Straszne spowolnienie komputera


(Aska 991) #1

Logfile of HijackThis v1.99.1

Scan saved at 19:53:07, on 2007-09-16

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

C:\Program Files\Eset\nod32kui.exe

C:\PROGRA~1\wqpruvwp\RAgDFAwM.exe

C:\Program Files\QuickTime\qttask.exe

C:\temp\salm.exe

C:\Program Files\Winamp\winampa.exe

C:\PROGRA~1\wqpruvwp\MwAFDgAR.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Documents and Settings\Aśka\Menu Start\Programy\Autostart\ctfmon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Aśka\Pulpit\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: CSBrBho Class - {96DA5BEE-4ACC-476C-B3EC-54C6730C4293} - C:\PROGRA~1\Comet\Install\Temp\brbho.dll (file missing)

O4 - HKLM..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [bQpGV5Uw] C:\PROGRA~1\wqpruvwp\RAgDFAwM.exe

O4 - HKLM..\Run: [4b5f62035b86] C:\WINDOWS\system32\filemgmt.exe

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM..\Run: [salm] c:\temp\salm.exe

O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [Qw0GUoow] C:\PROGRA~1\wqpruvwp\RAgDFAwM.exe

O4 - HKCU..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: ctfmon.exe

O4 - Global Startup: D-Link AirPlus.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: *.blazefind.com (HKLM)

O15 - Trusted Zone: *.clickspring.net (HKLM)

O15 - Trusted Zone: *.flingstone.com (HKLM)

O15 - Trusted Zone: *.mt-download.com (HKLM)

O15 - Trusted Zone: *.my-internet.info (HKLM)

O15 - Trusted Zone: *.searchmiracle.com (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted Zone: *.ysbweb.com (HKLM)

O15 - Trusted IP range: 81.222.131.59 (HKLM)

O16 - DPF: {00000000-0023-0000-5400-320020040070} - http://66.240.181.129/gs/gsa0395.exe

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 ... dge-c5.cab

O16 - DPF: {22D82B43-FF26-455A-A96D-A6C61F056ED7} (Gif89 xLite Class) - http://83.3.81.92:8021/xplugxLite.cab

O17 - HKLM\System\CCS\Services\Tcpip..{4050B55D-C9F7-47D8-9A5F-5ECEAD63654D}: NameServer = 192.168.8.1,192.168.10.1

O17 - HKLM\System\CCS\Services\Tcpip..{65F4A62E-A023-42EA-8FBA-1A61318EFE4D}: NameServer = 192.168.8.1,192.168.10.1

O17 - HKLM\System\CS1\Services\Tcpip..{4050B55D-C9F7-47D8-9A5F-5ECEAD63654D}: NameServer = 192.168.8.1,192.168.10.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Maileet NT Service (MaileetSrv) - Ran Geva - C:\Program Files\Maileet\MaileetSrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe


(Oldcrazyster) #2

Usun te wpisy:

UWAZAJ BO TO DIALER, DLATEGO CI POMOGLEM JAK NAJSZYBCIEJ!!

P.S. Przeskanuj kompa Kaspersky Online, daj nowe wpisy, reszta zajma sie bardziej doswiadczeni uzytkownicy :slight_smile:


(jessica) #3

Nie przeglądałam dokładnie logu, a le na pewno nie fiksuj wpisów "O17" oraz "O18", bo są zupełnie prawidłowe.!

Nie podobają mi się natomiast "015". -to Twoje Zaufane Strony?

Daj jeszcze log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

Zobaczymy, co on usunie, a co zostanie do usuwania.

EDIT:

Ten powyższy też nie jest szkodnikiem.

Za to ten jest najprawdopodobniej szkodliwy - z infekcji na pendrive. Dokładniej będzie można to ocenić po obejrzeniu logu z ComboFixa.

Pozostałe wpisy podane przez @DevilJin są rzeczywiście do sfiksowania i, a ich pliki do usunięcia.

jessi


(Aska 991) #4

o kurde, a ja wlasnie dopiero co skasowałam wszytsko to, co było w poście wyzej.......

Złączono Posta : 16.09.2007 (Nie) 21:41

015 - nie są moje zaufane strony... ja wogole widze je pierwszy raz na oczy.. :expressionless:


(jessica) #5

No to się narobiło....

Daj jeszcze raz log z Hijacka oraz log z ComboFixa - ocenimy sytuację,

jessi


(Oldcrazyster) #6

Nic mu się nie stanie bo skasowaniu tych wpisów...

Komp działa?? :slight_smile:

Czy w Hijack This! nie ma opcji "przywracania"??


(Agatonster) #7

DevilJin

Nie masz właściwej wiedzy, by doradzać w tym dziale - nie zbliżaj się tu, by pisać - ewentualnie przeglądaj tematy - i ucz się - może kiedyś...

Radosną twórczość radzę uprawiać w dziale Na luzie...


pokemon1234

Ważny komunikat dotyczący tytułowania tematów

Proszę zapoznać się ze wskazanym tematem i dostosować wklejone logi, obejmując je zgodnie z zaleceniem tagami


(Aska 991) #8

Hej.. wczoraj próbowałam wlaczyć kompa, ale tak strasznie sie zmulał, ze nic nie szło na nim zrobic.... Dzisiaj o dziwo chodzi i nie jest źle..

LOG z HiJack THIS! :

Złączono Posta : 18.09.2007 (Wto) 16:05


(jessica) #9

Widzę, że niektóre infekcje są u Ciebie już od kilku, z nawet kilkunastu lat. :slight_smile:

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem zajmij się usunięciem Rootkita przy pomocy -->WinKRootKitRemover.

Potem:

Ściągnij -->ComboFix (na dole tej strony z linku)

Wklej do Notatnika :

File::

C:\WINDOWS\nem220.dll

C:\Program Files\wqpruvwp\RAgDFAwM.exe

C:\WINDOWS\system32\filemgmt.exe

c:\temp\salm.exe

C:\Documents and Settings\Aśka\Menu Start\Programy\Autostart\ctfmon.exe

C:\WINDOWS\shost32.exe

C:\WINDOWS\system32\Drivers\WinIK.sys

C:\WINDOWS\system32\oleauth32.dll 

C:\WINDOWS\system32\mstscex.dll 

C:\WINDOWS\system32\drivers\kcp.sys

C:\Program Files\Common Files\msidntld.exe 

C:\Program Files\Common Files\shellsty.exe


Folder::

C:\Program Files\wqpruvwp


Driver::

kcp

WinIK


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"shost32.exe"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c6c49d0-41d0-11d8-a6a1-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c6c49d1-41d0-11d8-a6a1-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c6c49d2-41d0-11d8-a6a1-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c6c49d3-41d0-11d8-a6a1-806d6172696f}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95600da6-82a6-11db-bb5a-001346137887}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a5ce9c30-77e8-11da-b6ff-001346137887}]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku --> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Log z ComboFixa wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi


(Aska 991) #10

Zrobilam wszytsko tak jak napisalaś :))

Dzieki jeszcze raz :slight_smile:


(jessica) #11

A gdzie log z ComboFixa do kontroli? :slight_smile:

jessi