Spyware? Wirus? Dziwne procesy i programy się nie włączają

system · 26 Maj 2008 15:26

Witam. Mam od niedawna problem. Otóż otworzyłem jakiś syf i się zaczęło. Nie mogę otwierać wielu programów ( w ogóle nie reagują ), w manager’e widzę dziwne procesy, włącza się po jakimś czasie nawet generic host proces for win32. Wklejam log z hijackthis. Proszę o pomoc.

Logfile of HijackThis v1.99.1

Scan saved at 17:04:41, on 2008-05-26

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\ja\Pulpit\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~2\MEGAUP~1.DLL

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”

O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\wianmpa.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe”

O4 - HKLM…\Run: [Rapget] C:\Documents and Settings\ja\Pulpit\rapget\rapget.exe

O4 - HKLM…\Run: [watch] “C:\Documents and Settings\ja\Pulpit\keylogger\logger.exe” /ukryj /lbl:SYSTEM

O4 - HKLM…\Run: [Flashget] F:\Program Files\FlashGet\FlashGet.exe /min

O4 - HKLM…\Run: [2875f3c1] rundll32.exe “C:\WINDOWS\system32\nhvtgjws.dll”,b

O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM…\Run: [bM2b46c05d] Rundll32.exe “C:\WINDOWS\system32\anxafpmi.dll”,s

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

O4 - HKCU…\RunOnce: [NeroHomeFirstStart] C:\Program Files\Common Files\Ahead\Lib\NMFirstStart.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\npjpi160_05.dll

O9 - Extra button: Wyœlij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra ‘Tools’ menuitem: Wyœlij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Program Files\FlashGet\FlashGet.exe

O9 - Extra ‘Tools’ menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Program Files\FlashGet\FlashGet.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip…{28A726B5-FEFB-4D24-B9AE-F97B9D40D852}: NameServer = 192.168.1.1

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PCLEPCI - Pinnacle Systems GmbH - C:\WINDOWS\system32\drivers\pclepci.sys

Pozdrawiam

huber2t · 26 Maj 2008 15:28

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\nhvtgjws.dll

C:\WINDOWS\system32\anxafpmi.dll


Folder::

C:\Documents and Settings\ja\Pulpit\keylogger

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org

system · 26 Maj 2008 15:57

Fix zrobiłem. Notatnik mi się nie otwiera, wyskakuje jakiś błąd z bezpieczeństwem systemu i system ten notatnik zamyka. Mogę zapisać w czymś innym ? I jeszcze nie mogę ściągać nic z internetu poprzez www, flash gety itp. Czy mógłby ktoś podesłać mi combofix’a na maila ? ox@kage.pl

Pozdr.

W dniu 26.05.2008 , o godzinie 17:57 został dopisany post przez krzychox

Okej, przeciągnąłem ten plik i nic się nie stało… notatnik wciąż nie działa, zapisałem to z wordpada jak dokument tekstowy. Może ktoś pomóc ?

baldys16 · 26 Maj 2008 16:21

zrób scan tym:

http://housecall.trendmicro.com/

system · 26 Maj 2008 17:01

Nie można wyświetlić strony

Robiłem test jakimś ashampoo antyvirus ( jedynie taki miałem pod ręką, a nic nie mogę ściągać ) i wykrywało mi heur / malware.

huber2t · 26 Maj 2008 17:22

Daj log z usuwania z combofix

system · 26 Maj 2008 17:44

Napisałem przecież, że nic się nie dzieje jak przesuwam plik notatnika na combofix’a ( notatnik już działa ).

huber2t · 26 Maj 2008 18:13

Wykonaj ponownie a jeśli nie to zrób tak:

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\nhvtgjws.dll

C:\WINDOWS\system32\anxafpmi.dll


Folders to delete:

C:\Documents and Settings\ja\Pulpit\keylogger

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

system · 27 Maj 2008 17:24

Raport z avengera

Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\yamuiilc ******************* Script file located at: ??\C:\aekiwttw.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\system32\nhvtgjws.dll deleted successfully. File C:\WINDOWS\system32\anxafpmi.dll deleted successfully. Folder C:\Documents and Settings\ja\Pulpit\keylogger not found! Deletion of folder C:\Documents and Settings\ja\Pulpit\keylogger failed! Could not process line: C:\Documents and Settings\ja\Pulpit\keylogger Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate.

huber2t · 27 Maj 2008 17:26

Usuń ten folder::

Podaj log z Deckard’s System Scanner

system · 27 Maj 2008 18:03

Keyloggera sam wgrywałem, nie jest szkodliwy, a takiego folderu nie mam.

Logi:

http://www.speedyshare.com/516309423.html

Dałem tutaj zapakowane, bo nie mogę otworzyć notatnika itp. i za długie by wrzucić do posta, a net działa gorzej od modemu. Coś z tym trzeba zrobić :<

huber2t · 27 Maj 2008 18:44

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\WLCtrl32.dll

C:\WINDOWS\system32\ymdqekem.exe

C:\WINDOWS\system32\qauqqlnd.dll

C:\WINDOWS\system32\tpvshgqj.dll

C:\WINDOWS\system32\pkokffbd.exe

C:\WINDOWS\system32\qgxlcrrc.dll

C:\WINDOWS\system32\WinCtrl32.dll

C:\WINDOWS\system32\qxllyksp.exe

C:\WINDOWS\system32\nwveihmb.dll

C:\WINDOWS\system32\DMnVCJlm.ini2

C:\WINDOWS\system32\mlJCVnMD.dll

C:\WINDOWS\system32\drivers\jvfnqtxc.dat

C:\WINDOWS\system32\drivers\uwegemta.dat

C:\WINDOWS\system32\drivers\Yfl30.sys

C:\WINDOWS\system32\mlJBULff.dll

C:\WINDOWS\mrofinu1535.exe


Registry keys to delete:

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{87862e26-bda0-4a78-b94c-86bcb9428a6f}

HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b96ae1ea-7247-4a5c-9198-0966f9df8e5a}

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\crypt

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mlJBULff

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nmtcjih

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winctrl32

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wlctrl32

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\fms74.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\iou85.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Yfl30.sys

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\runner1

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2


Registry values to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | 2875f3c1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | BM2b46c05d

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt