Zamulenie kompa! i dziwne wyskakujace okienka!

Grafi219 · 26 Luty 2007 16:32

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

F:\Programy\Sygate\smc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

F:\Programy\AvastAntyvir\aswUpdSv.exe

F:\Programy\AvastAntyvir\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

F:\Programy\AVASTA~1\ashDisp.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\WINDOWS\SOUNDMAN.EXE

F:\Programy\Spamihilator\spamihilator.exe

F:\Programy\AvastAntyvir\ashMaiSv.exe

F:\Programy\AvastAntyvir\ashWebSv.exe

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\Program Files\Neostrada TP\Watch.exe

F:\Programy\AQQ\AQQ.exe

F:\Programy\Adobe Reader 7.0.5\Reader\AcroRd32.exe

F:\Programy\Winamp\winamp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\Instalki\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Grzegorz

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O4 - HKLM\..\Run: [avast!] F:\Programy\AVASTA~1\ashDisp.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SmcService] F:\Programy\Sygate\smc.exe -startgui

O4 - HKCU\..\Run: [Spamihilator] "F:\Programy\Spamihilator\spamihilator.exe"

O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - F:\Programy\FlashGet\jc_link.htm

O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - F:\Programy\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programy\Java\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programy\Java\bin\ssv.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Programy\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Programy\FlashGet\flashget.exe

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_28.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6AC82521-90D3-4EC5-85AC-898E4F2AB039}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Programy\AvastAntyvir\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - F:\Programy\AvastAntyvir\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - F:\Programy\AvastAntyvir\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - F:\Programy\AvastAntyvir\ashWebSv.exe" /service (file missing)

O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\Programy\Sygate\smc.exe

Otorz mam co chwila dziwne wyskakujace okienka z Winantivirus pro2006 nic nigdy takiego nie instalowalem a program spybot co chwila mi znajduje wlasnie to jako zlosliwe oprogramowanie rowniez plik PMNLK.DLL ktorego nie moge usunac gdyz w katalogu system32 go nie ma nawet z zaznaczoną opcja pokazuj ukryte a programem jv16 powertools nie moze usunac tego pliku gdyz " Nie można uzyskać dostepu do pliku" juz nie wiem co mam robic dodam jeszcze ze w menadzer zadan explorer.exe ma uzycie pamieci w granichac 100 824K czego nigdy nie bylo :\

adam9870 · 26 Luty 2007 16:38

W tym logu nic nie widać.

Puść w ruch VundoFix + Trojan.Vundo Removal Tool.

Po wykonaniu pokaż log SilentRunners, log numer 1 z L2Mfix oraz zawartość pliku c:/vundofix.txt.

adam9870 · 26 Luty 2007 17:21

Przeskanuj plik C:\WINDOWS\SYSTEM32\wdbigyoe.dll na stronie http://www.virustotal.com/ lub http://virusscan.jotti.org/ a jeśli okaże się szkodliwy to ścieżkę do niego również wklej w killboxie.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\System32\klnmp.ini

C:\WINDOWS\System32\klnmp.ini2

C:\WINDOWS\System32\klnmp.bak2

C:\WINDOWS\System32\klnmp.bak1

C:\WINDOWS\System32\pmnlk.dll.vir

C:\WINDOWS\System32\jkkljii.dll.vir

po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgadzasz się na restart.

Puść w ruch VundoFix.

Po wykonaniu wklej nowy log numer 1 z l2mfix, SilentRunners i zawartość pliku c:\vundofix.txt

Grafi219 · 26 Luty 2007 17:46

L2MFIX find log 051206

adam9870 · 26 Luty 2007 19:18

Log czysty.

Na koniec możesz przeskanować system którymś z niżej zlinkowanych skanerów on-line:

[*:239wpfce]
http://www.kaspersky.pl/virusscanner.html

Grafi219 · 26 Luty 2007 19:48

Wielkie dzieki!