Wirus - długie uruchamianie PC

kgb.musztarda · 31 Październik 2007 14:34

Otóż zauważyłem, że komputer znacznie dłużej mi się uruchamia. Dodatkowo przy zalogowaniu avg wykrywa mi nowy zarażony plik, chyba new_drv.dll ale dokładnie nie pamiętam. Skanowałem i chciałem go usunąć ale pc mi się zrestartował i nie wiem czy to wina tego wirusa czy chwilowy problem:/

Daję log z hjt:

Logfile of HijackThis v1.99.1 Scan saved at 15:25:25, on 2007-10-31 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\spoolsv.exe F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe F:\PROGRA~1\Grisoft\AVG7\avgemc.exe F:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe F:\Program Files\cFosSpeed\spd.exe F:\WINDOWS\System32\nvsvc32.exe F:\Program Files\AlienGUIse\wbload.exe F:\WINDOWS\Explorer.EXE F:\PROGRA~1\Grisoft\AVG7\avgcc.exe F:\WINDOWS\TBPanel.exe F:\WINDOWS\SOUNDMAN.EXE F:\Program Files\Unlocker\UnlockerAssistant.exe F:\Program Files\cFosSpeed\cFosSpeed.exe F:\WINDOWS\System32\ctfmon.exe F:\WINDOWS\9129837.exe F:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe F:\Program Files\AlienGUIse\AlienwareDock\ObjectDock.exe F:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE F:\progra~1\mozill~1\firefox.exe F:\Documents and Settings\Daniel\Pulpit\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Tłumaczenie - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O4 - HKLM…\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [Gainward] F:\WINDOWS\TBPanel.exe /A O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [unlockerAssistant] “F:\Program Files\Unlocker\UnlockerAssistant.exe” O4 - HKLM…\Run: [cFosSpeed] F:\Program Files\cFosSpeed\cFosSpeed.exe O4 - HKCU…\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [ttool] F:\WINDOWS\9129837.exe O4 - Startup: Alienware Dock.lnk = F:\Program Files\AlienGUIse\AlienwareDock\ObjectDock.exe O4 - Startup: Skrót do Neostrada TP.lnk = ? O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: DSLMON.lnk = F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O9 - Extra ‘Tools’ menuitem: @F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll,-103 - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra ‘Tools’ menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O17 - HKLM\System\CCS\Services\Tcpip…{99309A02-2F1D-4688-906A-EC92307EE6D6}: NameServer = 194.204.159.1 217.98.63.164 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WB - F:\Program Files\AlienGUIse\fastload.dll O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - F:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - F:\Program Files\cFosSpeed\spd.exe" -service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe

Podejrzewam ciąg:

Dodam że ostatnio włożyłem nowy napęd dvd do pc, ale napęd chodził u brata ok i nie wiem czy to możliwe żeby jakimś cudem to napęd zainfekował mi PC:/ (jest to możliwe w ogóle?).

LostWorld · 31 Październik 2007 21:19

Pobierz : SmitFraudFix

Tryb numer 2 i wklejasz raport **(C:\SmitfraudFix.txt).**Oczywiście w trybie awaryjnym.

kasujesz ręcznie z dysku natomiast wpisy w HijackThis.

kgb.musztarda · 1 Listopad 2007 20:36

Daję loga:

SmitFraudFix v2.246 Scan done at 21:21:53,83, 2007-11-01 Run from F:\Documents and Settings\Daniel\Pulpit\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri’s WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: WAN (PPP/SLIP) Interface DNS Server Search Order: 194.204.159.1 DNS Server Search Order: 217.98.63.164 HKLM\SYSTEM\CCS\Services\Tcpip…{99309A02-2F1D-4688-906A-EC92307EE6D6}: NameServer=194.204.159.1 217.98.63.164 HKLM\SYSTEM\CS1\Services\Tcpip…{99309A02-2F1D-4688-906A-EC92307EE6D6}: NameServer=194.204.159.1 217.98.63.164 HKLM\SYSTEM\CS2\Services\Tcpip…{99309A02-2F1D-4688-906A-EC92307EE6D6}: NameServer=194.204.159.1 217.98.63.164 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !Attention, following keys are not inevitably infected! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “System”="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» End Wyszedł trochę krótki, nie wiem czemu, ale widzę że chyba cały jest:/

LostWorld · 1 Listopad 2007 21:54

kasujesz ręcznie z dysku natomiast wpisy w HijackThis.

kgb.musztarda · 4 Listopad 2007 11:25

Otóż tego pliku już nie ma i teraz nawet nei ma wpisu.

Log z combofixa tutaj.