Sypnięty dźwięk, avast i zamulony komp


(Marmoladowy Ludzik) #1

Kilka dni temu avast w trayu wyświetlał "Liczba dostawców 0, liczba uruchomionych 0". Gdy chce go usunąć z Dodaj/Usuń Programy aby zainstalować ponownie, nic się nie dzieje (tzn. Klikam Dodaj/Usuń i nic). W ogóle dodatkowo padł po jakimś czasie dźwięk, a otwieranie folderu dysku trwa wieki (ale tylko np. wejście z Mojego Komputera w D:\ się dłuży, a potem śmiga po folderach normalnie). Poza tym pojawiły się nowe wpisy w procesach, zwłaszcza zastanawia mnie CSRSS.exe SMSS.exe i SERVICES.exe, ale teoretycznie nic w nich nie siedzi. Daje log z hijacka bo już nie wiem co robić :|.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:58:48, on 2007-08-02

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal


Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\ZONELABS\vsmon.exe

E:\WINDOWS\Explorer.EXE

E:\Program Files\XPSoft\Zone Labs\ZoneAlarm\zlclient.exe

E:\PROGRA~1\XPSoft\ALWILS~1\Avast4\ashDisp.exe

E:\WINDOWS\System32\ctfmon.exe

D:\MOJKOMP\KATALOGI\RÓŻNE\QEXEC\QEXEC.EXE

E:\Program Files\XPSoft\Alwil Software\Avast4\aswUpdSv.exe

E:\Program Files\XPSoft\Alwil Software\Avast4\ashServ.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\System32\nvsvc32.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ZoneAlarm Client] "E:\Program Files\XPSoft\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\XPSoft\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [SYSTEM] winmgrd.exe

O4 - HKCU\..\Run: [D] D:\MOJKOMP\KATALOGI\RÓŻNE\QEXEC\QEXEC.EXE

O4 - HKCU\..\RunServices: [SYSTEM] winmgrd.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Program Files\XPSoft\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - E:\Program Files\XPSoft\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Program Files\XPSoft\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - E:\Program Files\XPSoft\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZONELABS\vsmon.exe


--

End of file - 2949 bytes

Wiem, że winmgrd.exe to trojan, ale usunąłem go już dawno z dysku i (teoretycznie) z rejestru ale nie wiem co to paskudztwo tu jeszcze robi :|.

@edit

Avast uruchomiony na drugim systemie nic nie znajduje w katalogu WINDOWS i jego podfolderach :|.

Dodam jeszcze tylko, że HiJackThis w pewnym momencie skanowania zatrzymał się na dłuższą chwilę i wyświetlał info o zajętej aplikacji, ale po jakimś czasie ruszył dalej. To tylko tak dla pełnej informacji :wink:.


(jessica) #2

Jeśli jesteś pewny, że nie ma tego pliku "winmgrd.exe" na dysku, to wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Nic tu więcej podejrzanego nie widzę.

Możesz dać jeszcze log z ComboFixa:

(na samym dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

.


(Marmoladowy Ludzik) #3

Log z ComboFix: Klik!

Fixa tych dwóch wpisów o winmgrd.exe robiłem po zrobieniu loga przez ComboFixa. Co ciekawe, komp jakby przestał się mulić. Cuda? Oo


(jessica) #4

Log wygląda na czysty.

Jest co prawda klucz z "winmgrd.exe", ale sam napisałeś, że sfiksowałeś to w Hijacku po zrobieniu logu z ComboFixa - tak więc w rzeczywistści już tego klucza teraz w logu by nie było.

No cóż, cuda się zdarzają, choć u Ciebie to nie był cud, bo mulenie prawdopodobnie wynikało z tego, że system, zgodnie z kluczem, cały czas poszukiwał pliku, którego już nie było.

Usunięcie klucza spowodowało, że system przestał poszukiwać tego pliku.

.


(Marmoladowy Ludzik) #5

A może jednak cud? :smiley: Właśnie siedzę na tym systemie i nie dość, że działa Avast, dyski nie mulą to jeszcze dźwięk wrócił. Chociaż... Może dlatego dźwięku nie było bo komp przy starcie właśnie poszukiwał tego pliku a z tego co zauważyłem to u mnie obsługa dźwięku jest ładowana jako ostatnia w kolejności (po wszystkich Avastach, ZoneAlarmach itp itd). Zastanawia mnie tylko dlaczego tak znienacka zaczęło się wszystko sypać. No ale dziękuję za pomoc :wink:.