Robak algs.exe


(Badzio9) #1

Komp zaczął coraz wolniej chodzić , na początku dobrze ale zwalniał coraz bardziej więc zeskanowałem HJT.

No i tu jest problem, nie mogę usunąć tego algs.exe bo się przywraca:/ Nie wiem jeszcze czy tylko ten wpis jest zły. Pomocy.


(Gutek) #2

Użyj VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone.

Daj log z Combofix


(Badzio9) #3

Daję loga z Combofixa:

Wydaje mi się że log jest dwa razy bo dwa razy klikałem ten plik exe.

Btw. Tamto usunąłem(algs.exe i jakieś pliki jkkasdas.exe[nazwy dokładnej nie pamiętam bo vundo je usuwał i miały szyfrowaną losowo nazwę]) jednak teraz mam jeszcze inny problem. Właśnie z procesem iexplore.exe. Jak go wyłączam w menadżerze zadań to po ok 20s komputer mi sam się restartuje, a właściwie to resetuje bez wznowienia pracy, zatrzymuje się na czarnym ekranie i muszę walnąć mu reset. Poza tym przed restartem nie wyświetla nic tylko odrazu tak jakby się wyłączał (wiem że w innych porzypadkach jest odliczanie 59s do wyłączenia a tu nie ma więc shutdown -a nie można użyć żeby to zatrzymać. Nie wiem czemu tak się robi. Pomocy jeszcze raz.

Złączono Posta : 26.06.2007 (Wto) 22:30

Logfile of HijackThis v1.99.1

Scan saved at 22:10, on 2007-06-26

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\cFosSpeed\spd.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\logon.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\ComboFix\21847.cfexe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\rundll32.exe

C:\ComboFix\23003.cfexe

C:\ComboFix\23071.cfexe

C:\WINDOWS\explorer.exe

D:\Program Files\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = L1cza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplore.exe

O4 - HKLM..\Run: [Windows Logon Application] C:\WINDOWS\System32\logon.exe

O4 - HKLM..\Run: [spooler SubSystem App] C:\WINDOWS\System32\spoolsvc.exe

O4 - HKLM..\RunOnce: [wextract_cleanup0] rundll32.exe C:\WINDOWS\System32\advpack.dll,DelNodeRunDLL32 "C:\DOCUME~1\Daniel\USTAWI~1\Temp\IXP000.TMP\"

O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O17 - HKLM\System\CCS\Services\Tcpip..{397AC643-4EB2-4F5C-997E-9EE3066B4223}: NameServer = 194.204.159.1 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip..{397AC643-4EB2-4F5C-997E-9EE3066B4223}: NameServer = 194.204.159.1 217.98.63.164

O17 - HKLM\System\CS2\Services\Tcpip..{397AC643-4EB2-4F5C-997E-9EE3066B4223}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Program Files\cFosSpeed\spd.exe" -service (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

O23 - Service: VideoAcceleratorEngine - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exe


(qrczak13) #4

Ściągnij The Avenger,

wypakuj > uruchom > Input script manually > klikasz w lupkę > w nowo otwartym oknie wklejasz:

Po wklejeniu > Done > klik na zielone światło > ok i będzie restart. Po restarcie wchodzisz gdzie masz The Avenger wklejasz raport C:\avenger.txt oraz nowy log z combofix.


(Badzio9) #5

Log z combo:

i z avengera:

Już jest trochę lepiej lecz jak kasowałem avengerem to mi wyskoczyło odl;iczanie do zamknięcia (nie to z programu):confused:


(qrczak13) #6

The Avenger > uruchom > Input script manually > klikasz w lupkę > w nowo otwartym oknie wklejasz:

Po wklejeniu > Done > klik na zielone światło > ok i będzie restart. Po restarcie wchodzisz gdzie masz The Avenger wklejasz raport C:\avenger.txt.

Do notatnika wklej:

Plik > zapisz jako > zmień rozszerzenie z .txt na wszystkie pliki > zapisz pod nazwą Fix.reg np na

pulpicie > dwuklik na Fix.reg > potwierdzasz > restart.

Czyszczenie rejestru - jv16 PowerTools 2006 1.5.2.350

Nowy log z combo po wykonaniu.


(Badzio9) #7

Proszę Cię bardzo, oto log:

PS.

Zauważyłem że mam teraz częste restarty kompa bez przyczyny na czarny ekran i dalej nic pozostaje mi reset.

Jeszcze log z avengera:

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\scqqdgqv


*******************


Script file located at: \??\C:\WINDOWS\vxkqovjq.txt

Script file opened successfully.


Script file read successfully


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


File C:\WINDOWS\system32\bvdiefbi.exe deleted successfully.

File C:\WINDOWS\system32\drivers\uunry^xj.sys deleted successfully.

File C:\WINDOWS\system32\nhyzg.exe deleted successfully.

File C:\WINDOWS\system32\rccjraf.exe deleted successfully.

File C:\WINDOWS\system32\qanqkwy.exe deleted successfully.

File C:\WINDOWS\system32\avat.exe deleted successfully.


Completed script processing.


*******************


Finished! Terminate.

Złączono Posta : 27.06.2007 (Sro) 19:12Proszę Cię bardzo, oto log:

PS. Zauważyłem że mam teraz częste restarty kompa bez przyczyny na czarny ekran i dalej nic pozostaje mi reset. Jeszcze log z avengera:

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\scqqdgqv


*******************


Script file located at: \??\C:\WINDOWS\vxkqovjq.txt

Script file opened successfully.


Script file read successfully


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


File C:\WINDOWS\system32\bvdiefbi.exe deleted successfully.

File C:\WINDOWS\system32\drivers\uunry^xj.sys deleted successfully.

File C:\WINDOWS\system32\nhyzg.exe deleted successfully.

File C:\WINDOWS\system32\rccjraf.exe deleted successfully.

File C:\WINDOWS\system32\qanqkwy.exe deleted successfully.

File C:\WINDOWS\system32\avat.exe deleted successfully.


Completed script processing.


*******************


Finished! Terminate.

(qrczak13) #8

Usuń folder Hijackthis Backups.

The Avenger > uruchom > Input script manually > klikasz w lupkę > w nowo otwartym oknie wklejasz:

Po wklejeniu > Done > klik na zielone światło > ok i będzie restart. Po restarcie wchodzisz gdzie masz The Avenger wklejasz raport C:\avenger.txt

W trybie awaryjnym użyj VundoFix + FixVundo + VirtmundoBeGone

Po tym nowy log combo.


(Badzio9) #9

No to będzie tak. Log z VBG:

Dodatkowo przeskanowałem avastem i mi znalazł coś w system32 i odrazu przemianowałem nazwę żeby się nie odpalało. Do tego zeskanowałem jeszcze a-sqared Free i też coś znalazł i usunął. Dodam że jeszcze mam restarty kompa bez powodu:/ Miałem jeszcze zrobić loga z combofixa ale właśnie nie mogę explorera włączyć bo się sam wyłączył:confused:


(adam9870) #10

Tak, wykonaj i wklej tu nowy log z ComboFix. Jeśli masz problem z uruchomieniem procesu explorer.exe, sprobuj uruchomić ponownie system, a jeśli i to nie pomoże, to wywołaj Menedżera zadań (w tym celu wciśnij kombinację klawiszy CTRL + SHIFT + EST), przejdź na zakładkę Aplikacje, skorzystaj z opcji Nowe zadanie, w okienku które się otworzy wpisz nazwę uruchamianego procesu (w tym przypadku explorer.exe) i kliknij OK.


(Badzio9) #11

Dwie sprawy:

1) Dzięki za info ale nie wiem jakim innym sposobem mogłem uruchomić explorer.exe jak nie jednym z tych podanych sposobów

2) Brakujący log z combofixa:

Dodaję że nadal komputer mi sam się restartuje:/


(qrczak13) #12

Ściągasz Pocket Killbox,

zaznaczasz Delete on reboot , w polu Full Path of File to Delete wklej ścieżkę:

C:\WINDOWS\system32\ofdzqk.exe

i naciskasz X czerwony. Program poprosi o restart kompa, co robisz.

Podmień plik przy pomocy Konsoli odzyskiwania:

expand X:\i386\explorer.ex_ C:\Windows\explorer.exe

X - litera Twojego napędu.

C - litera partycji, na której znajduje się system operacyjny.


(Badzio9) #13

Log z combofixa:

Ps. nadal mam restarty kompa, nie wiem co z nim:/


(qrczak13) #14

Usuń.

Log ok.

Co do restartów to poczytaj o plikach minidmp:

Debugging Tools for Windows i pliki minidump