Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Log HJT do kontroli

#1
Log HJT do kontroli
Daje loga z Hijackthis do kontroli.
Niedawno (dokładnie w poniedziałek) założyłem internet w NETII 1mb/s.
Wszystko by było ok gdyby nie to, że od razu na mój komputer zaczęły "napływać" jeden po drugim dialery i trojany. Co uruchomienie systemu Avast wykrywa dialer Win32:Dialer-970[Trj] który jest w lokalizacji C:/o5w1b5a915p4.exe. Tego badziewia jest więcej np: Win32:Virtumonde-CI [adw]. Nie wiem czym to jest spowodowane. Znalazłem także kilka nowych procesów, które osobiście nie podobają mi się. Jednym z nich jest astra32.exe i ADS.exe (ten ostatni siedzi w C:/WINDOWS i zajmuje 203KB).
Proszę o sprawdzenie loga bo obawiam się że coś z kompem nie tak (zawiesza się nieraz przy zamykaniu na ekranie "Zamykanie Systemu...")
Z góry dzięki za pomoc. Myślę że coś da się z tym zrobić. W końcu format tylko w ostateczności :D


Załączone pliki
.log   hijackthis.log (Rozmiar: 7,62 KB / Pobrań: 58)
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#2
RE: Log HJT do kontroli
Z Dodaj/Usuń odinstaluj BearShare MediaBar i BearShare applications.

Użyj w trybie awaryjnym FixWareOut.

Pobierz The Avenger->uruchom go w trybie awaryjnym->zaznacz opcję Input script manually->kliknij w "lupkę"->w okienku,które się otworzy wklej:
Cytat:Drivers to unload:

Mims service
ms hexidecimal defx
Windows Network Services
Sysinfo Tool for Win32

Files to delete:

C:\WINDOWS\astra32.exe
C:\WINDOWS\system32\dllcache\ivchost.exe
C:\WINDOWS\system\svchost32.exe
C:\Windows\ADS.exe
C:\dgkki.exe
C:\WINDOWS\system32\dllcache\services.exe
Kliknij klawisz Done, a następnie 'zielone światełko'. Na komunikat który się wyświetli odpowiadasz OK.

Cytat:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll
F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\astra32.exe
O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll
O4 - HKLM\..\Run: [china] C:\dgkki.exe
O4 - HKCU\..\Run: [ADS] C:\Windows\ADS.exe
O23 - Service: Mims service (Mimserv) - Unknown owner - C:\WINDOWS\system32\dllcache\services.exe
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe
O23 - Service: Windows Network Services (SvcHost32) - Unknown owner - C:\WINDOWS\system\svchost32.exe
O23 - Service: Sysinfo Tool for Win32 - Unknown owner - C:\WINDOWS\astra32.exe

Fix.

Po pracy nowy log + log z Silent Runners i ComboFix.
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#3
RE: Log HJT do kontroli
Użyj Windows Worms Doors Cleaner. Wszystkie znaczki przestawiasz tak, aby były na zielono. Po użyciu resetujesz komputer!

W Trybie Awaryjnym - Użyj VundoFix + FixVundo + VirtumundoBeGone.

slake1 napisał(a):Użyj w trybie awaryjnym FixWareOut.

Przepraszam, lecz dlaczego kolega ma użyć tej aplikacji?
Cyk, cyk, cyk, zegar tyka.

KUTNOTRANS - usługi transportowe
 System operacyjny: linux_ubuntu Przeglądarka: firefox
#4
RE: Log HJT do kontroli
Cytat:O17 - HKLM\System\CCS\Services\Tcpip\..\{51D9522B-FCD2-444A-8CB2-681D995AEA61}: NameServer = 83.238.255.76 213.241.79.37

Wygląda mi to trochę na ukraiński DNS.
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#5
RE: Log HJT do kontroli
Niestety, mylisz się. Ten adres DNS jest z - dns1.inetia.pl.

AtRafael5 - Nie używaj FixWareOut.
Cyk, cyk, cyk, zegar tyka.

KUTNOTRANS - usługi transportowe
 System operacyjny: linux_ubuntu Przeglądarka: firefox
#6
RE: Log HJT do kontroli
Dzięki za pomoc. Teraz jest już wszystko jak się należy... prawie jak sie nalezy...
A mianowicie Combo Fix wykryl kilka dziadostw wiec problem z kilkoma plikami mam z głowy. :D Nie użyłem jeszcze VundoFix + FixVundo + VirtumundoBeGone w trybie awaryjnym, ale system jest czysty i nie łapie żadnego badziewia (dzięki zamknięciu portów w WWDC, bo okazało się że drzwiczki pootwierane i zapraszają wszystko do wejścia Wesoły )
Wszystko by było OK gdyby nie problem który pojawił się wczoraj.
Do Połączeń Sieciowych pod moim modemem Thomson SpeedTouch pojawił się inny o nazwie 'carlton' która już po nocach mi się śni :D Nawet gdy wyrzuce urządzenie (ten dodatkowy modem) to mimo wszystko za chwileczkę powraca i próbuje łączyć z internetem. Zrywa przy tym moje połączenie i nie pozwala na następne... dopiero po kolejnym usunięciu modemu z listy można się połączyć z netem znowu na kilka chwil nim nie zostanę rozłączony... Sytuacja jest o tyle głupia że w tym samym momencie na dysku w katalogu głównym C:/ pojawia się plik o dziwnej nazwie (ma w nazwie kod alfanumeryczny coś a5p6...itd) gdy to wywale problem z modemem znika jednak plik ten powraca a co za tym idzie problemy też... Smutek
Na razie ciesze sie internetem i chwilą kiedy moge z niego korzystac bo zauważyłem że w WWDC otworzył się jeden z portów chyba RPC 445 (bez mojej zgody i wiedzy). Zamknąłem go zreebotowałem system i jest dobrze (wszystko gra i jest w jak najlepszym porządku).
Załączam logi (bo utworzył dwa) z ComboFix z nazwami plików które usunął... :D


Załączone pliki
.txt   ComboFix-quarantined-files.txt (Rozmiar: 1,18 KB / Pobrań: 59)
.txt   ComboFix.txt (Rozmiar: 7,43 KB / Pobrań: 62)
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#7
RE: Log HJT do kontroli
Mimo wszystko w trybie awaryjnym użyj VundoFix + FixVundo + VirtumundoBeGone .

W The Avenger wklej:
Cytat:Files to delete:

C:\WINDOWS\astra32.exe
C:\WINDOWS\system32\dg.exe
C:\WINDOWS\system32\dllcache\ivchost.exe
C:\WINDOWS\system32\ne1.exe
C:\WINDOWS\system32\hqghumea.dll
C:\Windows\ADS.exe
C:\WINDOWS\system32\dllcache\services.exe

Folders to delete:

C:\Qoobox

Registry values to delete:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | "china"

"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | "ADS"
Kliknij klawisz Done, a następnie 'zielone światełko'. Na komunikat który się wyświetli odpowiadasz OK.

Po pracy nowy log z ComboFix.
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#8
RE: Log HJT do kontroli
Dobra wszystko usunę we właściwym czasie (tj jutro bo dzisiaj już mam dosyć-komp nie chce wykryć mojej karty graficznej i nie moge zainstalowac sterów od grafy Smutek ). A jeśli mogę wiedzieć co to jest astra32.exe i ADS.exe (ads.exe działa cały czas w tle od momentu kiedy mam internet w NETIi i myślę że jest to sterownik od modemu lub program do połączenia z siecią). Tylko to chciałbym wiedzieć... :D
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#9
RE: Log HJT do kontroli
Oba pliki to syfy. Możesz przeskanować je na http://virustotal.com ADS.exe sam w przeszłości miałem na własnym dysku i na pewno jest to syf. Skoro mówisz że posiadasz go odkąd masz Netie, mogłeś go załapać podczas pierwszego połączenia.
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#10
RE: Log HJT do kontroli
Tak, oba pliki to szkodniki. Pokaż nowe 3 logi.
Cyk, cyk, cyk, zegar tyka.

KUTNOTRANS - usługi transportowe
 System operacyjny: linux_ubuntu Przeglądarka: firefox
Programy: Polecane / Nowe / Inne




Podobne wątki (Log HJT do kontroli)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Przejęcie kontroli na komputerem grzeczy 9 1339 21.02.2015, 15:46
Ostatni post: knief47
  Moje logi z HJT i ComboFix Skipi1111 0 873 22.04.2012, 20:19
Ostatni post: Skipi1111
  Komputer co chwila blokuje jakiś 212.117.175.145 logi HJT, pomocy Jarek1104 5 1867 27.08.2011, 14:23
Ostatni post: ognisty_lisek

Skocz do:


Wybrane wątki (Log HJT do kontroli)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Proszę o sprawdzenie logów Naver 5 2101 17.02.2019 22:49
Ostatni post: Juntao
  Prośba o sprawdzenie loga ricardo59 2 2347 20.01.2019 18:00
Ostatni post: ricardo59
  wyskakujące okna cmd lukki 5 2364 18.01.2019 13:08
Ostatni post: morderca
  Win7 - wolny komp, problem z programem Delphi Cars - Prosze o sprawdzenie loga z FRST jkazan 9 2788 08.01.2019 23:12
Ostatni post: Pittakos
  prośba sprawdzenia logów - wyskakujące strony manyy 1 2418 20.12.2018 00:48
Ostatni post: morderca
  System nie może odnaleźć plików adrianek81 3 2871 29.11.2018 18:06
Ostatni post: morderca
  prośba o sprawdzenie logów, problem z wyskakującą stroną Idealis 5 2675 20.11.2018 20:48
Ostatni post: morderca
  Prośba o sprawdzenie logów ricardo59 2 2444 20.11.2018 18:15
Ostatni post: ricardo59
  Prośba o sprawdzenie logów. Cruzen 11 4338 16.11.2018 07:37
Ostatni post: morderca
  Prośba o sprawdzenie logów tomekg56 1 2327 14.11.2018 22:41
Ostatni post: morderca
  zamulony laptop - logi robert14-83 1 2677 12.11.2018 21:21
Ostatni post: morderca
  Komputer samoczynnie sie wyłącza i troche zamula. Vesiga 4 2582 03.11.2018 16:38
Ostatni post: Vesiga
  Yahoo, prośba o sprawdzenie logów Bobson1337 3 2761 08.10.2018 11:14
Ostatni post: morderca
  Prośba o sprawdzenie logów ricardo59 1 2681 08.09.2018 19:12
Ostatni post: morderca
  Komputer barrdzo zwolnił prace bardzo długo sie włącza Vesiga 1 3841 26.08.2018 07:51
Ostatni post: morderca