Mam problem, prosba o sprawdzenie loga.

[Jagla]

Po pierwsze chciałbym o sprawdzenie loga kontrolne a po drugie zauważyłem chyba spadek wydajności komputera i internetu ( w sensie że troche gorzej chodzi) chodź może mi sie zdawać. Oraz mam taki problem że ściągłem sobie combofixa bo chciałem wystawić log, włączyłem go i zaczął działać i po 5 sekundach zrobił sie niebieski ekran tak szybko chyba jakieś komendy sie pojawiały czy coś takiego i sie zresetował kumputer(miałem to z programem do gry którego każdy używa i nie jestem pewien że tylko ja tak miałem) jak włączył sie komputer to cobmofixa nie było i nie moge żadnego ściągnąć (probowalem z instalek i programosow) bo pisze że firefox nie może znaleść danego pliku..... i dlatego z HJT daje loga.

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:05:55, on 2008-04-15
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VDOTool\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
D:\TV\WFWIZ.exe
D:\Winamp\winampa.exe
D:\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Maciek\firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinFast Schedule] D:\TV\WFWIZ.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: NBService - Nero AG - D:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINDOWS\PSEXESVC.EXE
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 4015 bytes


aha, i przed zrobieniem loga wyłączyłem procec control.exe (chyba exe) bo próbowałęm combofixa włączyć

[huber2t]

W logu nie widzę syfu
Podaj log z combofix

[Jagla]

Jest problem, bo jak włączam combofixa i ten paseczek mały na początku dochodzi do końca to nic sie nie dzieje...

[huber2t]

podczas pobierania zapisujemy nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe

[Jagla]

Zrobiłem tak jak mówiłeś i po odpaleniu combofixa wyskoczył mi error że windows/nrcmd (czy jakoś tak) jest uszkodzony i musze odpalić CHKDSK itd. Po czym sytuacja taka jak wcześniej. Gdy combo ma zaczynać prace pojawia sie nie bieski ekran tam jakieś napisy szybkie i reset. Więć ciężko z tym combofixem coś. Jakiego antyvira polecasz w mojej sytuacij ??to se ściągne jakiegoś bo nie mam obecnie

[huber2t]

Z darmowych avira avast z płatnych kaspesky


Przeskanuj komputer tym http://www.kaspersky.pl/virusscanner.html Daj log z niego na forum

[Jagla]

Ok, zrobiłem ale wyłączyłem przy 99% bo sie chyba zacieło bo trwało 13h o.O. Znalazło jakieś syfy. To jest chyba log (raport tam pisze

Kod: Zaznacz wszystko

2008-04-16 08:13
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus15/04/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus707202

Ustawienia skanowania
Skanowanie przy użyciu następujących baz danych   rozszerzone
Skanuj archiwa   tak
Skanuj pocztowe bazy danych   tak

Obszar skanowania   Mój komputer
A:\
C:\
D:\
E:\
F:\
H:\

Statystyki skanowania
Liczba skanowanych obiektów   53758
Liczba wykrytych wirusów   2
Liczba zainfekowanych obiektów   10
Liczba podejrzanych obiektów   0
Czas trwania skanowania   13:43:47

Nazwa zainfekowanego obiektu   Nazwa wirusa   Ostatnie działanie
C:\WINDOWS\system32\config\system.LOG    Object is locked    pominięty

C:\WINDOWS\system32\config\software.LOG    Object is locked    pominięty

C:\WINDOWS\system32\config\default.LOG    Object is locked    pominięty

C:\WINDOWS\system32\config\SECURITY    Object is locked    pominięty

C:\WINDOWS\system32\config\SAM    Object is locked    pominięty

C:\WINDOWS\system32\config\SECURITY.LOG    Object is locked    pominięty

C:\WINDOWS\system32\config\SAM.LOG    Object is locked    pominięty

C:\WINDOWS\system32\config\AppEvent.Evt    Object is locked    pominięty

C:\WINDOWS\system32\config\SecEvent.Evt    Object is locked    pominięty

C:\WINDOWS\system32\config\SysEvent.Evt    Object is locked    pominięty

C:\WINDOWS\system32\config\SYSTEM    Object is locked    pominięty

C:\WINDOWS\system32\config\SOFTWARE    Object is locked    pominięty

C:\WINDOWS\system32\config\DEFAULT    Object is locked    pominięty

C:\WINDOWS\system32\drivers\sptd.sys    Object is locked    pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP    Object is locked    pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP    Object is locked    pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER    Object is locked    pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP    Object is locked    pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP    Object is locked    pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA    Object is locked    pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR    Object is locked    pominięty

C:\WINDOWS\system32\CatRoot2\edb.log    Object is locked    pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb    Object is locked    pominięty

C:\WINDOWS\system32\h323log.txt    Object is locked    pominięty

C:\WINDOWS\Debug\PASSWD.LOG    Object is locked    pominięty

C:\WINDOWS\Sti_Trace.log    Object is locked    pominięty

C:\WINDOWS\wiaservc.log    Object is locked    pominięty

C:\WINDOWS\wiadebug.log    Object is locked    pominięty

C:\WINDOWS\WindowsUpdate.log    Object is locked    pominięty

C:\WINDOWS\SchedLgU.Txt    Object is locked    pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log    Object is locked    pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT    Object is locked    pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Historia\History.IE5\index.dat    Object is locked    pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat    Object is locked    pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat    Object is locked    pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG    Object is locked    pominięty

C:\Documents and Settings\NetworkService\Cookies\index.dat    Object is locked    pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG    Object is locked    pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT    Object is locked    pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat    Object is locked    pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat    Object is locked    pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat    Object is locked    pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG    Object is locked    pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat    Object is locked    pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG    Object is locked    pominięty

C:\Documents and Settings\Maaciek\NTUSER.DAT    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Ustawienia lokalne\Historia\History.IE5\index.dat    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Ustawienia lokalne\Historia\History.IE5\MSHist012008041520080416\index.dat    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Ustawienia lokalne\Dane aplikacji\Ahead\Nero Home\bl.db    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Ustawienia lokalne\Dane aplikacji\Ahead\Nero Home\is2.db    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Ustawienia lokalne\Dane aplikacji\Identities\{1376E72E-3DE1-473D-B9AB-69501B476A1D}\Microsoft\Outlook Express\Folders.dbx    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Ustawienia lokalne\Dane aplikacji\Identities\{1376E72E-3DE1-473D-B9AB-69501B476A1D}\Microsoft\Outlook Express\Offline.dbx    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Cookies\index.dat    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Dane aplikacji\Opera\Opera\mail\mailbase.dat    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Dane aplikacji\Opera\Opera\mail\lexicon\lexicon.dat    Object is locked    pominięty

C:\Documents and Settings\Maaciek\Dane aplikacji\Opera\Opera\mail\indexer\indexer.dat    Object is locked    pominięty

C:\Documents and Settings\Maaciek\ntuser.dat.LOG    Object is locked    pominięty

C:\System Volume Information\_restore{38365434-19F6-4BD8-84E3-DE0D2E0DA392}\RP51\change.log    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

C:\Combo-Fix\test\    Object is locked    pominięty

D:\found.001\dir0000.chk\SRSAI.exe    Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.r    pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase    Object is locked    pominięty

D:\System Volume Information\_restore{38365434-19F6-4BD8-84E3-DE0D2E0DA392}\RP22\A0003369.exe    Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.r    pominięty

D:\System Volume Information\_restore{38365434-19F6-4BD8-84E3-DE0D2E0DA392}\RP40\A0012981.exe    Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.r    pominięty

D:\System Volume Information\_restore{38365434-19F6-4BD8-84E3-DE0D2E0DA392}\RP40\A0012991.exe    Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.r    pominięty

D:\System Volume Information\_restore{38365434-19F6-4BD8-84E3-DE0D2E0DA392}\RP43\A0013991.exe    Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.r    pominięty

D:\System Volume Information\_restore{3FA4C240-76EC-4BDA-B4FF-9C5B36B3B1D9}\RP146\A0088731.dll    Zainfekowanych: Backdoor.Win32.IRCBot.cgu    pominięty

D:\System Volume Information\_restore{3FA4C240-76EC-4BDA-B4FF-9C5B36B3B1D9}\RP151\A0102733.dll    Zainfekowanych: Backdoor.Win32.IRCBot.cgu    pominięty

D:\System Volume Information\_restore{3FA4C240-76EC-4BDA-B4FF-9C5B36B3B1D9}\RP155\A0116735.dll    Zainfekowanych: Backdoor.Win32.IRCBot.cgu    pominięty

D:\System Volume Information\_restore{E1E1C058-3321-429A-8117-CAA792AFC216}\RP32\A0030624.dll    Zainfekowanych: Backdoor.Win32.IRCBot.cgu    pominięty

E:\System Volume Information\MountPointManagerRemoteDatabase    Object is locked    pominięty

E:\System Volume Information\_restore{E1E1C058-3321-429A-8117-CAA792AFC216}\RP11\A0003049.exe    Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.r    pominięty

Skanowanie zostało przerwane przez użytkownika

będe instalował kasperskiego jak wróce ze szkoły. Co mam zrobić żeby te viry wywalić?? i skąd one sie wzieły da sie sprawdzićć??

[huber2t]

usuń folder z dysku

D:\found.001

usuń te pliki unlockerem lub w trybie awaryjnym:

D:\System Volume Information\_restore{38365434-19F6-4BD8-84E3-DE0D2E0DA392}\RP22\A0003369.exe
D:\System Volume Information\_restore{38365434-19F6-4BD8-84E3-DE0D2E0DA392}\RP40\A0012981.exe
D:\System Volume Information\_restore{38365434-19F6-4BD8-84E3-DE0D2E0DA392}\RP40\A0012991.exe
D:\System Volume Information\_restore{38365434-19F6-4BD8-84E3-DE0D2E0DA392}\RP43\A0013991.exe
D:\System Volume Information\_restore{3FA4C240-76EC-4BDA-B4FF-9C5B36B3B1D9}\RP146\A0088731.dll
D:\System Volume Information\_restore{3FA4C240-76EC-4BDA-B4FF-9C5B36B3B1D9}\RP151\A0102733.dll
D:\System Volume Information\_restore{3FA4C240-76EC-4BDA-B4FF-9C5B36B3B1D9}\RP155\A0116735.dll
D:\System Volume Information\_restore{E1E1C058-3321-429A-8117-CAA792AFC216}\RP32\A0030624.dll
E:\System Volume Information\_restore{E1E1C058-3321-429A-8117-CAA792AFC216}\RP11\A0003049.exe

[Jagla]

Nie widze takich plików a jak pokazać ukryte to nie wiem ;/. A jak zainstaluje kasperskiego to on to da rade usunąć czy musze ręcznie ??

[huber2t]

Panel sterowania-->opcje folderów-->zakładka widok-->odznaczasz ptaszki przy polach ukryj chronione pliki systemu i ukryj rozszerzenia znanych plików
może coś przekręciłem nie wiem musisz ustawić uprawnienia dla tego folderu System Volume Information jeśli masz profesional to prawym przyciskiem myszy na folder, własciwosci, uprawnienia i tam masz kto może mieć dostęp a jeśli masz home edition to wskocz do trybu awaryjnego a dalej to tak jak pisałem wyżej

[Jagla]

Odchaczyłem to i dalej tam nic nie ma. A kaspersky sobie z tym nie poradzi?? Bo właśnie skanuje kompa i już wykrył jakieś gówienka tylko że strasznie długo to skanuje.

[huber2t]

To przeskanuj a później daj log a ja ci juz dokładnie wytłumaczę jak to usunąć

[Jagla]

Gdzie jest ten log?? Bo skończyło sie skanowanie tam pisało że pousuwało coś o tyle. Loga nie widze. Gdzie go mam znaleśc??? Później zobacze czy combofix mi już działa czy dalej są problemy to wteeydy loga dam z combofuixa chyba że wież skąd wziąść z kasperskiego

[huber2t]

http://www.kaspersky.pl/virusscanner.html

Daj raport z niego na forum

Logu z combofix nie potrzeba

[pp3088]

http://support.microsoft.com/kb/310405/pl

Po wykonaniu zniknie katalog:

D:\System Volume Information\_restore{3FA4C240-76EC-4BDA-B4FF-9C5B36B3B1D9}\RP146\A0088731.dll