C64 Opublikowano 25 Grudnia 2005 Zgłoś Opublikowano 25 Grudnia 2005 Witam, mam problem z winzgrozą - opis całego problemu od początku: Wczoraj miałem dziwne zwieszki (niby normalne, przecież to win"szit"), myślę sobie - okej, znowu siostra jakiś syf naściągała... Przeskanowałem system Ad-aware, Spybotem, Pc-cillinem 2002 (taki antywirus, był dodany do płyty ECS :P ) z w miarę nowymi bazami i niby wszystko wróciło do normy, ale gdy chciałem włączyć np. Google Earth bądź GTA San Andreas cały system siadał - tylko restart. Wyłączyłem komputer, bo się "troszeczkę" wkurzyłem. Po ok. 2-3 godz. powrót - jakie było moje zdziwienie, gdy na ekranie pulpitu zobaczyłem artefakty! :blink: No nic, system działał na takich ustawieniach przez ok. 4 miesiące i było ok, ale zmniejszyłem taktowania karty graficznej i procesora dla własnego bezpieczeństwa. Następnym krokiem było sprawdzenie czy któryś z wentylatorków się nie zatarł (częste zjawisko) - wszystko działało. Wreszcie postanowiłem napisać do kolegi i on mi podpowiedział, że może być to rootkit - wirus który zagnieżdża się w jądrze systemu (grafika fixuje, blokada google - tzn. javy w przeglądarce, też to miałem (firefox 1.5), ale przez chwilę i wszystko wróciło do normy). No więc, potrzebuję Waszej pomocy :rolleyes: To mój log z hijackthis - jeśli to coś pomoże: Logfile of HijackThis v1.99.1Scan saved at 14:27:54, on 2005-12-25Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exeC:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exeC:\WINDOWS\System32\nvsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exeC:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exeC:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exeC:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exeD:\programy nie użytkowe\RivaTuner v2.0 RC 15.7\RivaTuner.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\Program Files\Trend Micro\PC-cillin 2002\WebTrap.EXEC:\Program Files\Gadu-Gadu\gg.exeD:\programy nie użytkowe\FireFox\firefox.exeD:\Rar$EX00.615\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dllO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exeO4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exeO4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exeO4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [QuickTime Task] "D:\programy nie użytkowe\quick time 5.0.2\qttask.exe" -atboottimeO4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Documents and Settings\Tomasz\Pulpit\D-Tools\daemon.exe" -lang 1033 -lockO4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [RivaTuner] "D:\programy nie użytkowe\RivaTuner v2.0 RC 15.7\RivaTuner.exe" /TO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\programy nie użytkowe\RivaTuner v2.0 RC 15.7\RivaTuner.exe" /SO4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /backgroundO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -HideO4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXEO4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXEO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions presentO6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO8 - Extra context menu item: Download All by FlashGet - D:\programy nie użytkowe\FlashGet\jc_all.htmO8 - Extra context menu item: Download using FlashGet - D:\programy nie użytkowe\FlashGet\jc_link.htmO8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htmO9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dllO9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Program Files\VisualRoute\vrie.dllO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htmO9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htmO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exeO9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXEO10 - Broken Internet access because of LSP provider 'xfire_lsp_8742.dll' missingO12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dllO16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\update.exeO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126380130894O17 - HKLM\System\CCS\Services\Tcpip\..\{C9955C04-6E34-41A3-9CF2-4B918F81AB75}: NameServer = 194.204.152.34 217.98.63.164O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exeO23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exeO23 - Service: NVIDIA Display Driver Service (Omega 1.6693) (P) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exeO23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exeO23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe Pozdrawiam ;) Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
janio Opublikowano 25 Grudnia 2005 Zgłoś Opublikowano 25 Grudnia 2005 spróbuj go uruchomić w trybie awaryjnym, widze też że masz style xp, może ten program ci robi takie artefakty, spróbuj ustawić skórke systemu na domyślną i przeskanuj system jakimś lepszym antyvirem, np. mks online, albo avastem. btw. pierwszy raz słysze o tym wirusie :P ... Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Neo_x Opublikowano 25 Grudnia 2005 Zgłoś Opublikowano 25 Grudnia 2005 www.hijackthis.de wklej tam sobie tego loga i bedziesz wiedzial co wywalic Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
C64 Opublikowano 25 Grudnia 2005 Zgłoś Opublikowano 25 Grudnia 2005 Już raczej na 100% jest to rootkit - przed chwilą komputer się zrestartował i przy ekranie logowania wywalił komunikat o konieczności przywrócenia kilku plików do rejestru... Gdy się zalogowałem pulpit był taki sam jak zaraz po zainstalowaniu windowsa! (tapeta-łąka, kosz po prawej stronie, komunikat "zapoznaj się z systemem Windows XP", niebieski pasek start itp.). Ale gdy włączyłem jakiś program (chyba gg :P ) to komputer znowu się zrestartował i po zalogowaniu miałem już normalny ekran (tzn. pulpit) :blink: Heheh pierwszy raz mam z tym doczynienia i chyba tylko format pomoże... W każdym razie THX za rady ;) Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
