Win 32 agent kontra Avast - problem z uruchomieniem systemu


(Mkoziolek) #1

Witam,

Złapałem syfa pod nazwą Win32 Agent, usunałem go w trybie awaryjnym Avastem, poprawiłem Ad-Aware'm i Spybotem i usunał się. Teraz zaczynają się schody, przy każdym starcie komputera maszyna muli przez jakies pół godziny nim ruszy, nic nie mozna odpalić, przejrzeć katalogów itp. Po ok. pół godziny wszystko wraca do normy i komp działa normalnie. Wygląda to tak jakby przy starcie systemu Avast robił skan w tle i zamulał cały komp. Próbowałem wyłączyć skanowanie przy starcie ale nic nie pomogło. Czy ktoś wie co może być przyczyną tych problemów i jak temu zaradzić?


(mareksolak) #2

Wyczyśc rejestr Power Tools-em

Sprawdź też ręcznie czy nic nie zostało Start > uruchom > regedit > Ctrl +F > Win32 Agent > Delete > F3 > Delete > i tak do końca


(Mkoziolek) #3

Wyczyściłem RegEditem już wczesniej, cały czas to samo


(mareksolak) #4

Zobacz w menadżerze zadań windows jaki proces zjada CPU i jerzeli nie jest potrzebny to go wyłącz


(Gutek) #5

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Daj log z ComboFix


(Mkoziolek) #6

Marek nie moge sprawdzić co to za proces, w trybie awaryjnym sie nie uruchamia więc nie moge go rozpoznać a w zwykłym zwiesza kompa tak że brak dostępu do wszystkiego. Komp wraca do normy dopiero gdy przestaje działac ten proces a wtedy to juz po ptakach.


(Mkoziolek) #7

Dalej to samo, tutaj logi z ComboFix

ComboFix 08-02-13.2 - Właściciel 2008-02-13 11:46:39.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.1.1250.1.1045.18.81 [GMT 1:00]

Running from: G:\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((( Files Created from 2008-01-13 to 2008-02-13 )))))))))))))))))))))))))))))))

.

2008-02-13 10:56 . 2008-01-29 13:21

2008-02-13 10:56 . 2004-09-13 21:14

2008-02-13 10:56 . 2004-09-13 20:20

2008-02-13 10:56 . 2004-09-13 21:14

2008-02-13 10:56 . 2004-09-13 21:14

2008-02-13 10:56 . 2004-09-13 21:14

2008-02-13 10:56 . 2004-09-13 21:14

2008-01-29 13:24 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe

2008-01-29 13:24 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx

2008-01-29 13:24 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2008-01-29 13:24 . 2007-12-04 15:55 94,544 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys

2008-01-29 13:24 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2008-01-29 13:24 . 2007-12-04 15:51 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys

2008-01-29 13:24 . 2007-12-04 15:49 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys

2008-01-29 13:24 . 2007-12-04 15:53 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys

2008-01-28 13:41 . 2008-01-28 13:41

2008-01-28 12:35 . 2008-01-28 12:35

2008-01-28 12:34 . 2008-01-28 12:34

2008-01-23 10:25 . 2008-01-29 12:54

2008-01-23 08:28 . 2008-01-28 14:25

2008-01-23 08:25 . 2008-01-28 12:35

2008-01-22 09:42 . 2008-01-22 09:33 33,464 --a------ C:\lich.exe

2008-01-22 09:42 . 2008-01-22 09:42 0 --a------ C:\WINDOWS\system32\lich.dat

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-11 09:43 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\The Bat!

2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe

2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL

1999-05-17 13:58 99,840 ----a-w C:\Program Files\Common Files\IRAABOUT.DLL

1998-12-09 02:53 70,144 ----a-w C:\Program Files\Common Files\IRAMDMTR.DLL

1998-12-09 02:53 48,640 ----a-w C:\Program Files\Common Files\IRALPTTR.DLL

1998-12-09 02:53 31,744 ----a-w C:\Program Files\Common Files\IRAWEBTR.DLL

1998-12-09 02:53 186,368 ----a-w C:\Program Files\Common Files\IRAREG.DLL

1998-12-09 02:53 17,920 ----a-w C:\Program Files\Common Files\IRASRIAL.DLL

2007-04-26 06:40 5 --sha-w C:\WINDOWS\system32\bccabbcf_s.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-16 13:00 13312]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HTpatch"="C:\WINDOWS\htpatch.exe" [2002-10-30 10:40 28672]

"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15 106496]

"Cmaudio"="cmicnfg.cpl" []

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 19:04 3309568]

"nwiz"="nwiz.exe" [2004-03-24 19:04 782336 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 19:04 46080]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-16 13:00 13312]

R2 SCNDRVP;Plustek EPP Scanner;C:\WINDOWS\System32\drivers\SCNDRVP.sys [2000-11-13 16:43]

R2 upss20;UPS Monitor Server;C:\Program Files\UPS Monitor Server\upsmon20.exe [2001-12-17 08:11]

R3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 00:32]

S3 usbscan;Sterownik skanera USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 00:48]

*Newly Created Service* - SISPORT

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-13 11:48:05

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-02-13 11:48:36

ComboFix-quarantined-files.txt 2008-02-13 10:48:21

ComboFix2.txt 2008-01-29 12:21:17


(Mkoziolek) #8

A tutaj z HijackThis, proszę o porade co dalej

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:51:22, on 2008-02-13

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\htpatch.exe

C:\WINDOWS\System32\RunDll32.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\UPS Monitor Server\upsmon20.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .png: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: UPS Monitor Server (upss20) - Unknown owner - C:\Program Files\UPS Monitor Server\upsmon20.exe

--

End of file - 5009 bytes


(Mkoziolek) #9

czy ktoś może rzucić okiem na te logi?


(Dmirecki) #10

Zainstaluj SP2!

FIX w Hijack:

Wklej do Notatnika:

File::

C:\lich.exe

C:\WINDOWS\system32\lich.dat

Zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) -> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Na pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER

Powinno rozpocząć się usuwanie

Potem nowe logi

A ten plik:

przeskanuj na http://www.virustotal.com bo nie wiem co to jest