Strasznie komp muli. Duzo syfu w logu


(Crooliq) #1

jak w temacie. widzę że jest dużo złych wpisow ale wolę sie poradzic. Załączam loga z hijacka.

Logfile of HijackThis v1.99.1

Scan saved at 20:51:49, on 2006-07-06

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\MKS\Bin\mks_menu.exe

C:\Program Files\MKS\Bin\ABregmon.exe

C:\WINDOWS\mHotkey.exe

C:\WINDOWS\CNYHKey.exe

C:\WINDOWS\StopHid.exe

C:\Program Files\Creative\Desktop Wireless\mouse_2k.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\MSI\Core Center\CoreCenter.exe

C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

C:\Program Files\MKS\Bin\NetMonSV.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\MKS\Bin\mksmonsv.exe

C:\WINDOWS\system32\winws.exe

C:\Program Files\MKS\Bin\mks_scan.exe

C:\Documents and Settings\Tomek\Moje dokumenty\Download\Instalki\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/firefox

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe

O4 - HKLM\..\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe

O4 - HKLM\..\Run: [CHotkey] mHotkey.exe

O4 - HKLM\..\Run: [CNYHKey] CNYHKey.exe

O4 - HKLM\..\Run: [StopHid] StopHid.exe

O4 - HKLM\..\Run: [CreativeMouse] C:\Program Files\Creative\Desktop Wireless\mouse_2k.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Startup: Y'z ToolBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O17 - HKLM\System\CS2\Services\Tcpip\..\{07221A54-1D7D-4215-A199-3A61FCE3E660}: NameServer = 194.204.152.34 217.98.63.164

O20 - AppInit_DLLs: C:\WINDOWS\System32\tracert.dll

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\hhicons.dll

O20 - Winlogon Notify: Syncmgr - C:\WINDOWS\system32\mexml.dll

O20 - Winlogon Notify: ThemeManager - C:\WINDOWS\system32\hhicons.dll

O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\mexml.dll

O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - C:\Program Files\MKS\Bin\NetMonSV.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\Y3Jvb2xpcQ\command.exe (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe

O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program Files\MKS\Bin\mksmonsv.exe

O23 - Service: MkS_Scan - Unknown owner - C:\Program Files\MKS\Bin\mks_scan.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)

O23 - Service: Windows Download Manager - Unknown owner - C:\WINDOWS\system32\winws.exe

z góry dziękuje


(Gblade) #2

start>>>uruchom>>>services.msc>>>zatrzymaj i wyłącz usługi Command Service ,Windows Download Manager i network monitor

1.Startujesz do trybu awaryjnego

2.Wyłanczasz przywracanie systemu (tylko Me/Xp)

3.Kasujesz wpisy w HijackThis

4.Kasujesz pogrubione pliki/foldery

5.Dajesz nowy log z hjt + log z Silent Runners


(x-awier) #3

No to może optymilizacja systemu :arrow: http://forum.dobreprogramy.pl/viewtopic.php?t=76580 :slight_smile:


(Crooliq) #4

usunalem tamte wpisy (po reinstalce systemu bo nie chcial sie odpalic:/) ale ciagle monitor wykrywa full trojanow. log nie jest czysty:/ Daje jeszcze raz

Pomozcie prosze

Dodam jeszcze ze wlaczaja mi sie same jakies stronki z reklamami. co pare minut


(Gblade) #5

taa, a robiłeś ją bez neta ?

log ucięty, wstaw wszystkie logi o które cię prosiłem (hijackthis, silent runners , l2mfix)


(Crooliq) #6

l2m nie chce sie odpalic. Raz w awaryjnym sie odpalil ale sie zawiesil wiec nic z tego. Komp sie wiesza co chwile, nie panuje nad nim ciagle cos wykrywa. Daje loga z hijacka i silenta. Powoli sie zalamuje:(

Silent


(Gutek) #7

Najpierw użyj Look2Me-Destroyer - opis działania - http://forum.dobreprogramy.pl/viewtopic.php?t=36654

Po tym nowe logi i zajmiemy się resztą:


(Crooliq) #8

Look2Me-Destroyer nie chce mi sie odpalic. Ani w awarynym ani w normalnym. Przez zaplanowane zadania tez probowalem i nic.... Co mam zrobic z tym??


(Myszonus) #9

a dlaczego ... ? :-k pokazuje jakiś komunikat itp. :-k ?


(Crooliq) #10

No wlasnie nie. Nic sie nie pokazuje po prostu...:frowning: Jutro bede cos probowal bo juz nie mam sily na to...

Złączono Posta : 07.07.2006 (Pią) 9:45

W koncu uruchomilem L2M i wyczyscilem z tego badziewia. Ale monitor MKS'a ciagle wykrywa jakies badziewie i na moje oko log nie jest czysty. Wiec daje go jeszcze raz.

Chodzi mi o wpisy 09 i 017. Na pewno nie sa bledne?

Złączono Posta : 07.07.2006 (Pią) 10:17

Aha no i jeszcze log z silenta

Złączono Posta : 07.07.2006 (Pią) 11:32

ciagle mi wykrywa robaka w "c:\windows\system32\wmimgr32.dll" Mam go usunac killboxem??? Niech ktos mi pomoze prosze.

Złączono Posta : 07.07.2006 (Pią) 13:18

Wstawiam sciezke do killboxa, znajduje plik, naciskam delete on reboot, naciskam usun i nic sie nie dzieje. NIe wiem co z tym zrobic. Skanuje ewido raz po raz i ciagle wykrywa prawie 100 trojanow


(Kuz5) #11

Start => Panel Sterowania => Zaplanowane zadania , kliknąć na ("At") zadanie z ikonką Look2Me-Destroyer prawym przyciskiem myszy i wybrać Uruchom

zaplanowanezadania1gi.gif

Logi sa ok

Ciachnij:

017 to twoje dnsy, a 09 to możesz ciachnąc ale te co podałem wyżej

Odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke i klikasz x


(Crooliq) #12

L2M juz sie odpalilo wczoraj. Usunelo sie to co trzeba.

Zaznaczone wpisy 09 usunalem Hijackiem.

Ciagle to samo. Naciskam krzyzyk i nic sie nie dzieje... Plik ciagle jest na dysku.

P.S Dzieki za odpowiedz. Juz myslalem ze zostane sam z tym problemem


(Myszonus) #13

a zrobiłeś restart kompa ... ? :-k


(Crooliq) #14

Bo to raz... Probowalem w awaryjnym i normalnym po pare razy...


(Gutek) #15

Użyj Unlocker 1.8.3 i aby np: usunąć plik należy wybrać na niego prawym myszy a następnie opcje unlocker.


(Crooliq) #16

Zainstalowalem Unlokera 1.8.3. Gdy klikam prawym na kazdy normalny plik otwiera sie okienko gdzie moge skasowac plik. Natomiast gdy klikam prawym na ten "wmimgr32.dll" i naciskam unlocker, wlacza mi sie unlocker asistant i mam tylko liste procesow. Nie moge usunac pliku... :frowning:


(Gutek) #17

Pomocy :mrgreen: - Na dole mamy opcje do wyboru. W przypadku gdy to jest wirus lub inny złośliwy plik który nie chce opuścić naszego dysku wybieramy opcje "UWOLNIJ WSZYSTKIE"

Następnie należy wybrać akcje i mamy do wyboru "skasuj" "zmień nazwę", "przesuń" W przypadku naszego złośliwego pliku wybieramy oczywiście "skasuj"


(Crooliq) #18

Plik sie usuwa ale po restarcie jest znowu. Na poczatku pokazuje sie jeszcze blad ze bibloteka dll (tu sciezka i plik) nie jest wlasciwym obrazem systemu windows NT. W ogole zanim sie wszystko uruchomi mija duzo czasu, tak jakby przez jakies pare chwil komp nic nie robil tylko czekal na niewiadomo co.

No i jak zwykle full trojanow na kompie.

Dodam jeszcze ze na dysku c jest ukryty folder "System Volume Information" i tam w srodku jest ponad 1,5 giga plikow exe o nazwach np "A0009442.EXE" z ikonkami aplikacji ktore mam lub mialem na dysku.

Oprocz tego w katalogu glownym dysku c sa jakies pliki rodem z win98 np. Autoexec.bat, config.sys, IO.sys, boot.ini itp. Wczesniej ich nie bylo (raczej).


(Gblade) #19

punkty przywracania systemu, możesz wyłączyć tą usługe, start>>>uruchom>>>services.msc>>>zatrzymaj i wyłącz usługa przywracania systemu

nie ruszaj ich, pokazały się bo masz zaznaczone w opcjach folderów pokazuj ukryte pliki i foldery i odznaczone ukryj chronione pliki windows

Wklej nowe logi


(Crooliq) #20

OK daje nowe logi:

W ogole dziwnie bo mialem wylaczone przywracanie systemu, a teraz mam wlaczone...

Złączono Posta : 11.07.2006 (Wto) 9:08

Logi są czyste? Nadal komp mi sie dlugo odpala i ciagle jest tamten zlosliwy plik, po usunieciu i restarcie znow sie tworzy.

Złączono Posta : 14.07.2006 (Pią) 15:25

Ktos mi pomoze ??? :frowning: