Spowolniona praca kompa, mało wolnej pamięci, dużo trojanów

A więc do rzeczy. Od jakiegoś czasu zauważyłem, że komp chodzi wolniej. I nie leży tu wina bynajmniej po stronie ilości wolnego miejsca na dysku lecz ilości wolnej pamięci. Wystarczy, że włączę kilka aplikacji i już wyskakuje mi windowskowskie okienko z tekstem o małej ilości wolnej pamięci. Nigdy mi się to nie zdarzało (a bynajmniej nie w wyniku otwarcia aplikacji). Niektóre programy nawet nie chcą mi się uruchomić, z powodu małej ilości wolnej pamięci (co nigdy wcześniej nie występowało). Wiem, że 256 MB Ramu to bardzo mało, ale nie występowały u mnie dotąd żadne tego typu problemy. Skanowałem system Avastem, lecz nic nie wykryło. Po jakimś czasie jednak przy otwieraniu klienta poczty lub przeglądarki internetowej wyskakiwał alert o jakimś trojanie albo spamerze. Chyba udało mi się je skasować (nie wyskakują już alerty), lecz wolę mieć pewność, że wszystko w porządku.

Logfile of HijackThis v1.99.1

Scan saved at 18:50, on 07-08-10

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\UAService7.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\sapkiewicz.PRIVATE-H633W4P\Pulpit\PROGRAMY\INNE\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = L1cza

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {23191d7c-66a1-40d9-9b15-bd34db8bfa98} - C:\WINDOWS\SYSTEM32\eaxase.dll (file missing)

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe

O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [TXP] c:\program files\topthemesxp\txp.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Program Files\Bonjour\ExplorerPlugin.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F76ACAD-5FAC-4F9D-89FD-3DDC98271C22}: NameServer = 213.241.79.37 83.238.255.76

O20 - AppInit_DLLs: c:\windows\system32\byxuusr.dll

O20 - Winlogon Notify: eaxase - eaxase.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

Jak widzę ten zaznaczony na czerwono plik, to mi się nóż w kieszeni otwiera - dlatego nie będę się zajmowała dalej Twoim tematem.

Może ktoś inny Ci pomoże.

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Ściągnij ComboFixa:

http://forum.dobreprogramy.pl/viewtopic.php?t=36654(na dole tej strony z linku) -

Wklej do Notatnika :

File::

c:\windows\system32\byxuusr.dll

C:\WINDOWS\WebAssist.dll

C:\WINDOWS\SYSTEM32\eaxase.dll

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– tak jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Potem daj nowe logi: z Hijacka i ComboFixa - log wklej na http://wklej.org/, a w poście daj tylko link.

.

Co do ComboFixa to postępowałem dokładnie wg instrukcji, ale nie rozpoczęło się żadne kasowanie tylko skanowanie (próbowałem 2 razy).

Co oznacza ten zaznaczony przez Ciebie plik??

Logi:

Hijack:

http://wklej.org/id/410c06de82

ComboFix:

http://wklej.org/id/2ebb841862

Ten wskazany plik da się usunąć, ale jego usunięcie nie oznacza końca kłopotów z nim związanych - to co “narozrabiał” w połączeniach internetowych, będzie jeszcze długo dawało o sobie znać.

Pliki, które miał usunąć ComboFix, chyba zostały usunięte, bo ich w logu nie ma.

Nawiasem mówiąc - czy ten ComboFix naprawdę pochodził z linku, który wskazałam? Bo to jest jakaś przestarzała wersja - nowe wersje pokazują o wiele więcej i o wiele więcej samoczynnie usuwają.

W tych logach zastanawiają mnie tylko te pliki podobne do tych poniżej:

C:\bin54.bin

C:\bin53.bin

C:\subafsfile59.bin

C:\subafsfile61.bin

Od czego te pliki są i dlaczego są bezpośrednio na dysku, a nie w jakimś folderze?

Jeśli nie znasz ich, to spróbuj najechać myszką na ich ikonki i zobaczyć, co tam pisze, albo prawoklik i właściwości.

Poza tym nic podejrzanego.

Można by usunąć kilka kluczy rejestru, ale myślę, że zrobisz to jakimś narzędziem czyszczącym.

.

Ten plik przesknauj na http://www.virsutotal.com i wklej raport.

Usuwasz zaznaczone foldery

Jest to starsza wersja ComboFix,można to wywnioskować po tym, że nie usuwane było

C:\Program Files\ myglobalsearch

Następnie logi z Hijackthis, Silentrunners i ComboFix.

Screeny z właściwości tych plików :

http://img405.imageshack.us/img405/62/76805270oe5.jpg

http://img405.imageshack.us/img405/7727/77039567sv8.jpg

ComboFix faktycznie starszy (myślałem, że nie ma to większej różnicy). Log z nowego dam po wykonaniu instrukcji Kuby1. Tak poza tym to na czym miałaby polegać ingerencja tego, zaznaczonego na czerwono, pliku w połączenia sieciowe??

Podana przez Ciebie strona jest chyba błędna. Oto co wyskakuje mi po wejściu na nią:

http://img118.imageshack.us/img118/8601/71344527vh5.jpg

http://www.virustotal.com

Co do skasowania

jest to raczej niemożliwe, gdyż jest tam używany przeze mnie program (klient torrent). No chyba, że ma to o czymś zaważyć, to mogę jednak go usunąć.

Raport z http://www.virustotal.com:

http://img406.imageshack.us/img406/6425/81164939yc7.jpg

Nic nie wykazało (chyba), lecz ComboFix skasował ten plik (o czym w raporcie poniżej).

http://wklej.org/id/ebdb1a952a

Hijack:

http://wklej.org/id/e721b586db

Silent Runners (chyba cały log):

http://wklej.org/id/c733372eee

PS. jessica co do tych plików to kompletnie nie wiem od czego one są.

Pobierz Windows Worms Doors Cleaner, ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Ściągnij The Avenger,

wypakuj > uruchom > Input script manually > klikasz w lupkę > w nowo otwartym oknie wklejasz:

Po wklejeniu > Done > klik na zielone światło > ok i będzie restart.

Po restarcie wchodzisz gdzie masz The Avenger wklejasz raport avenger.txt

A bearshare zainstaluj sobie w wersji lite, nie zawiera szpiegów.

Nowy log z combo po tym.

Co do tych plików część jest z 2007-08-09 22:31, a część z 2007-08-05 13:57. Nie przypominasz sobie co w tym czasie na kompie instalowałeś? Gierka jakaś?

Avenger:

http://wklej.org/id/db08fd48a8

ComboFix:

http://wklej.org/id/3252f1bb26

Co do instalacji gier to nic nie instalowałem w ostatnim czasie. Pamiętam jednak, że kiedyś chyba kasowałem te pliki (czy przeniosłem do innego folderu), lecz po jakimś czasie znów powróciły.

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosować te komendy (po każdej wciśnij “ENTER”):

Co do tych plików (C:\bin17.bin, C:\subafsfile32.bin, itp…), to mam taką propozycję:

umieść je wszystkie w jakimś swoim nowym folderze i przenieś do Kosza. Z kosza na razie nie usuwaj - poczekaj, obserwuj, co się dzieje, czy nie zacznie coś szwankować, zwłaszcza Kamera.

.

?? Po pierwsze dlaczego kamera, a po 2gie nie mam kamery :slight_smile: Co robić jeśli te pliki znów się pojawią na dysku??

Dawać jakieś logi z programów??

Pomyślałam o Kamerze po zobaczeniu w logu tego wpisu:

Kodak EasyShare software - po prostu tak mi się jakoś skojarzyło z Kamerą. :slight_smile:

A to, co masz robić z podobnymi plikami w przyszłośc, będzie zależało od tego, czy usunięcie teraz tych plików do Kosza spowoduje jakieś perturbacje, czy też nic się złego nie będzie działo.

Logów chyba nie musisz dawać, bo chyba nic nowego nie zobaczymy.

Na wszelki wypadek zajrzyj tu jutro, bo może ktoś będzie miał inne zdanie niż ja…

.

To zacznij korzystać lepiej z czegoś innego bo Bear Share to adware etc.