Wirus w pamięci operacyjnej


(Pawel Lewandowski3) #1

Witam wszystkich forumowiczów, chciałbym uzyskać pomoc od Was o ile to możliwe. Od pewnego czasu mam problem z procesorem, cały czas pracuje na 100% mimo, że nie mam żadnych programów uruchomionych. Ciężko jest coś zrobić na takim sprzęcie więc się pytam dlaczego tak się dzieje? Ja podejrzewam, że chodzi o wirusa, którego mam w pamięci operacyjnej i również nie mam pomysłu jak go usunąć z mojego PC. Trochę poczytałem lektury na ten temat i nic. Mam nadzieję, że wytłumaczycie krok po kroku co robić i uratujecie mój komputerek :slight_smile: Pozdrawiam

ComboFix 08-10-12.01 - Madritos 2008-10-14 12:01:09.2 - NTFSx86

(Lymtfol) #2

A skąd wiesz że jest 100%??? Czy komputer wolno chodzi czy to fikcyjne 100 % Na logach się nie znam ale menadżer zadań ( alt+ctrl+delete) w zakładce procesy masz napisane jaki proces ile zżera procka...


(Pawel Lewandowski3) #3

Stąd wiem właśnie ile procent zżera. 100% jak napisałem :slight_smile:

btw, Dosyć często włącza się okienko jakby mi ktoś shoutdownem wyłączał PC. Daje mi minutę na wyłączenie programów i kicha, reset kompa. Tyle, że nie da się tego wyłączyć :o


(Lymtfol) #4

A jaki proces???


(Pawel Lewandowski3) #5

svchost.exe


(maku13) #6

Proces svchost.exe wyszukuje z netu aktualizacji systemu windows.


(Pawel Lewandowski3) #7

yhy no to trochę śmieszne, bo mam 3 takie procesy włączone, a gdy jeden wyłączę to razem z PC'tem. Nie wiem czy tak powinno być, bo się tym wcześniej nie zainteresowałem.


(Lymtfol) #8

Ja też tak miałem i pomógł reinstal ale mi zżerało procek tylko na początku potem się rozruszał i działał... Nie wiem co to jest...


(Lymtfol) #9

Ja mam takie 2 ale nic nie zzerają


(maku13) #10

Powinieneś mieć 4 takie procesy...

Otwórz notatnik i wklej do niego:

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Wrzuć także log z HijackThis


(Pawel Lewandowski3) #11
ComboFix 08-10-12.01 - Madritos 2008-10-14 16:04:07.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.296 [GMT 2:00]

Uruchomiony z: C:\Documents and Settings\Madritos\Pulpit\ComboFix.exe

Użyto następujących komend :: C:\Documents and Settings\Madritos\Pulpit\CFScript.txt

 * Utworzono nowy punkt przywracania


[COLOR=RED][B]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA [/B][/COLOR]

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\WINDOWS\system32\eraseme_46738.exe

C:\WINDOWS\system32\msv.exe

C:\WINDOWS\system32\setup_44158.exe

C:\WINDOWS\system32\setup_52686.exe

C:\WINDOWS\system32\setup_70116.exe

C:\WINDOWS\system32\spooisv.exe

C:\WINDOWS\system32\ssms.exe

C:\WINDOWS\system32\wmsoft05550.exe

C:\WINDOWS\system32\wmsoft06534.exe

C:\WINDOWS\system32\wmsoft11410.exe

C:\WINDOWS\system32\wmsoft15420.exe

C:\WINDOWS\system32\wmsoft15826.exe

C:\WINDOWS\system32\wmsoft16380.exe

C:\WINDOWS\system32\wmsoft20545.exe

C:\WINDOWS\system32\wmsoft21768.exe

C:\WINDOWS\system32\wmsoft23517.exe

C:\WINDOWS\system32\wmsoft24413.exe

C:\WINDOWS\system32\wmsoft25312.exe

C:\WINDOWS\system32\wmsoft31250.exe

C:\WINDOWS\system32\wmsoft31642.exe

C:\WINDOWS\system32\wmsoft40275.exe

C:\WINDOWS\system32\wmsoft41087.exe

C:\WINDOWS\system32\wmsoft41458.exe

C:\WINDOWS\system32\wmsoft42101.exe

C:\WINDOWS\system32\wmsoft42853.exe

C:\WINDOWS\system32\wmsoft43106.exe

C:\WINDOWS\system32\wmsoft45481.exe

C:\WINDOWS\system32\wmsoft46503.exe

C:\WINDOWS\system32\wmsoft47018.exe

C:\WINDOWS\system32\wmsoft48333.exe

C:\WINDOWS\system32\wmsoft55060.exe

C:\WINDOWS\system32\wmsoft60652.exe

C:\WINDOWS\system32\wmsoft61332.exe

C:\WINDOWS\system32\wmsoft61602.exe

C:\WINDOWS\system32\wmsoft65883.exe

C:\WINDOWS\system32\wmsoft66327.exe

C:\WINDOWS\system32\wmsoft71104.exe

C:\WINDOWS\system32\wmsoft72700.exe

C:\WINDOWS\system32\wmsoft73154.exe

C:\WINDOWS\system32\wmsoft82824.exe

C:\WINDOWS\system32\wmsoft88448.exe


.

((((((((((((((((((((((((( Pliki utworzone od 2008-09-14 do 2008-10-14 )))))))))))))))))))))))))))))))

.


2008-10-14 14:15 . 2008-10-14 14:15	0	--a------	C:\WINDOWS\ativpsrm.bin

2008-10-14 14:14 . 2008-06-02 21:05	602,112	---------	C:\WINDOWS\system32\ati2sgag.exe

2008-10-14 14:12 . 2008-10-14 14:12	






[b] Hijackthis [/b]

[code]Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:13:47, on 2008-10-14 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\System32\taskmgr.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Madritos\Pulpit\HiJackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe -- End of file - 2304 bytes


(Leon$) #12

Pobierz program SDFix

-


(Pawel Lewandowski3) #13

Report.thx

[b]SDFix: Version 1.235 [/b]

Run by Madritos on 2008-10-14 at 18:05


Microsoft Windows XP [Wersja 5.1.2600]

Running From: C:\SDFix


[b]Checking Services [/b]:



Restoring Default Security Values

Restoring Default Hosts File


Rebooting



[b]Checking Files [/b]: 


Trojan Files Found:


C:\WINDOWS\SYSTEM32\SETUP_~1.EXE - Deleted

C:\WINDOWS\SYSTEM32\WM0A6E~1.EXE - Deleted

C:\WINDOWS\SYSTEM32\WM1B52~1.EXE - Deleted

C:\WINDOWS\SYSTEM32\WM1C59~1.EXE - Deleted

C:\WINDOWS\SYSTEM32\WMSOFT~1.EXE - Deleted

C:\WINDOWS\SYSTEM32\WMSOFT~2.EXE - Deleted

C:\WINDOWS\SYSTEM32\WMSOFT~3.EXE - Deleted

C:\WINDOWS\SYSTEM32\WMSOFT~4.EXE - Deleted

C:\WINDOWS\system32\setup_68616.exe - Deleted

C:\WINDOWS\system32\TFTP1260 - Deleted

C:\WINDOWS\system32\TFTP1308 - Deleted

C:\WINDOWS\system32\TFTP1660 - Deleted

C:\WINDOWS\system32\TFTP1804 - Deleted

C:\WINDOWS\system32\TFTP300 - Deleted

C:\WINDOWS\system32\TFTP420 - Deleted

C:\WINDOWS\system32\TFTP444 - Deleted

C:\WINDOWS\system32\TFTP768 - Deleted

C:\WINDOWS\system32\TFTP816 - Deleted

C:\WINDOWS\system32\TFTP840 - Deleted

C:\WINDOWS\system32\wmsoft20813.exe - Deleted

C:\WINDOWS\system32\wmsoft30670.exe - Deleted

C:\WINDOWS\system32\wmsoft37046.exe - Deleted

C:\WINDOWS\system32\wmsoft43064.exe - Deleted

C:\WINDOWS\system32\wmsoft48804.exe - Deleted

C:\WINDOWS\system32\wmsoft58423.exe - Deleted

C:\WINDOWS\system32\wmsoft85231.exe - Deleted

C:\WINDOWS\system32\csrs.exe - Deleted

C:\WINDOWS\system32\i - Deleted






Removing Temp Files


[b]ADS Check [/b]:




                                 [b]Final Check [/b]:


catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-14 18:14:04

Windows 5.1.2600 NTFS


detected NTDLL code modification:

ZwOpenFile


scanning hidden processes ...


scanning hidden services & system hive ...


scanning hidden registry entries ...


scanning hidden files ...


scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0



[b]Remaining Services [/b]:





Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"


[b]Remaining Files [/b]:



File Backups: - C:\SDFix\backups\backups.zip


[b]Files with Hidden Attributes [/b]:


Tue 14 Oct 2008 123,904 A..H. --- "C:\WINDOWS\system32\pxsq.exe"


[b]Finished![/b]

ComboFix

ComboFix 08-10-12.01 - Madritos 2008-10-14 18:28:10.4 - NTFSx86

(huber2t) #14

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system32\qfaahcb.exe

C:\WINDOWS\system32\boupsfay.exe

C:\WINDOWS\system32\ryzwb.exe

C:\WINDOWS\system32\jwmjb.bat

C:\WINDOWS\system32\pxsq.exe

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Pawel Lewandowski3) #15

http://wklej.org/id/10508/ - log ComboFix

62746266xy8.th.jpgthpix.gif

Gdy podkreślone procesy się uruchamiają, komputer się zaczyna wyłączać, czy to sprawka jakiegoś wirusa ?


(Leon$) #16

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Pawel Lewandowski3) #17

http://wklej.org/id/10543/


(Pawel Lewandowski3) #18

Hmmm... Ktoś może mi pomóc ? Czy idzie w ogóle w kierunku naprawy komputera czy stoimy w miejscu, bo poprawy na razie nie widzę :? Sorry, że taki niecierpliwy jestem ale muszę mieć maszynę sprawną jak najszybciej można, bo nie mogę pracować :evil:


(huber2t) #19

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system32\i

C:\WINDOWS\system32\wmsoft77657.exe

C:\WINDOWS\system32\wmsoft66277.exe

C:\WINDOWS\system32\wmsoft20332.exe

C:\WINDOWS\system32\setup_55483.exe

C:\WINDOWS\system32\fpjfevo.exe

C:\WINDOWS\system32\TFTP412

C:\WINDOWS\system32\TFTP2156

C:\WINDOWS\system32\TFTP1776

C:\WINDOWS\system32\TFTP340

C:\WINDOWS\system32\TFTP1284

C:\WINDOWS\system32\TFTP1080

C:\WINDOWS\system32\TFTP2044

C:\WINDOWS\system32\TFTP1484

C:\WINDOWS\system32\TFTP1032

C:\WINDOWS\system32\iqaix.exe

C:\WINDOWS\system32\ftiigwow.exe

C:\WINDOWS\system32\TFTP988

C:\WINDOWS\system32\TFTP1004

C:\WINDOWS\system32\antiv.exe

C:\WINDOWS\system32\TFTP592

C:\WINDOWS\system32\TFTP1308

C:\WINDOWS\system32\TFTP1492

C:\WINDOWS\system32\TFTP928

C:\WINDOWS\system32\TFTP924

C:\WINDOWS\system32\TFTP1136

C:\WINDOWS\system32\TFTP1368


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"Microsoft Anivirus Monitor Process"=-

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Pawel Lewandowski3) #20

http://wklej.org/id/10644/