Witam :

Mam następujący problem, ściągnąłem grę mmorpg (Tibia) i komputer zaczął dziwnie pracować. Raz chodził normalnie a raz zwalniał. No więc włączyłem menadżer plików i w procesach było coś jakby Key-Gen (nie jestem do końca pewien) i ta pozycja powtarzała się może z 5-6 razy. Zakończyłem te procesy i komputer zaczął “chodzić” normalnie, lecz na następny dzień gdy chciałem włączyć menadżer i sprawdzić czy nie pojawiły się znowu te procesy pojawił się komunikat :

“Menadżer zadań został wyłączony przez administratora” - chociaż sam nim jestem. Przeskanowałem komputer avastem i znalazł chyba ze 20 takich samych wirusów (Key-Gen) to jest chyba keylogger. Nadal nie potrafię włączyć menadżera i boje się że ktoś przejmie moje hasła na pocztę do gier itd. Reszta działa w miarę stabilnie. Proszę o pomoc !

Kara za piractwo… Wrzuć log z HijackThis: http://dobreprogramy.pl/index.php?dz=2& … This+2.0.2

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:01:24, on 2008-08-04

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\Program Files\Alwil Software\Avast4\ashServ.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\RunDLL32.exe

D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

D:\WINDOWS\RTHDCPL.EXE

D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\Messenger\msmsgs.exe

D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

D:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=10.6.1.1:80;gopher=194.204.159.1:80;http=255.255.255.0:80;https=10.4.3.1:80;socks=195.117.38.110:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM…\Run: [WinampAgent] D:\Inne\Winamp\winampa.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [RemoteControl] “D:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [sYSTEM] C:\WINDOWS\system\lcass.exe

O4 - HKLM…\Run: [Windows] C:\WINDOWS\services.exe

O4 - HKLM…\Run: [session] C:\WINDOWS\System32\Session\svchost.exe

O4 - HKLM…\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [Gadu-Gadu] C:\gg.exe

O4 - HKCU…\Run: [svchost] C:\Windows\svchost.exe

O4 - HKCU…\Run: [Odkurzacz-MCD] D:\Program Files\Odkurzacz\odk_mcd.exe

O4 - HKCU…\Run: [ares] “D:\Program Files\Ares\Ares.exe” -h

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip…{8229078B-E567-47F0-A278-264C149CA524}: NameServer = 212.160.234.110,194.204.152.34

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Program Files\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

Chodzi o to ??

Przeżuć ten log do właściwego działu bo oberwiesz po uszach od admina TUTJ nikt ci nie sprawdzi logów.

Według mnie jest czysto, ale muszą ocenić eksperci na dziale" Bezpieczeństwo i logi HT"

pobierz najlepiej testową wersje jakiegoś dobrego antywirusa np kaspersky, zainstaluj, odłącz internet i zostaw aby przeskanował cały komputer i usuń wszystkie wirusy

a log jest czysty

Tak, oto chodzi GwiaZzduS. Użyj opcji “Edytuj” i przenieś post do działu Bezpieczeństwo i logi HT jak radzi arapo. Tam experci sprawdzą loga, ja się jeszcze nie znam.

Log nie jest czysty…jeśli się nie znasz to nie pisz głupot.

Ja go sprawdze

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system\lcass.exe

C:\WINDOWS\services.exe

C:\WINDOWS\System32\Session\svchost.exe

C:\Windows\svchost.exe

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link