Zawieszajacy sie komputer

12groszy (Lysy 88) 2007-10-06 10:05:30 UTC #1

Witam mam problem strasznie zamula mi sie komp albo jest cos z systemem albo wina sprzetu prosze was o pomoc oto log:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:33:51, on 2007-10-06 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\wdfmgr.exe C:\Program Files\Winamp\Winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Winamp\Winamp.exe C:\Downloads\HiJackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.54.191.5:3128 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\4.bin\MGSBAR.DLL O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\4.bin\MGSBAR.DLL O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM..\Run: [nwiz] nwiz.exe /install O4 - HKLM..\Run: [!1_pgaccount] "D:\ProcessGuard\pgaccount.exe" O4 - HKLM..\Run: [hosted] C:\Windows\system32\hosted.exe O4 - HKLM..\Run: [bearShare] "C:\Program Files\BearShare\BearShare.exe" /pause O4 - HKLM..\Run: [intel system tool] C:\WINDOWS\System32\svehost.exe O4 - HKLM..\Run: [Anti-Trojan-Watch] C:\Program Files\Anti-Trojan-55\ATWatch.exe O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe" O4 - HKLM..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.7\THGuard.exe" O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU..\Run: [bitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU..\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll O12 - Plugin for .djvu: C:\Program Files\Internet Explorer\PLUGINS\npdjvu.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedow ... n11USA.cab O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim\_v6.cab O17 - HKLM\System\CCS\Services\Tcpip..{1FEAB2BA-F466-405B-8382-B49211E3A82A}: NameServer = 85.255.113.93,85.255.112.171 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.171 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.171 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.171 O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - D:\ProcessGuard\dcsuserprot.exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Lost_World (Lost World) 2007-10-06 11:05:26 UTC #2

Użyj Fixwareuot

Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego

Po tej operacji

12groszy:

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\4.bin\MGSBAR.DLL O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\4.bin\MGSBAR.DLL O4 - HKLM..\Run: [hosted] C:\Windows\system32\hosted.exe O4 - HKLM..\Run: [intel system tool] C:\WINDOWS\System32\svehost.exe O17 - HKLM\System\CCS\Services\Tcpip..{1FEAB2BA-F466-405B-8382-B49211E3A82A}: NameServer = 85.255.113.93,85.255.112.171 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.171 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.171 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.93 85.255.112.171 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,

Te wpisy kasujesz w trybie awaryjnym, natomiast pliki ręcznie.

Daj log z Combofix

Opis użycia ComboFix jest na tej stronie z linku.

Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/, a tu daj tylko link.

Nowy log z HJT.

12groszy (Lysy 88) 2007-10-06 13:15:07 UTC #3

Ok.Użylem Fixwareuot

Wykasowałem wpisy i pliki ale jednego nie dało się usunąć:

log z ComboFix :

http://wklej.org/id/f581f5f4cb

i nowy log HJT:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:01:53, on 2007-10-06 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Winamp\Winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\System32\wuauclt.exe C:\Downloads\HiJackThis\HijackThis.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 80.54.191.5:3128 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM..\Run: [nwiz] nwiz.exe /install O4 - HKLM..\Run: [!1_pgaccount] "D:\ProcessGuard\pgaccount.exe" O4 - HKLM..\Run: [bearShare] "C:\Program Files\BearShare\BearShare.exe" /pause O4 - HKLM..\Run: [Anti-Trojan-Watch] C:\Program Files\Anti-Trojan-55\ATWatch.exe O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe" O4 - HKLM..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.7\THGuard.exe" O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU..\Run: [bitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU..\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll O12 - Plugin for .djvu: C:\Program Files\Internet Explorer\PLUGINS\npdjvu.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {5F5F9FB8-878E-4455-95E0-F64B2314288A} (ijjiPlugin2 Class) - http://gamedownload.ijjimax.com/gamedow ... n11USA.cab O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim\_v6.cab O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: DiamondCS ProcessGuard Service v3.410 (DCSPGSRV) - Unknown owner - D:\ProcessGuard\dcsuserprot.exe (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe -- End of file - 5605 bytes

Monczkin (Monczkin) 2007-10-06 13:26:24 UTC #4

Przeczytaj punkt 2.6 regulaminu i popraw temat.

Złączono Posta : 6 Październik 2007, 16:51:34

Wiesz o tym, że Twoje niechlujstwo w poradach uchroniły usera przed kłopotami z logowaniem.

12groszy (Lysy 88) 2007-10-06 16:09:20 UTC #5

o lol no to sie porobiło .Mógłby mi ktos pomóc??Bo ja w tych sprawach zielony jestem

Lost_World (Lost World) 2007-10-06 16:14:13 UTC #6

Ten plik jest jak najbardziej trefny , ostrzeżenie dostałem nie słusznie , wystarczy poszukać na forum , a tak że w google/inne serwisy :

http://www.forum.tweaks.pl/logi-Pro%C5% ... 10482.html

Kolejną porcję linków wysłałem @ Monczkin , błąd wybaczam , każdemu się zdarza :mrgreen:

adam9870 (adam9870) 2007-10-06 16:33:15 UTC #7

Lost World plik:

jest jednym z plików systemowych odpowiadających za proces logowania do systemu. Jego usunięcie najprawdopodobniej spowodowałoby poważne problemy z logowaniem. Nieszczęście chciało, że plik C:\WINDOWS\System32\ntos.exe dołączył się do klucza:

we wpisie Userinit , co widać w postaci wpisu F2 w Hijacku. Niestety Ty nie pokusiłeś się o zaznaczenie plików i katalogów do skasowania, lecz tylko napisałeś "Te wpisy kasujesz w trybie awaryjnym, natomiast pliki ręcznie." łamiąc tym samym jedną z zasad sprawdzania logów - "zawsze podawaj kompletny sposób jak usunąć syf, czyli szkodliwe wpisy jak i pliki" oraz narażając Usera na pomyłkę. Ba, kiedyś zdarzyła Ci się niemal identyczna sytuacja, wskazałeś do usunięcia wpis:

wraz z plikiem.

Monczkin (Monczkin) 2007-10-06 16:35:25 UTC #8

Na razie nic się nie stało. Spokojnie.

Ewentualne dysputy czy wyjaśnienia - na PW.

Wracamy do tematu - do pomocy userowi.

Lost_World (Lost World) 2007-10-06 16:42:32 UTC #9

Dobra , dzięki za wyjaśnienie sytuacji.W ''myślach'' miałem na myśli to , żeby skasować ręcznie C:\WINDOWS\System32\ntos.exe , albo jakimś narzędzie m a potem wpis w HJT , po prostu źle się wyraziłem , może to przez zmęcznie etc.Pozdrawiam

adam9870 (adam9870) 2007-10-06 16:52:58 UTC #10

Ściągnij program KillBox, zaznacz Delete on reboot , w polu full path of file wklej kolejno ścieżki:

C:\syspqec.exe

C:\systsef.exe

C:\WINDOWS\system32\SchedullingAgent.exe

C:\WINDOWS\System32\ntos.exe

Po wklejeniu każdej ścieżki z osobna kliknij na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgódź się na restart. Jeśli po wklejeniu którejś ze ścieżek pojawi się jakiś błąd, nie przejmuj się nim tylko przejdź do wykonywania dalszych czynności.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Czy sam ustawiałeś te proxy? Jeśli nie to usuń ten wpis korzystając z HijackThis.

Przeskanuj ten plik na stronie http://www.virustotal.com/pl/ bądź http://virusscan.jotti.org/ i wklej tu wynik skanowania. Dodatkowo sprawdź właściwości katalogu C:\WINDOWS\system32wsnpoem

Po wykonaniu wykonaj i wklej nowy log z ComboFix.

jessica (jessica) 2007-10-06 17:12:27 UTC #11

Wg mnie właściwości tego folderu "wsnpoem" można nawet nie sprawdzać, bo folder ten jest elementem infekcji, którą masz. W folderze tym znajdują na pewno dwa pliki: "AUDIO.DLL" oraz "VIDEO.DLL".

Na podstawie -->http://wirusy.interia.pl/encyklopedia?virId=7548.

Folder oczywiście do usunięcia.

W logu ComboFixa nastąpiło jakieś przekłamanie bo po "system32" powinna być kreseczka "\".

jessi

12groszy (Lysy 88) 2007-10-07 09:17:58 UTC #12

Ok zrobiłem wszystko jak pisałeś

Przeskanowałem China.dll

wynik z http://www.virustotal.com/pl/ :

Plik China.dll otrzymany 2007.10.07 09:40:52 (CET) Antywirus Wersja Ostatnia aktualizacja Wynik AhnLab-V3 2007.10.6.0 2007.10.05 - AntiVir 7.6.0.20 2007.10.05 - Authentium 4.93.8 2007.10.05 - Avast 4.7.1051.0 2007.10.06 - AVG 7.5.0.488 2007.10.06 - BitDefender 7.2 2007.10.07 - CAT-QuickHeal 9.00 2007.10.06 - ClamAV 0.91.2 2007.10.07 - DrWeb 4.44.0.09170 2007.10.06 - eSafe 7.0.15.0 2007.10.04 - eTrust-Vet 31.2.5190 2007.10.06 - Ewido 4.0 2007.10.06 - FileAdvisor 1 2007.10.07 - Fortinet 3.11.0.0 2007.10.07 - F-Prot 4.3.2.48 2007.10.06 - F-Secure 6.70.13030.0 2007.10.06 - Ikarus T3.1.1.12 2007.10.07 - Kaspersky 7.0.0.125 2007.10.07 - McAfee 5135 2007.10.05 - Microsoft 1.2908 2007.10.07 - NOD32v2 2576 2007.10.07 - Norman 5.80.02 2007.10.05 - Panda 9.0.0.4 2007.10.06 - Prevx1 V2 2007.10.07 - Rising 19.43.60.00 2007.10.07 - Sophos 4.22.0 2007.10.07 - Sunbelt 2.2.907.0 2007.10.06 - Symantec 10 2007.10.07 - TheHacker 6.2.6.078 2007.10.06 - VBA32 3.12.2.4 2007.10.07 - VirusBuster 4.3.26:9 2007.10.06 - Webwasher-Gateway 6.0.1 2007.10.05 - Dodatkowe informacje File size: 94208 bytes MD5: a7e2d6a78d5c71c639301b3f9517ffb8 SHA1: bc7762a4637ff248040caea5d380ed9b919d6602

I wynik z http://virusscan.jotti.org/:

I nowy log z ComboFix :http://www.wklej.org/id/0767db2c22

A tak btw

cytat :

Nie moge tego sprawdzic tego wogole nie ma

I ntos.exe niestety nie da rady usunać

jessica (jessica) 2007-10-07 10:38:30 UTC #13

Piszesz, że tego folderu nie ma- on jest ukryty, więc go nie widzisz.

Przy okazji usuń ręcznie wszystkie "foundy" podobne do tego: C:\ FOUND.0 19

Potem: Użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

Do wczoraj SDFix usuwał samoczynnie tego "ntosa", ale wczoraj chyba ten szkodnik coś w sobie zmienił, bo zdarzyły się już przypadki, że SDFix nie był w stanie tego usunąć.

Może u Ciebie się uda?

W każdym bądź razie daj tu raport SDFixa i log z ComboFixa.

jessi

12groszy (Lysy 88) 2007-10-07 17:51:22 UTC #14

ok tu jest log z ComboFix :http://www.wklej.org/id/f3a548a3ca

raport SDFix:

SDFix: Version 1.107 Run by Administrator on 2007-10-07 at 18:59 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Trojan Files Found: Could Not Remove C:\WINDOWS\system32\wsnpoem\audio.dll Could Not Remove C:\WINDOWS\system32\wsnpoem\video.dll Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY\_LOCAL\_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY\_LOCAL\_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- C:\WINDOWS\system32\wsnpoem\audio.dll Found C:\WINDOWS\system32\wsnpoem\video.dll Found File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes: Wed 2 May 2001 53,248 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049464.dll" Wed 2 May 2001 32,256 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049465.dll" Wed 2 May 2001 24,064 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049466.dll" Wed 2 May 2001 28,672 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049467.dll" Wed 16 Jan 2002 40,960 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049468.dll" Wed 2 May 2001 23,552 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049469.dll" Wed 16 Jan 2002 23,040 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049470.dll" Wed 16 Jan 2002 113,152 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049471.dll" Wed 16 Jan 2002 134,144 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049472.dll" Thu 6 Sep 2001 40,960 A..H. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049473.dll" Thu 12 Sep 2002 28,672 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049474.dll" Wed 16 Jan 2002 27,648 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049476.dll" Wed 2 May 2001 36,352 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049481.dll" Tue 8 May 2001 88,576 A.SH. --- "C:\System Volume Information_restore{1A7B79B8-2F3E-43DE-B568-5DA89654802F}\RP54\A0049482.dll" Thu 13 Sep 2007 8,348,280 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0d73c5f11656cfb2872f8f4bb0b3a716\BIT1.tmp" Finished!

Przeskanowałem system jeszcze programem Spybot - Search & Destroy i podobno(chyba) tzn tak pisało że pousuwał szkodniki ale wykrył jeszcze Win32.Agent ale tego nie dał rady usunąć.

jessica (jessica) 2007-10-07 18:11:21 UTC #15

Wydaje mi się, że SDFix jednak nie usunął tego "ntosa".

Spróbujemy inaczej:

Ściągnij --> GMER.

Uruchom go>>gmer.zip>>gmer.exe

>>>rozwiń do zakładki CMD >>zaznacz REGEDIT >> w górne czarne pole wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] 

"Userinit"="C:\WINDOWS\system32\userinit.exe",

Kliknij na Uruchom.

Potem:

Otwórz Notatnik i wklej do niego:

Plik >>> zapisz jako >>> zmień rozszerzenie z TXT na wszystkie typy plików >>> zapisz pod nazwą FIX.BAT

( np. na C:\ )

Uruchom Gmer, w >>>zakładce Procesy wybierz Gmer Awaryjny. Komputer się zresetuje i uruchomi się Gmer.

Wybierz znów >>>zakładkę Procesy i na dole w „Poleceniu” przez trzy kropki wskaż plik FIX.BAT , po czym go uruchom (dwuklik).

Potem daj tu:

1) log z ComboFixa

2) log z GMERa na ustawieniu:

>>Rootkit>>zaznacz tylko "Usługi" i "Pokaż wszystko">>Szukaj>>Kopiuj>>CTRL+V do Notatnika (zapisz gdzieś)

Ponieważ logi będą długie, więc wklej je na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi

12groszy (Lysy 88) 2007-10-07 18:53:01 UTC #16

gmer: http://www.wklej.org/id/61e47b91f9

ComboFix:http://wklej.org/id/75fe1497db

Ale teraz w gmer też wsystąpiły błędy przy usuwaniu ntos.exe i wsnpoem

jessica (jessica) 2007-10-07 19:05:27 UTC #17

Wygląda na to, że tego pliku i tego folderu już nie ma.

Jest natomiast w dalszym ciągu wpis w rejestrze. Dzieje się tak chyba dlatego, bo z logu GMERa wynika, że w dalszym ciągu nie jest wyłączony rezydent Spybota.

Wyłącz go w końcu i w Hijacku sfiksuj ten wpis:

jessi

12groszy (Lysy 88) 2007-10-07 19:19:42 UTC #18

Dobra już wszystko gra. 8) Dzięki za pomoc i cierpliwość.