Witajcie,

serdecznie proszę o przeczytanie mojego maila i pomoc o ile ktoś bedzie wiedział jak mi pomóc.

Wczoraj wieczorem program na moim kompie - avast - poinformował mnie o tym, że jest jakiś trojan, była podana jakaś nazwa Win32 itd, itd (Przepraszam, ale niestety nie jestem biegły aż tak bardzo jeżeli chodzi o tematy informatyczne) Kliknąłem skasowanie intruza, ale cały czas program o tym mnie uprzedzał. W końcu użyłem paru programów do przeskanowania dysku i tak jak by problem znikł. Avast już nie alarmował o niczym i programy skanujace nie wykryły żadnego intruza, jednak pojawił się inny problem.

Zauważyłem komunikat, żebym zwolnił miejsce na dysku C… Wielkie było moje zdziwienie gdyż partycję C mam 15 Gb i tam mam tylko system tak więc coś mi nie grało i doszedłem do tego, że w Windows\pchealth\ErrorRep\UserDumps pojawiają się pliki np: svchost.exe.20080112-211104-00.hdmp i cały czas ich przybywa. Ja je kasuję a one zaraz znowu przybywają i tak w kółko. Jak wyłącze kompa i odepnę internet i go włącze ponowanie nie ma tego problemu, jednak jak tylko dołącze internet od razu pliki zaczynaja sie pojawiać i narastaja do momentu aż się skończy pojemność partycji c.

Nie wiem czy to ma znaczenie, ale te pojawiające się nowe pliki (co drugi) są zaznaczone na niebiesko, po czym w miarę pojawiania się robi się kolor czarny a nowe zaświecają się na niebiesko:( Zupełnie tego nie kumam:(

I teraz serdeczna prośba. Czy ktoś miał z czymś takim doczynienia, czy ktoś umie mi pomóc jak mam to naprawić itd. Serdeczni proszę o porady i wsparcie. Jeżeli juz ktoś będzie tak miły i będzie chciał mi pomóc to serdecznie proszę o napisanie odpowiedzi takim troszkę prostszym językiem - takim dla laików:)

Pozdrawia derdecznie i licze na Waszą nieocenioną pomoc.

Robert

Proszę wkleić loga z HijackThis oraz ComboFix. Opis jak używać tych programów znajdziesz tutaj --> viewtopic.php?f=16&t=36654

Witam ponownie,

zgodnie z Twoim zaleceniem wklejam:

Loga z Combo Fix znajdują się tu: http://wklej.org/id/c16dbfbb0a

Loga z Hijackthis sa następujące.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:24:51, on 2008-01-12

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

D:\Programy\PowerDVD\PDVDServ.exe

C:\Program Files\QuickTime\qttask.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\Programy\Winamp\Winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

D:\Programy\IVT Corporation\BlueSoleil\BlueSoleil.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Programy\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Canon\CAL\CALMAIN.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programy\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [RemoteControl] D:\Programy\PowerDVD\PDVDServ.exe

O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime

O4 - HKLM…\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [WinampAgent] “D:\Programy\Winamp\Winampa.exe”

O4 - HKLM…\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe

O4 - HKLM…\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: BlueSoleil.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Programy\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

–

End of file - 5976 bytes

Pozdrawiam i jakoś odzyskuje nadzieję, że nie będzie trzeba formatowac koma:(

Robert

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe

usuń wpisy HJT

Daj log z ComboFix

ojej, pisałem odpowiedź i coś się nie wkliło:( pisze jeszcze raz.

Logi z ComboFix - tak jak pisałem w swoim poprzednim poście - znajdują się tu: http://wklej.org/id/c16dbfbb0a

tak może byc czy mam je tutaj wkleić? Czy może chodzi o to żebym po usunięcieu tych dwóch wpisów - które podałeś wyżej - zrobić od nowa logi w ComboFix i ponownie je zamieścić?

Jeżeli chodzi o usunięcie tych dwóch wpisów zaczynających się na 04 to rozumiem, że kasuję je tymsamym programem, którym robiłem logi - zgodnie z instrukcją do której link przesłał mi Prejzes?

Przepraszam za takie może prost pytania, ale jak juz wcześniej pisałem jestem troszkę laikiem jeżeli chodzi już o takie tematy z kompami, ale jednoczesnie dziękuję za wyrozumiałość.

Pozdrawiam

Robert

Wklej do Notatnika:

File::

C:\WINDOWS\system32\Drivers\Qfk34.sys


Driver::

Qfk34

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Skan - Trend Micro - http://pl.trendmicro-europe.com/consume … launch.php

Witaj Gutek2222 i Prejzes,

starałem się zrobic wszystko zgodnie zalceniami i jakoś wyszło. Jak na razie jest ok. Wprawdzie tych logów

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [lanmanwrk.exe] C:\WINDOWS\System32\lanmanwrk.exe

nie było jak uruchomiłem ten program… ??? Nie wiem co się z nimi stało:)

Natomisat z ComboFix poszło wg instrukcji.

Skasowałem foldr C: \Qoobox. i też skasowałm ten katalog co mi cały czas przyrastał i jest ok. Mam nadzieję, że to koniec niespodzianek hihi… przynajmniej na jakiś czas, ale jak by co to wiem gdzie szukać fachowców:)

Szacunek i pozdrawiam serdecznie i oczywiście bardzo dziękuję za pomoc.

Robert