MadRiToS
(Pawel Lewandowski3)
14 Październik 2008 12:53
#1
Witam wszystkich forumowiczów, chciałbym uzyskać pomoc od Was o ile to możliwe. Od pewnego czasu mam problem z procesorem, cały czas pracuje na 100% mimo, że nie mam żadnych programów uruchomionych. Ciężko jest coś zrobić na takim sprzęcie więc się pytam dlaczego tak się dzieje? Ja podejrzewam, że chodzi o wirusa, którego mam w pamięci operacyjnej i również nie mam pomysłu jak go usunąć z mojego PC. Trochę poczytałem lektury na ten temat i nic. Mam nadzieję, że wytłumaczycie krok po kroku co robić i uratujecie mój komputerek Pozdrawiam
ComboFix 08-10-12.01 - Madritos 2008-10-14 12:01:09.2 - NTFSx86
gabi95
(Lymtfol)
14 Październik 2008 13:15
#2
A skąd wiesz że jest 100%??? Czy komputer wolno chodzi czy to fikcyjne 100 % Na logach się nie znam ale menadżer zadań ( alt+ctrl+delete) w zakładce procesy masz napisane jaki proces ile zżera procka…
MadRiToS
(Pawel Lewandowski3)
14 Październik 2008 13:18
#3
Stąd wiem właśnie ile procent zżera. 100% jak napisałem
btw, Dosyć często włącza się okienko jakby mi ktoś shoutdownem wyłączał PC. Daje mi minutę na wyłączenie programów i kicha, reset kompa. Tyle, że nie da się tego wyłączyć :o
maku13
(maku13)
14 Październik 2008 13:26
#6
Proces svchost.exe wyszukuje z netu aktualizacji systemu windows.
MadRiToS
(Pawel Lewandowski3)
14 Październik 2008 13:29
#7
yhy no to trochę śmieszne, bo mam 3 takie procesy włączone, a gdy jeden wyłączę to razem z PC’tem. Nie wiem czy tak powinno być, bo się tym wcześniej nie zainteresowałem.
gabi95
(Lymtfol)
14 Październik 2008 13:35
#8
Ja też tak miałem i pomógł reinstal ale mi zżerało procek tylko na początku potem się rozruszał i działał… Nie wiem co to jest…
gabi95
(Lymtfol)
14 Październik 2008 13:36
#9
Ja mam takie 2 ale nic nie zzerają
maku13
(maku13)
14 Październik 2008 13:45
#10
Powinieneś mieć 4 takie procesy…
Otwórz notatnik i wklej do niego:
Plik -> zapisz jako -> CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Wrzuć także log z HijackThis
MadRiToS
(Pawel Lewandowski3)
14 Październik 2008 14:12
#11
ComboFix 08-10-12.01 - Madritos 2008-10-14 16:04:07.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.296 [GMT 2:00]
Uruchomiony z: C:\Documents and Settings\Madritos\Pulpit\ComboFix.exe
Użyto następujących komend :: C:\Documents and Settings\Madritos\Pulpit\CFScript.txt
* Utworzono nowy punkt przywracania
[COLOR=RED][B]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA [/B][/COLOR]
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\eraseme_46738.exe
C:\WINDOWS\system32\msv.exe
C:\WINDOWS\system32\setup_44158.exe
C:\WINDOWS\system32\setup_52686.exe
C:\WINDOWS\system32\setup_70116.exe
C:\WINDOWS\system32\spooisv.exe
C:\WINDOWS\system32\ssms.exe
C:\WINDOWS\system32\wmsoft05550.exe
C:\WINDOWS\system32\wmsoft06534.exe
C:\WINDOWS\system32\wmsoft11410.exe
C:\WINDOWS\system32\wmsoft15420.exe
C:\WINDOWS\system32\wmsoft15826.exe
C:\WINDOWS\system32\wmsoft16380.exe
C:\WINDOWS\system32\wmsoft20545.exe
C:\WINDOWS\system32\wmsoft21768.exe
C:\WINDOWS\system32\wmsoft23517.exe
C:\WINDOWS\system32\wmsoft24413.exe
C:\WINDOWS\system32\wmsoft25312.exe
C:\WINDOWS\system32\wmsoft31250.exe
C:\WINDOWS\system32\wmsoft31642.exe
C:\WINDOWS\system32\wmsoft40275.exe
C:\WINDOWS\system32\wmsoft41087.exe
C:\WINDOWS\system32\wmsoft41458.exe
C:\WINDOWS\system32\wmsoft42101.exe
C:\WINDOWS\system32\wmsoft42853.exe
C:\WINDOWS\system32\wmsoft43106.exe
C:\WINDOWS\system32\wmsoft45481.exe
C:\WINDOWS\system32\wmsoft46503.exe
C:\WINDOWS\system32\wmsoft47018.exe
C:\WINDOWS\system32\wmsoft48333.exe
C:\WINDOWS\system32\wmsoft55060.exe
C:\WINDOWS\system32\wmsoft60652.exe
C:\WINDOWS\system32\wmsoft61332.exe
C:\WINDOWS\system32\wmsoft61602.exe
C:\WINDOWS\system32\wmsoft65883.exe
C:\WINDOWS\system32\wmsoft66327.exe
C:\WINDOWS\system32\wmsoft71104.exe
C:\WINDOWS\system32\wmsoft72700.exe
C:\WINDOWS\system32\wmsoft73154.exe
C:\WINDOWS\system32\wmsoft82824.exe
C:\WINDOWS\system32\wmsoft88448.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2008-09-14 do 2008-10-14 )))))))))))))))))))))))))))))))
.
2008-10-14 14:15 . 2008-10-14 14:15 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-10-14 14:14 . 2008-06-02 21:05 602,112 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-10-14 14:12 . 2008-10-14 14:12
[b] Hijackthis [/b]
[code]Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:13:47, on 2008-10-14 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\System32\taskmgr.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Madritos\Pulpit\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe – End of file - 2304 bytes
MadRiToS
(Pawel Lewandowski3)
14 Październik 2008 16:33
#13
Report.thx
[b]SDFix: Version 1.235 [/b]
Run by Madritos on 2008-10-14 at 18:05
Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\SYSTEM32\SETUP_~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\WM0A6E~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\WM1B52~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\WM1C59~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\WMSOFT~1.EXE - Deleted
C:\WINDOWS\SYSTEM32\WMSOFT~2.EXE - Deleted
C:\WINDOWS\SYSTEM32\WMSOFT~3.EXE - Deleted
C:\WINDOWS\SYSTEM32\WMSOFT~4.EXE - Deleted
C:\WINDOWS\system32\setup_68616.exe - Deleted
C:\WINDOWS\system32\TFTP1260 - Deleted
C:\WINDOWS\system32\TFTP1308 - Deleted
C:\WINDOWS\system32\TFTP1660 - Deleted
C:\WINDOWS\system32\TFTP1804 - Deleted
C:\WINDOWS\system32\TFTP300 - Deleted
C:\WINDOWS\system32\TFTP420 - Deleted
C:\WINDOWS\system32\TFTP444 - Deleted
C:\WINDOWS\system32\TFTP768 - Deleted
C:\WINDOWS\system32\TFTP816 - Deleted
C:\WINDOWS\system32\TFTP840 - Deleted
C:\WINDOWS\system32\wmsoft20813.exe - Deleted
C:\WINDOWS\system32\wmsoft30670.exe - Deleted
C:\WINDOWS\system32\wmsoft37046.exe - Deleted
C:\WINDOWS\system32\wmsoft43064.exe - Deleted
C:\WINDOWS\system32\wmsoft48804.exe - Deleted
C:\WINDOWS\system32\wmsoft58423.exe - Deleted
C:\WINDOWS\system32\wmsoft85231.exe - Deleted
C:\WINDOWS\system32\csrs.exe - Deleted
C:\WINDOWS\system32\i - Deleted
Removing Temp Files
[b]ADS Check [/b]:
[b]Final Check [/b]:
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 18:14:04
Windows 5.1.2600 NTFS
detected NTDLL code modification:
ZwOpenFile
scanning hidden processes ...
scanning hidden services & system hive ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
[b]Remaining Services [/b]:
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"
[b]Remaining Files [/b]:
File Backups: - C:\SDFix\backups\backups.zip
[b]Files with Hidden Attributes [/b]:
Tue 14 Oct 2008 123,904 A..H. --- "C:\WINDOWS\system32\pxsq.exe"
[b]Finished![/b]
ComboFix
ComboFix 08-10-12.01 - Madritos 2008-10-14 18:28:10.4 - NTFSx86
huber2t
(huber2t)
14 Październik 2008 17:02
#14
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
File::
C:\WINDOWS\system32\qfaahcb.exe
C:\WINDOWS\system32\boupsfay.exe
C:\WINDOWS\system32\ryzwb.exe
C:\WINDOWS\system32\jwmjb.bat
C:\WINDOWS\system32\pxsq.exe
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
MadRiToS
(Pawel Lewandowski3)
14 Październik 2008 17:29
#15
http://wklej.org/id/10508/ - log ComboFix
Gdy podkreślone procesy się uruchamiają, komputer się zaczyna wyłączać, czy to sprawka jakiegoś wirusa ?
Leon1
(Leon$)
14 Październik 2008 17:49
#16
Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
MadRiToS
(Pawel Lewandowski3)
14 Październik 2008 18:55
#17
MadRiToS
(Pawel Lewandowski3)
14 Październik 2008 20:27
#18
Hmmm… Ktoś może mi pomóc ? Czy idzie w ogóle w kierunku naprawy komputera czy stoimy w miejscu, bo poprawy na razie nie widzę :? Sorry, że taki niecierpliwy jestem ale muszę mieć maszynę sprawną jak najszybciej można, bo nie mogę pracować :evil:
huber2t
(huber2t)
15 Październik 2008 04:07
#19
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
File::
C:\WINDOWS\system32\i
C:\WINDOWS\system32\wmsoft77657.exe
C:\WINDOWS\system32\wmsoft66277.exe
C:\WINDOWS\system32\wmsoft20332.exe
C:\WINDOWS\system32\setup_55483.exe
C:\WINDOWS\system32\fpjfevo.exe
C:\WINDOWS\system32\TFTP412
C:\WINDOWS\system32\TFTP2156
C:\WINDOWS\system32\TFTP1776
C:\WINDOWS\system32\TFTP340
C:\WINDOWS\system32\TFTP1284
C:\WINDOWS\system32\TFTP1080
C:\WINDOWS\system32\TFTP2044
C:\WINDOWS\system32\TFTP1484
C:\WINDOWS\system32\TFTP1032
C:\WINDOWS\system32\iqaix.exe
C:\WINDOWS\system32\ftiigwow.exe
C:\WINDOWS\system32\TFTP988
C:\WINDOWS\system32\TFTP1004
C:\WINDOWS\system32\antiv.exe
C:\WINDOWS\system32\TFTP592
C:\WINDOWS\system32\TFTP1308
C:\WINDOWS\system32\TFTP1492
C:\WINDOWS\system32\TFTP928
C:\WINDOWS\system32\TFTP924
C:\WINDOWS\system32\TFTP1136
C:\WINDOWS\system32\TFTP1368
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Anivirus Monitor Process"=-
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
MadRiToS
(Pawel Lewandowski3)
15 Październik 2008 14:32
#20