\WINDOWS\system32\dhikdoqu.exe D:\WINDOWS\system32\kapodphw.dll D:\WINDOWS\system32\lnoovcvy.exe D:\WINDOWS\system32\kdgsabmx.exe D:\WINDOWS\system32\bmihgdmk.exe D:\WINDOWS\system32\etrjmflc.exe D:\WINDOWS\system32\ppeuigfv.exe D:\WINDOWS\system32\evcakxmo.exe D:\WINDOWS\system32\jupjaqjy.exe D:\WINDOWS\system32\ipajgbyk.exe D:\WINDOWS\system32\jfoeembo.exe D:\WINDOWS\system32\muyiaicm.exe D:\WINDOWS\system32\hctfthib.exe D:\WINDOWS\system32\dxybaqbf.exe D:\WINDOWS\system32\nxsslbgh.exe D:\WINDOWS\system32\ksuxbwjr.exe D:\WINDOWS\system32\doeeofnf.exe D:\WINDOWS\system32\goriiaqw.exe D:\WINDOWS\system32\kmdqcmkg.exe D:\WINDOWS\system32\jaylucbr.exe D:\WINDOWS\system32\lrhhohgj.exe D:\WINDOWS\system32\icvdnisw.exe D:\WINDOWS\system32\jufoxeow.exe D:\WINDOWS\system32\mwbrbdej.exe D:\WINDOWS\system32\dhjskdro.exe D:\WINDOWS\system32\rnmvlrox.exe D:\WINDOWS\system32\ulqwjxat.exe D:\WINDOWS\system32\kjsselpo.exe D:\WINDOWS\system32\dftvcwlq.exe D:\WINDOWS\system32\lgtpkiiv.exe D:\WINDOWS\system32\xyisbisa.exe D:\WINDOWS\system32\mlexdtvt.exe D:\WINDOWS\system32\cdpplmdy.exe D:\WINDOWS\system32\fxcnordl.exe D:\WINDOWS\system32\howuylua.exe D:\WINDOWS\system32\jtbtajnw.exe D:\WINDOWS\system32\idbabtqm.exe D:\WINDOWS\system32\thsfuirl.exe D:\WINDOWS\system32\euykxcnf.exe D:\WINDOWS\system32\getvrgdq.exe C:\WINDOWS\services.exe

Następnie wciśnij przycisk MoveIt!

Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes.

Po restarcie usuń ręcznie folder C:** _OTMoveIt** (Prawoklik >>> Usuń >>> Opróżnij Kosz).

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem daj nowe logi z Hijacka i ComboFixa.

.

Azb3st18 · 13 Sierpień 2007 15:18

Ok dzięki! Wszystko wykonałem według wskazówek. O to logi:

-HiJackThis

http://www.wklej.org/id/d2cf959182

-ComboFix

http://www.wklej.org/id/b4a66f623a

Pozdrawiam.

jessica · 13 Sierpień 2007 15:45

Mamy następną porcję:

Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:

D:\WINDOWS\system32\bwxcvxlp.exe D:\WINDOWS\system32\smtffmwl.exe D:\WINDOWS\system32\dxywasil.exe D:\WINDOWS\system32\mgiblfdc.exe D:\WINDOWS\system32\nrxodosb.exe D:\WINDOWS\system32\gfkytsea.exe D:\WINDOWS\system32\xihmvkjg.exe D:\WINDOWS\system32\jwidtxvh.exe D:\WINDOWS\system32\vwkhvmri.exe D:\WINDOWS\system32\ohsgjfvo.exe D:\WINDOWS\system32\bmjvwvtw.exe D:\WINDOWS\system32\dceghtaj.exe D:\WINDOWS\system32\jfybsfcc.exe D:\WINDOWS\system32\okdvublh.dll D:\WINDOWS\system32\vgtvxrgn.exe D:\WINDOWS\system32\idkfrtmy.exe D:\WINDOWS\system32\fhliknlk.exe D:\WINDOWS\system32\ibaukfno.exe D:\WINDOWS\system32\mqtpqusw.exe D:\WINDOWS\system32\bngaqstw.exe D:\WINDOWS\system32\joyrccwd.exe D:\WINDOWS\system32\pkurxhcu.exe D:\WINDOWS\system32\fudvrgmq.exe D:\WINDOWS\system32\vddlhbrw.exe D:\WINDOWS\system32\ciukqruc.exe D:\WINDOWS\system32\mykbdwri.exe D:\WINDOWS\system32\ymngbiuv.exe D:\WINDOWS\system32\opmtjdxi.exe D:\WINDOWS\system32\hpwmgyqk.exe D:\WINDOWS\system32\votwslkw.exe D:\WINDOWS\system32\ndbcaivn.exe D:\WINDOWS\system32\ifnjlyux.exe D:\WINDOWS\system32\xlhefntv.exe D:\WINDOWS\system32\hswkmivu.exe D:\WINDOWS\system32\njlnuxeq.exe D:\WINDOWS\system32\rukkndsc.exe D:\WINDOWS\system32\plfydnpi.exe D:\WINDOWS\system32\flltdnwm.exe D:\WINDOWS\system32\cqfmekux.exe D:\WINDOWS\system32\mirptpya.exe D:\WINDOWS\system32\fgdogcyd.exe

Następnie wciśnij przycisk MoveIt!

Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes.

Po restarcie usuń ręcznie folder C:** _OTMoveIt** (Prawoklik >>> Usuń >>> Opróżnij Kosz).

I znowu daj log z Hijacka - pewnie będzie w nim następna porcja plików tego “VUNDO”.

.

Azb3st18 · 13 Sierpień 2007 16:11

Ok, o to proszony log z HiJackThis:

http://www.wklej.org/id/f805798761

jessica · 13 Sierpień 2007 16:17

Przepraszam - pomyliłam się - chodziło mi o log z ComboFixa.

Jeszcze raz przepraszam za moją pomyłkę.

.

EDIT:

Przy okazji: sfiksuj ten w/w wpis w Hijacku.

.

Azb3st18 · 13 Sierpień 2007 16:26

Tak coś właśnie myślałem Nic nie szkodzi zaraz dam edita i loga z ComboFixa.

EDIT:

ComboFix

http://www.wklej.org/id/716594cb4b

Już widze kolejną porcję. Mam jescze pytanie odnośnie tego rejestru. Były to servery w grze, których już dawno nie mam na dysku a nie moge usunąć tych błędów z rejestru.

jessica · 13 Sierpień 2007 16:56

No tak, następna porcja. I chyba zostaniesz rekordzistą - bo do tej pory rekord wynosił 200 plików “VUNDO” - z takim przypadkiem się zetknęłam dotychczas. U Ciebie chyba ten rekord będzie znacznie wyższy, bo infekcję miałeś 5 maja, a usuwamy dopiero z 13 lipca - do 5 maja jeszcze daleko.

Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:

D:\WINDOWS\system32\frlvydrv.exe D:\WINDOWS\system32\qursvmrx.exe D:\WINDOWS\system32\emvajprs.exe D:\WINDOWS\system32\ibpbxyda.exe D:\WINDOWS\system32\talqnbcg.exe D:\WINDOWS\system32\ojyftqtw.exe D:\WINDOWS\system32\xtpmrufy.exe D:\WINDOWS\system32\eruqwapc.exe D:\WINDOWS\system32\psujrdgp.exe D:\WINDOWS\system32\hsvkigir.exe D:\WINDOWS\system32\dlfxltgk.exe D:\WINDOWS\system32\hjcfnurx.exe D:\WINDOWS\system32\hobsiucj.exe D:\WINDOWS\system32\fqbgkuwk.exe D:\WINDOWS\system32\tjrypdrt.exe D:\WINDOWS\system32\hocffvso.exe D:\WINDOWS\system32\uxodsxkh.exe D:\WINDOWS\system32\vvvcmqoq.exe D:\WINDOWS\system32\qhyrmiiq.exe D:\WINDOWS\system32\ixvtwjrr.exe D:\WINDOWS\system32\xpchpqik.exe D:\WINDOWS\system32\bifirdbw.exe D:\WINDOWS\system32\efgahogc.exe D:\WINDOWS\system32\dclrltoo.exe D:\WINDOWS\system32\boywotug.exe D:\WINDOWS\system32\sys34.exe D:\WINDOWS\system32\bwxacmxd.exe D:\WINDOWS\system32\jthamqxr.exe D:\WINDOWS\system32\cjmgamcx.exe D:\WINDOWS\system32\clljwrpe.exe

Następnie wciśnij przycisk MoveIt!

Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes.

Po restarcie usuń ręcznie folder C:** _OTMoveIt** (Prawoklik >>> Usuń >>> Opróżnij Kosz).

Widzę, że oprócz VUNDO miałeś od 14 lipca także Keyloggera.

.Daj nowy log z ComboFixa.

.

EDIT:

A jeśli chodzi o ten rejestr:

>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT >>OK>

>>rozwiń ten klucz:

>>(+)HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

>>w okienku po prawej odszukaj te wartości >>prawoklik>>usuń

.

Azb3st18 · 13 Sierpień 2007 18:36

Wszystko wyrzuciłem według wskazówek. Już nie ma tego aż tak dużo, czyżby to był koniec? Log z ComboFixa:

http://www.wklej.org/id/0c9bde59f4

jessica · 13 Sierpień 2007 18:43

Ja nie widzę już nic do usuwania!

Trochę jestem zaskoczona, bo pierwszy plik VUNDO był z 5 maja, ale widocznie później nastąpiła przerwa w infekcji.

Ale najważniejsze, że jest już czysto.

.

Azb3st18 · 13 Sierpień 2007 18:47

Serdecznie dziękuje za pomoc miłej informatyczki. Ale przed chwilą zdziwił mnie natychmiastowy reset komputera bez żadnych ostrzeżeń. Jeśli problem się powtórzy to zwróce się ku pomocy. Narazie jescze raz dziękuje i pozdrawiam.