12groszy
(Lysy 88)
6 Październik 2007 10:05
#1
Witam mam problem strasznie zamula mi sie komp albo jest cos z systemem albo wina sprzetu prosze was o pomoc oto log:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:33:51, on 2007-10-06 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\wdfmgr.exe C:\Program Files\Winamp\Winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Winamp\Winamp.exe C:\Downloads\HiJackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.54.191.5:3128 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\4.bin\MGSBAR.DLL O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\4.bin\MGSBAR.DLL O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [!1_pgaccount] “D:\ProcessGuard\pgaccount.exe” O4 - HKLM…\Run: [hosted] C:\Windows\system32\hosted.exe O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause O4 - HKLM…\Run: [intel system tool] C:\WINDOWS\System32\svehost.exe O4 - HKLM…\Run: [Anti-Trojan-Watch] C:\Program Files\Anti-Trojan-55\ATWatch.exe O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\Winampa.exe” O4 - HKLM…\Run: [THGuard] “C:\Program Files\TrojanHunter 4.7\THGuard.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [bitTorrent] “C:\Program Files\BitTorrent\bittorrent.exe” --force_start_minimized O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll O12 - Plugin for .djvu: C:\Program Files\Internet Explorer\PLUGINS\npdjvu.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedow … n11USA.cab O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v6.cab O17 - HKLM\System\CCS\Services\Tcpip…{1FEAB2BA-F466-405B-8382-B49211E3A82A}: NameServer = 85.255.113.93,85.255.112.171 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.171 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.171 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.171 O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET \Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - D:\ProcessGuard\dcsuserprot.exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
LostWorld
(LostWorld)
6 Październik 2007 11:05
#2
Użyj Fixwareuot
Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego
Po tej operacji
12groszy:
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\4.bin\MGSBAR.DLL O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\4.bin\MGSBAR.DLL O4 - HKLM…\Run: [hosted] C:\Windows\system32\hosted.exe O4 - HKLM…\Run: [intel system tool] C:\WINDOWS\System32\svehost.exe O17 - HKLM\System\CCS\Services\Tcpip…{1FEAB2BA-F466-405B-8382-B49211E3A82A}: NameServer = 85.255.113.93,85.255.112.171 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.171 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.171 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.171 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,
Te wpisy kasujesz w trybie awaryjnym, natomiast pliki ręcznie.
Daj log z Combofix
Opis użycia ComboFix jest na tej stronie z linku.
Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/ , a tu daj tylko link.
12groszy
(Lysy 88)
6 Październik 2007 13:15
#3
Ok.Użylem Fixwareuot
Wykasowałem wpisy i pliki ale jednego nie dało się usunąć:
log z ComboFix :
http://wklej.org/id/f581f5f4cb
i nowy log HJT:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:01:53, on 2007-10-06 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Winamp\Winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\System32\wuauclt.exe C:\Downloads\HiJackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.54.191.5:3128 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [!1_pgaccount] “D:\ProcessGuard\pgaccount.exe” O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause O4 - HKLM…\Run: [Anti-Trojan-Watch] C:\Program Files\Anti-Trojan-55\ATWatch.exe O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\Winampa.exe” O4 - HKLM…\Run: [THGuard] “C:\Program Files\TrojanHunter 4.7\THGuard.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [bitTorrent] “C:\Program Files\BitTorrent\bittorrent.exe” --force_start_minimized O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll O12 - Plugin for .djvu: C:\Program Files\Internet Explorer\PLUGINS\npdjvu.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedow … n11USA.cab O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v6.cab O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET \Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - D:\ProcessGuard\dcsuserprot.exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe – End of file - 5605 bytes
Monczkin
(Monczkin)
6 Październik 2007 13:26
#4
Przeczytaj punkt 2.6 regulaminu i popraw temat.
Złączono Posta : 6 Październik 2007, 16:51:34
Wiesz o tym, że Twoje niechlujstwo w poradach uchroniły usera przed kłopotami z logowaniem.
12groszy
(Lysy 88)
6 Październik 2007 16:09
#5
o lol no to sie porobiło .Mógłby mi ktos pomóc??Bo ja w tych sprawach zielony jestem
LostWorld
(LostWorld)
6 Październik 2007 16:14
#6
Ten plik jest jak najbardziej trefny , ostrzeżenie dostałem nie słusznie , wystarczy poszukać na forum , a tak że w google/inne serwisy :
http://www.forum.tweaks.pl/logi-Pro%C5% … 10482.html
Kolejną porcję linków wysłałem @ Monczkin , błąd wybaczam , każdemu się zdarza :mrgreen:
adam9870
(adam9870)
6 Październik 2007 16:33
#7
Lost World plik:
jest jednym z plików systemowych odpowiadających za proces logowania do systemu. Jego usunięcie najprawdopodobniej spowodowałoby poważne problemy z logowaniem. Nieszczęście chciało, że plik C:\WINDOWS\System32\ntos.exe dołączył się do klucza:
we wpisie Userinit , co widać w postaci wpisu F2 w Hijacku. Niestety Ty nie pokusiłeś się o zaznaczenie plików i katalogów do skasowania, lecz tylko napisałeś “Te wpisy kasujesz w trybie awaryjnym, natomiast pliki ręcznie.” łamiąc tym samym jedną z zasad sprawdzania logów - “zawsze podawaj kompletny sposób jak usunąć syf, czyli szkodliwe wpisy jak i pliki” oraz narażając Usera na pomyłkę. Ba, kiedyś zdarzyła Ci się niemal identyczna sytuacja, wskazałeś do usunięcia wpis:
wraz z plikiem.
Monczkin
(Monczkin)
6 Październik 2007 16:35
#8
Na razie nic się nie stało. Spokojnie.
Ewentualne dysputy czy wyjaśnienia - na PW.
Wracamy do tematu - do pomocy userowi.
LostWorld
(LostWorld)
6 Październik 2007 16:42
#9
Dobra , dzięki za wyjaśnienie sytuacji.W ‘‘myślach’’ miałem na myśli to , żeby skasować ręcznie C:\WINDOWS\System32\ntos.exe , albo jakimś narzędzie m a potem wpis w HJT , po prostu źle się wyraziłem , może to przez zmęcznie etc.Pozdrawiam
adam9870
(adam9870)
6 Październik 2007 16:52
#10
Ściągnij program KillBox , zaznacz Delete on reboot , w polu full path of file wklej kolejno ścieżki:
C:\syspqec.exe
C:\systsef.exe
C:\WINDOWS\system32\SchedullingAgent.exe
C:\WINDOWS\System32\ntos.exe
Po wklejeniu każdej ścieżki z osobna kliknij na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgódź się na restart. Jeśli po wklejeniu którejś ze ścieżek pojawi się jakiś błąd, nie przejmuj się nim tylko przejdź do wykonywania dalszych czynności.
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.
Czy sam ustawiałeś te proxy? Jeśli nie to usuń ten wpis korzystając z HijackThis.
Przeskanuj ten plik na stronie http://www.virustotal.com/pl/ bądź http://virusscan.jotti.org/ i wklej tu wynik skanowania. Dodatkowo sprawdź właściwości katalogu C:\WINDOWS\system32wsnpoem
Po wykonaniu wykonaj i wklej nowy log z ComboFix.
jessica
(jessica)
6 Październik 2007 17:12
#11
Wg mnie właściwości tego folderu “wsnpoem” można nawet nie sprawdzać, bo folder ten jest elementem infekcji, którą masz. W folderze tym znajdują na pewno dwa pliki: “AUDIO.DLL” oraz “VIDEO.DLL”.
Na podstawie -->http://wirusy.interia.pl/encyklopedia?virId=7548 .
Folder oczywiście do usunięcia.
W logu ComboFixa nastąpiło jakieś przekłamanie bo po “system32” powinna być kreseczka “”.
jessi
12groszy
(Lysy 88)
7 Październik 2007 09:17
#12
Ok zrobiłem wszystko jak pisałeś
Przeskanowałem China.dll
wynik z http://www.virustotal.com/pl/ :
I wynik z http://virusscan.jotti.org/ :
I nowy log z ComboFix :http://www.wklej.org/id/0767db2c22
A tak btw
cytat :
Nie moge tego sprawdzic tego wogole nie ma
I ntos.exe niestety nie da rady usunać
jessica
(jessica)
7 Październik 2007 10:38
#13
Piszesz, że tego folderu nie ma- on jest ukryty, więc go nie widzisz.
Przy okazji usuń ręcznie wszystkie “foundy” podobne do tego: C:\ FOUND.0 19
Potem: Użyj -->SDFix
Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym .
Pokaż Report.txt znajdujący się w folderze SDFix.
Instrukcja obsługi: Dwuklik na SDFix.exe, program wypakuje się na C:\SDFix (standardowo) Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed startem Windowsa) Wejdź do folderu z SDFix, dwuklik na plik RunThis.bat Wciśnij Y, nastąpi proces usuwania. Kiedy usuwanie się ukończy, wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania. Kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. Pokaż Report.txt znajdujący się w folderze SDFix.
Do wczoraj SDFix usuwał samoczynnie tego “ntosa”, ale wczoraj chyba ten szkodnik coś w sobie zmienił, bo zdarzyły się już przypadki, że SDFix nie był w stanie tego usunąć.
Może u Ciebie się uda?
W każdym bądź razie daj tu raport SDFixa i log z ComboFixa.
jessi
12groszy
(Lysy 88)
7 Październik 2007 17:51
#14
ok tu jest log z ComboFix :http://www.wklej.org/id/f3a548a3ca
raport SDFix:
SDFix: Version 1.107 Run by Administrator on 2007-10-07 at 18:59 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: Trojan Files Found: Could Not Remove C:\WINDOWS\system32\wsnpoem\audio.dll Could Not Remove C:\WINDOWS\system32\wsnpoem\video.dll Removing Temp Files… ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- C:\WINDOWS\system32\wsnpoem\audio.dll Found C:\WINDOWS\system32\wsnpoem\video.dll Found File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes: Wed 2 May 2001 53,248 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049464.dll” Wed 2 May 2001 32,256 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049465.dll” Wed 2 May 2001 24,064 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049466.dll” Wed 2 May 2001 28,672 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049467.dll” Wed 16 Jan 2002 40,960 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049468.dll” Wed 2 May 2001 23,552 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049469.dll” Wed 16 Jan 2002 23,040 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049470.dll” Wed 16 Jan 2002 113,152 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049471.dll” Wed 16 Jan 2002 134,144 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049472.dll” Thu 6 Sep 2001 40,960 A…H. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049473.dll” Thu 12 Sep 2002 28,672 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049474.dll” Wed 16 Jan 2002 27,648 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049476.dll” Wed 2 May 2001 36,352 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049481.dll” Tue 8 May 2001 88,576 A.SH. — “C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049482.dll” Thu 13 Sep 2007 8,348,280 A…H. — “C:\WINDOWS\SoftwareDistribution\Download\0d73c5f11656cfb2872f8f4bb0b3a716\BIT1.tmp” Finished!
Przeskanowałem system jeszcze programem Spybot - Search & Destroy i podobno(chyba) tzn tak pisało że pousuwał szkodniki ale wykrył jeszcze Win32.Agent ale tego nie dał rady usunąć.
jessica
(jessica)
7 Październik 2007 18:11
#15
Wydaje mi się, że SDFix jednak nie usunął tego “ntosa”.
Spróbujemy inaczej:
Ściągnij --> GMER .
Uruchom go>>gmer.zip>>gmer.exe
>>>rozwiń do zakładki CMD >>zaznacz REGEDIT >> w górne czarne pole wklej:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe",
Kliknij na Uruchom.
Potem:
Otwórz Notatnik i wklej do niego:
Plik >>> zapisz jako >>> zmień rozszerzenie z TXT na wszystkie typy plików >>> zapisz pod nazwą FIX.BAT
( np. na C:\ )
Uruchom Gmer, w >>>zakładce Procesy wybierz Gmer Awaryjny . Komputer się zresetuje i uruchomi się Gmer.
Wybierz znów >>>zakładkę Procesy i na dole w „Poleceniu” przez trzy kropki wskaż plik FIX.BAT , po czym go uruchom (dwuklik).
Potem daj tu:
log z ComboFixa
log z GMERa na ustawieniu:
>>Rootkit>>zaznacz tylko “Usługi” i “Pokaż wszystko”>>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)
Ponieważ logi będą długie, więc wklej je na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów).
jessi
12groszy
(Lysy 88)
7 Październik 2007 18:53
#16
ok
gmer: http://www.wklej.org/id/61e47b91f9
ComboFix:http://wklej.org/id/75fe1497db
Ale teraz w gmer też wsystąpiły błędy przy usuwaniu ntos.exe i wsnpoem
jessica
(jessica)
7 Październik 2007 19:05
#17
Wygląda na to, że tego pliku i tego folderu już nie ma.
Jest natomiast w dalszym ciągu wpis w rejestrze. Dzieje się tak chyba dlatego, bo z logu GMERa wynika, że w dalszym ciągu nie jest wyłączony rezydent Spybota.
Wyłącz go w końcu i w Hijacku sfiksuj ten wpis:
jessi
12groszy
(Lysy 88)
7 Październik 2007 19:19
#18
Dobra już wszystko gra. 8) Dzięki za pomoc i cierpliwość.