ishikura
(Ishikura)
8 Lipiec 2008 07:34
#1
Witam
Od wczoraj mam problemy z windowsem xp. W ten weekend korzystalem z obcego pendrivea a niestety pare dni tem uskonczyla mi sie licnecja antyvirusa wiec komp byl “goly”. Od tego momentu windows wiesza mi sie po kilku chcilach od zalogowania - gdy czeka na zalgoowanie, nie wiesza sie. Nie wiesza sie tylko w trybie awaryjnym. Przeskanowalem go w hijackthis
oto log:
http://www.wklejto.pl/5197
moze cos poradzicie? Bede bardzo wdzieczny:)
pozdrawiam
szymon
Dozamet1
(Dozamet1)
8 Lipiec 2008 07:40
#2
na 1rzut oka juz coś masz!!tylko poczekaj jak bardziej doświadczeni w logach napiszą co wywalić!
addmir
(Dmirecki)
8 Lipiec 2008 07:47
#3
FIX:
O1 - Hosts: 202.165.102.205 972.aksjd11.com O1 - Hosts: 202.165.102.205 w3og.cn O1 - Hosts: 203.208.35.100 qazc.fourtw.cn O1 - Hosts: 203.208.35.100 http://www.aujoy.cn O1 - Hosts: 203.208.35.101 http://www.hao601.cn O1 - Hosts: 203.208.35.101 http://www.psp476.cn O1 - Hosts: 72.14.235.99 222.1212l112.net O1 - Hosts: 72.14.235.99 444.1212l112.netn O1 - Hosts: 72.14.235.99 555.1212l112.net O1 - Hosts: 72.14.235.99 111.1212l112.net O1 - Hosts: 65.55.21.250 111.3243l24.com O1 - Hosts: 65.55.21.250 222.3243l24.com O1 - Hosts: 65.55.21.250 333.3243l24.com O1 - Hosts: 125.64.8.112 kao2.gmwo03.com O1 - Hosts: 125.64.8.112 kao.gmwo06.com O1 - Hosts: 125.64.8.112 444.gmwo07.com O1 - Hosts: 116.252.185.15 ru.update365.us O1 - Hosts: 116.252.185.15 ad.update365.us O1 - Hosts: 207.46.232.182 popmails.net O1 - Hosts: 203.208.37.99 3.goodhh.com O1 - Hosts: 220.181.37.55 down.rwixr.com O1 - Hosts: 160.79.42.52 http://www.xdj2008.com O1 - Hosts: 63.175.76.152 http://www.revtr.cn O1 - Hosts: 219.133.40.91 qq.ljsll.com O1 - Hosts: 203.208.35.102 http://www.aassccwe.cn O1 - Hosts: 209.132.177.50 973.aksjd11.com O1 - Hosts: 209.132.177.50 974.aksjd11.com O1 - Hosts: 209.132.177.50 971.aksjd11.com O1 - Hosts: 209.132.177.50 975.aksjd11.com O1 - Hosts: 72.14.235.104 user1.12-39.net O1 - Hosts: 72.14.235.147 http://www.infomt.net O1 - Hosts: 192.150.18.101 ata1.sysions.net O1 - Hosts: 192.150.18.101 ata2.sysions.net O1 - Hosts: 192.150.18.101 ata3.sysions.net O1 - Hosts: 192.150.18.101 ata4.sysions.net O1 - Hosts: 193.120.42.226 8nnnnn99.cn O1 - Hosts: 24.39.54.34 http://www.haoaoao.cn O2 - BHO: detxbiua.dll - {20618412-C528-C784-C056-C164D1F7C502} - C:\WINDOWS\system32\detxbiua.dll O2 - BHO: ijdybpaw.dll - {2A698452-C5D8-C584-C256-C264C987C5A2} - C:\WINDOWS\system32\ijdybpaw.dll O2 - BHO: yxcschlp.dll - {35671234-7890-ABCD-CDEF-567801237653} - C:\WINDOWS\system32\yxcschlp.dll (file missing) O2 - BHO: zywlcime.dll - {37A924AF-1A5F-CF21-AB1D-1D5CF82A8A73} - C:\WINDOWS\system32\zywlcime.dll O2 - BHO: tisqctyu.dll - {38093456-9012-4568-9076-908765467183} - C:\WINDOWS\system32\tisqctyu.dll O2 - BHO: apzhctde.dll - {3D698451-2015-6358-9871-2015987452D3} - C:\WINDOWS\system32\apzhctde.dll O2 - BHO: zycbdime.dll - {4A698102-5904-AFD0-20DF-CD1A65829CA4} - C:\WINDOWS\system32\zycbdime.dll O2 - BHO: zptlcsys.dll - {50940F85-F015-14F1-A05F-F69858AC6D05} - C:\WINDOWS\system32\zptlcsys.dll O2 - BHO: mpwdeapi.dll - {55694105-5108-9405-3695-954187462155} - C:\WINDOWS\system32\mpwdeapi.dll O2 - BHO: pqzfajke.dll - {60A345CD-ABCD-EFAB-CDEF-ABCD01020306} - C:\WINDOWS\system32\pqzfajke.dll O2 - BHO: mndhfdwd.dll - {6C648541-1025-9650-9057-6541258720C6} - C:\WINDOWS\system32\mndhfdwd.dll O2 - BHO: mnmhgsrv.dll - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - C:\WINDOWS\system32\mnmhgsrv.dll O2 - BHO: apsggjba.dll - {7FD45A54-9875-698F-E56E-65102358FDF7} - C:\WINDOWS\system32\apsggjba.dll O2 - BHO: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll O2 - BHO: zyzxjime.dll - {AA59145F-315D-BC23-AC1F-145DF81A34AA} - C:\WINDOWS\system32\zyzxjime.dll O2 - BHO: hdf453d.dll - {B629FF4F-ACDB-5C90-A098-FACB3456A26B} - C:\WINDOWS\system32\hdf453d.dll O4 - HKCU…\Run: [amva] C:\WINDOWS\system32\amvo.exe O20 - AppInit_DLLs: nhmxejkl.dll,tisqctyu.dll O21 - SSODL: ThunderAdvise - {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll O21 - SSODL: DesktopWin - {DA191DE0-AA86-4ED0-4B87-292A3D48BE99} - C:\WINDOWS\AppPatch\DesktopWin.dll
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\detxbiua.dll
C:\WINDOWS\system32\ijdybpaw.dll
C:\WINDOWS\system32\yxcschlp.dll
C:\WINDOWS\system32\zywlcime.dll
C:\WINDOWS\system32\tisqctyu.dll
C:\WINDOWS\system32\apzhctde.dll
C:\WINDOWS\system32\zycbdime.dll
C:\WINDOWS\system32\zptlcsys.dll
C:\WINDOWS\system32\mpwdeapi.dll
C:\WINDOWS\system32\pqzfajke.dll
C:\WINDOWS\system32\mndhfdwd.dll
C:\WINDOWS\system32\mnmhgsrv.dll
C:\WINDOWS\system32\apsggjba.dll
C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll
C:\WINDOWS\system32\zyzxjime.dll
C:\WINDOWS\system32\hdf453d.dll
C:\WINDOWS\system32\amvo.exe
Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: * * Qoobox**
Zainstaluj jakiegoś antywirusa!
ishikura
(Ishikura)
8 Lipiec 2008 08:09
#4
zrobione
combofix: http://wklejto.pl/5201
nowy Hijackthis: http://wklejto.pl/5200
jakiego antywirusa polecasz?
pozdrawiam Szymon
Dozamet1
(Dozamet1)
8 Lipiec 2008 08:32
#5
z darmowych bierz avire lub avg a z platnych nod lub kasper
djarta
(djarta)
8 Lipiec 2008 08:57
#6
Najpierw sformatuj pendriv’a a potem zrób taką czynność:
Wklej do notatnika:
File::
C:\WINDOWS\system32\qbhxaklo.sys
C:\WINDOWS\system32\ngjxakin.sys
C:\WINDOWS\system32\ijzhatde.sys
C:\awda2.exe
C:\WINDOWS\system32\akjsfkaq.dll
C:\WINDOWS\system32\akjsfkaq.dll
C:\WINDOWS\system32\akjsfkaq.dll
C:\WINDOWS\system32\dtzfajke.sys
C:\WINDOWS\system32\erjxakin.sys
C:\WINDOWS\system32\fd233ds4f3.dll
C:\WINDOWS\system32\fdtxaiua.exe
C:\WINDOWS\system32\gpzhatde.sys
C:\WINDOWS\system32\ietzcpaq.dll
C:\WINDOWS\system32\lpmxajkl.exe
C:\WINDOWS\system32\lpzhatde.exe
C:\WINDOWS\system32\mndshsrv.dll
C:\WINDOWS\system32\nhmxejkl.dll
C:\WINDOWS\system32\nhmxejkl.dll
C:\WINDOWS\system32\oltzapaq.exe
C:\WINDOWS\system32\rijxbkin.dll
C:\WINDOWS\system32\rnmxajkl.sys
C:\WINDOWS\system32\rnmxajkl.sys
C:\WINDOWS\system32\snfybbyt.sys
C:\WINDOWS\system32\stjxakin.exe
C:\WINDOWS\system32\stjxakin.exe
C:\WINDOWS\system32\tpfsajbo.exe
C:\WINDOWS\system32\vlhxaklo.sys
C:\WINDOWS\system32\xbfsbjbo.sys
C:\WINDOWS\system32\xscqbhlp.sys
C:\WINDOWS\system32\xscqbhlp.sys
C:\WINDOWS\system32\zscqahlp.exe
C:\WINDOWS\system32\zxmsewin.dll
C:\WINDOWS\system32\zxmsewin.dll
C:\WINDOWS\system32\apsggjba.dll
F:\awda2.exe
K:\awda2.exe
L:\awda2.exe
M:\awda2.exe
F:\awda2.exe
Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{7FD45A54-9875-698F-E56E-65102358FDF7}"=-
"{8A041F13-A111-12A3-B0CF-F99818AA68A8}"=-
"{7319A1F1-9410-9654-3201-345FFA349137}"=-
"{87FD640A-158F-48AC-FD14-1597F14A9778}"=-
"{6A908760-8000-4000-A000-9000322145A6}"=-
"{45671234-7890-ABCD-CDEF-567801237654}"=-
"{57AC9076-C898-B098-D098-A18319080975}"=-
"{39109876-7619-9101-7012-901938475193}"=-
"{7C954872-1230-6541-9548-6541025884C7}"=-
"{25FD6584-698F-BCD2-602C-698745210352}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7FD45A54-9875-698F-E56E-65102358FDF7}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.
ishikura
(Ishikura)
8 Lipiec 2008 10:38
#7
huber2t
(huber2t)
8 Lipiec 2008 10:43
#8
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\apzhdtde.dll
C:\WINDOWS\system32\dazfajke.exe
C:\WINDOWS\system32\dehxaklo.exe
C:\WINDOWS\system32\detxciua.dll
C:\WINDOWS\system32\ictxaiua.sys
C:\WINDOWS\system32\mndhfdwd.dll
C:\WINDOWS\system32\mnmhhsrv.dll
C:\WINDOWS\system32\nttzapaq.sys
C:\WINDOWS\system32\smdsbsrv.sys
C:\WINDOWS\system32\tisqctyu.dll
C:\WINDOWS\system32\tjfyabyt.exe
C:\WINDOWS\system32\xsdjbbmp.sys
C:\WINDOWS\system32\ypdjhbmp.dll
C:\WINDOWS\system32\yxcsdhlp.dll
C:\WINDOWS\system32\zptldsys.dll
C:\WINDOWS\system32\zsdjabmp.exe
C:\WINDOWS\system32\zywmgime.dll
Folder::
C:\WINDOWS\Downloaded Program Files
C:\WINDOWS\AppPatch\
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{38093456-9012-4568-9076-908765467183}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C648541-1025-9650-9057-6541258720C6}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{97421D0D-E07F-40DF-8F07-99597B9585AD}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{8C8D1401-A58D-A81C-CD24-A5915C4517C8}"=-
"{470165F1-9F65-569F-F895-F14F58F41074}"=-
"{60940F85-F015-14F1-A05F-F69858AC6D06}"=-
"{6C648541-1025-9650-9057-6541258720C6}"=-
"{30618412-C528-C784-C056-C164D1F7C503}"=-
"{38093456-9012-4568-9076-908765467183}"=-
"{4D698451-2015-6358-9871-2015987452D4}"=-
"{5A069845-2036-6084-9054-6087502480A5}"=-
"{14698742-2059-3025-9058-954023874141}"=-
"{A1954FAC-1023-154F-895A-1458258AD81A}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"DesktopWin"=-
"ThunderAdvise"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklejto.pl a w poście dajesz tylko link
ishikura
(Ishikura)
8 Lipiec 2008 10:57
#9
huber2t
(huber2t)
8 Lipiec 2008 10:59
#10
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
ishikura
(Ishikura)
8 Lipiec 2008 13:37
#11
Zrobilem wszystko zgodnie z sugestiami. Komputer juz sie nie wiesza ale KAspersky niestety wykryl troche niespodzianek.
log: http://www.wklejto.pl/5235
pozdr
sz
huber2t
(huber2t)
8 Lipiec 2008 14:02
#12
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
E:\Archiwum Stuff\instalki\Nero-6.6.1.15c_wch_[www.programosy.pl].exe
E:\Archiwum Stuff\instalki\radmin22pl.exe
Folders to delte:
C:\WINDOWS\AppPatch
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
ishikura
(Ishikura)
8 Lipiec 2008 14:35
#13
w tym skrypcie byla literowka;)
zauwazylem ja dopiero po fakcie, takze musialem zrobic to dwa razy.
log: http://www.wklejto.pl/5240
pozdr
sz