Proph3T
(Proph3t)
6 Kwiecień 2007 15:58
#1
Co jakiś czas pojawia mi się okienko że system zostanie wyłączony za 50sek. udaje mi się to anulowac poleceniem
shutdown -a
ale przez to nie mogę kopiować żadnych plików itp. Na wszelki wypadek załączam loga, moze się czegoś doszukacie bo ja niestety nic nie znalazłem oprócz
O23 - Service: Messaging Application Programming Interface (Mapi) - Unknown owner - C:\WINDOWS\mapi.exe
cały czas się włącza, nawet jak z killboxa usunę ten plik
Logfile of HijackThis v1.99.1
Scan saved at 17:54:51, on 2007-04-06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
G:\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe
F:\Avast4\ashDisp.exe
G:\MediaSource\Detector\CTDetect.exe
G:\SOnic\SsAAD.exe
C:\Program Files\Skype\Phone\Skype.exe
G:\eMule\emule.exe
F:\bluetooth\BlueSoleil.exe
F:\Avast4\aswUpdSv.exe
F:\Avast4\ashServ.exe
F:\Radeon Omega Drivers\v3.8.330\ATI Tray Tools\atitray.exe
F:\bluetooth\BTNtService.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\mapi.exe
G:\Alcohol 52\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
F:\Avast4\ashMaiSv.exe
F:\Avast4\ashWebSv.exe
G:\Winamp\winamp.exe
G:\konnekt\konnekt.exe
G:\Firefox\firefox.exe
C:\Program Files\Opera\Opera.exe
G:\Naprawcze\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] g:\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [avast!] F:\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Creative Detector] g:\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [NBJ] "G:\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SsAAD.exe] G:\SOnic\SsAAD.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yodm3D] C:\Documents and Settings\Proph3T\Pulpit\yodm3D\Yodm3D.exe
O4 - HKCU\..\Run: [eMuleAutoStart] G:\eMule\emule.exe -AutoStart
O4 - Startup: ATI Tray Tools.lnk = F:\Radeon Omega Drivers\v3.8.330\ATI Tray Tools\atitray.exe
O4 - Startup: Skrót do Yodm3D.lnk = C:\Documents and Settings\Proph3T\Pulpit\yodm3D\Yodm3D.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175866383187
O17 - HKLM\System\CCS\Services\Tcpip\..\{959E6DC4-FF5F-4ED8-B294-A92DFE25477D}: NameServer = 62.62.87.180,213.17.145.2
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - F:\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - F:\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - F:\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\bluetooth\BTNtService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Messaging Application Programming Interface (Mapi) - Unknown owner - C:\WINDOWS\mapi.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing)
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\Alcohol 52\StarWind\StarWindService.exe
Loga z silent runner nie mogę dać bo nawet go włączyć nie mogę :o
adam9870
(adam9870)
6 Kwiecień 2007 16:02
#2
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.
Start => uruchom => wpisz cmd i kliknij OK => w konsoli, która się otworzy wpisz:
Ściągasz program KillBox , zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:
C:\WINDOWS\mapi.exe
Klikasz X czerwony i restart kompa.
Usuń wpis HJT jeśli będzie.
Wykonaj kompletny Windows Update.
Po wykonaniu wklej nowy log z HJT i Silenta. Jeśli z Silentem w dalszym ciągu będą występować problemy, wklej log z ComboFix . Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.
Proph3T
(Proph3t)
6 Kwiecień 2007 16:32
#3
COMBO FIX
ComboFix 07-04-05 - Running from: "C:\Documents and Settings\Proph3T\Pulpit"
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\components
C:\Program Files\Common Files\{74F91~1
~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\WINDOWS\YSTEM~1
C:\qoobox\purity\WINDOWS\system32\PPATCH~1
C:\qoobox\purity\WINDOWS\YSTEM~1\?ystem
((((((((((((((((((((((((((((((( Files Created from 2007-03-06 to 2007-04-06 ))))))))))))))))))))))))))))))))))
2007-04-06 18:23 163,840 -r-hs---- C:\WINDOWS\mapi.exe
2007-04-06 18:13 163,840 --a------ C:\WINDOWS\system32\uhj.exe
2007-04-06 15:52 163,840 --a------ C:\WINDOWS\system32\ynm.exe
2007-04-06 15:36 466,200 --a------ C:\WINDOWS\system32\wuapi.dll
2007-04-06 15:36 41,240 --a------ C:\WINDOWS\system32\wups.dll
2007-04-06 15:36 313,344 --a------ C:\WINDOWS\system32\winhttp.dll
2007-04-06 15:36 195,352 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-04-06 15:36 18,200 --a------ C:\WINDOWS\system32\wups2.dll
2007-04-06 15:36 175,384 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-04-06 15:36 163,840 --a------ C:\WINDOWS\system32\kcv.exe
2007-04-06 15:36 128,280 --a------ C:\WINDOWS\system32\wucltui.dll
2007-04-06 15:33
[b]HijackThis[/b]
[code]Logfile of HijackThis v1.99.1 Scan saved at 18:32:26, on 2007-04-06 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE F:\Avast4\aswUpdSv.exe F:\Avast4\ashServ.exe F:\bluetooth\BTNtService.exe C:\WINDOWS\System32\CTsvcCDA.EXE G:\SBAudigy\Surround Mixer\CTSysVol.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe F:\Avast4\ashDisp.exe G:\MediaSource\Detector\CTDetect.exe G:\Alcohol 52\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe G:\SOnic\SsAAD.exe C:\Program Files\Skype\Phone\Skype.exe G:\eMule\emule.exe F:\bluetooth\BlueSoleil.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe F:\Avast4\ashWebSv.exe F:\Avast4\ashMaiSv.exe C:\Program Files\Opera\Opera.exe G:\Naprawcze\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [ATIPTA] atiptaxx.exe O4 - HKLM…\Run: [CTSysVol] g:\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe” O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe” O4 - HKLM…\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM…\Run: [avast!] F:\Avast4\ashDisp.exe O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKCU…\Run: [Creative Detector] g:\MediaSource\Detector\CTDetect.exe /R O4 - HKCU…\Run: [NBJ] “G:\Ahead\Nero BackItUp\NBJ.exe” O4 - HKCU…\Run: [SsAAD.exe] G:\SOnic\SsAAD.exe O4 - HKCU…\Run: [Skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [Yodm3D] C:\Documents and Settings\Proph3T\Pulpit\yodm3D\Yodm3D.exe O4 - HKCU…\Run: [eMuleAutoStart] G:\eMule\emule.exe -AutoStart O4 - Global Startup: BlueSoleil.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175866383187 O17 - HKLM\System\CCS\Services\Tcpip…{959E6DC4-FF5F-4ED8-B294-A92DFE25477D}: NameServer = 62.62.87.180,213.17.145.2 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - F:\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - F:\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - F:\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\bluetooth\BTNtService.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe O23 - Service: MSSQLServerADHelper - Unknown owner - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe (file missing) O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\Alcohol 52\StarWind\StarWindService.exe
Złączono Posta : 06.04.2007 (Pią) 18:54
Niestety komunikat dalej się pojawia
adam9870
(adam9870)
6 Kwiecień 2007 18:47
#4
Pobierz Gmer’a .
Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.
sprawdź czy w zakładce Usługi masz usługę m_hook, a jeśli tak to usuń ją z prawokliku
zrestartuj komputer przyciskiem na obudowie
po resecie otwórz Gmer’a i w zakładce CMD z zaznaczoną opcją REGEDIT.EXE wklej:
Po wykonaniu pokaż nowy log z Combo plus dwa logi z Gmer’a wykonane przy takich ustawieniach:
Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta, to umieść je w jakimś serwisie hostingowym jako pliki *.txt, a tu tylko zlinkuj.
Proph3T
(Proph3t)
6 Kwiecień 2007 19:44
#5
Dzięki wielkie ale się wkurzyłem i zrobiłem format.