System zostanie wyłączony - LOG


(Proph3t) #1

Co jakiś czas pojawia mi się okienko że system zostanie wyłączony za 50sek. udaje mi się to anulowac poleceniem

shutdown -a

ale przez to nie mogę kopiować żadnych plików itp. Na wszelki wypadek załączam loga, moze się czegoś doszukacie bo ja niestety nic nie znalazłem oprócz

O23 - Service: Messaging Application Programming Interface (Mapi) - Unknown owner - C:\WINDOWS\mapi.exe

cały czas się włącza, nawet jak z killboxa usunę ten plik :frowning:

Logfile of HijackThis v1.99.1

Scan saved at 17:54:51, on 2007-04-06

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

G:\SBAudigy\Surround Mixer\CTSysVol.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

F:\Avast4\ashDisp.exe

G:\MediaSource\Detector\CTDetect.exe

G:\SOnic\SsAAD.exe

C:\Program Files\Skype\Phone\Skype.exe

G:\eMule\emule.exe

F:\bluetooth\BlueSoleil.exe

F:\Avast4\aswUpdSv.exe

F:\Avast4\ashServ.exe

F:\Radeon Omega Drivers\v3.8.330\ATI Tray Tools\atitray.exe

F:\bluetooth\BTNtService.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\WINDOWS\mapi.exe

G:\Alcohol 52\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

F:\Avast4\ashMaiSv.exe

F:\Avast4\ashWebSv.exe

G:\Winamp\winamp.exe

G:\konnekt\konnekt.exe

G:\Firefox\firefox.exe

C:\Program Files\Opera\Opera.exe

G:\Naprawcze\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe

O4 - HKLM\..\Run: [CTSysVol] g:\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [avast!] F:\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [Creative Detector] g:\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU\..\Run: [NBJ] "G:\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [SsAAD.exe] G:\SOnic\SsAAD.exe

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Yodm3D] C:\Documents and Settings\Proph3T\Pulpit\yodm3D\Yodm3D.exe

O4 - HKCU\..\Run: [eMuleAutoStart] G:\eMule\emule.exe -AutoStart

O4 - Startup: ATI Tray Tools.lnk = F:\Radeon Omega Drivers\v3.8.330\ATI Tray Tools\atitray.exe

O4 - Startup: Skrót do Yodm3D.lnk = C:\Documents and Settings\Proph3T\Pulpit\yodm3D\Yodm3D.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175866383187

O17 - HKLM\System\CCS\Services\Tcpip\..\{959E6DC4-FF5F-4ED8-B294-A92DFE25477D}: NameServer = 62.62.87.180,213.17.145.2

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - F:\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - F:\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - F:\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\bluetooth\BTNtService.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Messaging Application Programming Interface (Mapi) - Unknown owner - C:\WINDOWS\mapi.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\Alcohol 52\StarWind\StarWindService.exe

Loga z silent runner nie mogę dać bo nawet go włączyć nie mogę :o


(adam9870) #2

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Start => uruchom => wpisz cmd i kliknij OK => w konsoli, która się otworzy wpisz:

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\mapi.exe

Klikasz X czerwony i restart kompa.

Usuń wpis HJT jeśli będzie.

Wykonaj kompletny Windows Update.

Po wykonaniu wklej nowy log z HJT i Silenta. Jeśli z Silentem w dalszym ciągu będą występować problemy, wklej log z ComboFix. Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.


(Proph3t) #3

COMBO FIX

ComboFix 07-04-05 - Running from: "C:\Documents and Settings\Proph3T\Pulpit"



(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



C:\WINDOWS\system32\components

C:\Program Files\Common Files\{74F91~1

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\qoobox\purity\WINDOWS\YSTEM~1

C:\qoobox\purity\WINDOWS\system32\PPATCH~1

C:\qoobox\purity\WINDOWS\YSTEM~1\?ystem



((((((((((((((((((((((((((((((( Files Created from 2007-03-06 to 2007-04-06 ))))))))))))))))))))))))))))))))))



2007-04-06 18:23	163,840	-r-hs----	C:\WINDOWS\mapi.exe

2007-04-06 18:13	163,840	--a------	C:\WINDOWS\system32\uhj.exe

2007-04-06 15:52	163,840	--a------	C:\WINDOWS\system32\ynm.exe

2007-04-06 15:36	466,200	--a------	C:\WINDOWS\system32\wuapi.dll

2007-04-06 15:36	41,240	--a------	C:\WINDOWS\system32\wups.dll

2007-04-06 15:36	313,344	--a------	C:\WINDOWS\system32\winhttp.dll

2007-04-06 15:36	195,352	--a------	C:\WINDOWS\system32\wuaueng1.dll

2007-04-06 15:36	18,200	--a------	C:\WINDOWS\system32\wups2.dll

2007-04-06 15:36	175,384	--a------	C:\WINDOWS\system32\wuauclt1.exe

2007-04-06 15:36	163,840	--a------	C:\WINDOWS\system32\kcv.exe

2007-04-06 15:36	128,280	--a------	C:\WINDOWS\system32\wucltui.dll

2007-04-06 15:33	




[b]HijackThis[/b]

[code]Logfile of HijackThis v1.99.1 Scan saved at 18:32:26, on 2007-04-06 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE F:\Avast4\aswUpdSv.exe F:\Avast4\ashServ.exe F:\bluetooth\BTNtService.exe C:\WINDOWS\System32\CTsvcCDA.EXE G:\SBAudigy\Surround Mixer\CTSysVol.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe F:\Avast4\ashDisp.exe G:\MediaSource\Detector\CTDetect.exe G:\Alcohol 52\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe G:\SOnic\SsAAD.exe C:\Program Files\Skype\Phone\Skype.exe G:\eMule\emule.exe F:\bluetooth\BlueSoleil.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe F:\Avast4\ashWebSv.exe F:\Avast4\ashMaiSv.exe C:\Program Files\Opera\Opera.exe G:\Naprawcze\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM..\Run: [CTSysVol] g:\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM..\Run: [avast!] F:\Avast4\ashDisp.exe O4 - HKLM..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKCU..\Run: [Creative Detector] g:\MediaSource\Detector\CTDetect.exe /R O4 - HKCU..\Run: [NBJ] "G:\Ahead\Nero BackItUp\NBJ.exe" O4 - HKCU..\Run: [SsAAD.exe] G:\SOnic\SsAAD.exe O4 - HKCU..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU..\Run: [Yodm3D] C:\Documents and Settings\Proph3T\Pulpit\yodm3D\Yodm3D.exe O4 - HKCU..\Run: [eMuleAutoStart] G:\eMule\emule.exe -AutoStart O4 - Global Startup: BlueSoleil.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb\_site.cab?1175866383187 O17 - HKLM\System\CCS\Services\Tcpip..{959E6DC4-FF5F-4ED8-B294-A92DFE25477D}: NameServer = 62.62.87.180,213.17.145.2 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - F:\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - F:\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - F:\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\bluetooth\BTNtService.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing) O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\Alcohol 52\StarWind\StarWindService.exe

Złączono Posta : 06.04.2007 (Pią) 18:54

Niestety komunikat dalej się pojawia :frowning:


(adam9870) #4

Pobierz Gmer'a.

Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.

  • w zakładce Procesy kliknij Gmer awaryjny. Komputer się zrestartuje i zostanie samo okienko Gmer'a

  • w zakładce Procesy kliknij Pliki i usuń:

  • sprawdź czy w zakładce Usługi masz usługę m_hook, a jeśli tak to usuń ją z prawokliku

  • zrestartuj komputer przyciskiem na obudowie

  • po resecie otwórz Gmer'a i w zakładce CMD z zaznaczoną opcją REGEDIT.EXE wklej:

  • Kliknij Uruchom i reset.

Po wykonaniu pokaż nowy log z Combo plus dwa logi z Gmer'a wykonane przy takich ustawieniach:

  1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

  2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta, to umieść je w jakimś serwisie hostingowym jako pliki *.txt, a tu tylko zlinkuj.


(Proph3t) #5

Dzięki wielkie ale się wkurzyłem i zrobiłem format.