Dodaj do ulubionych

Strasznie się muli

IP: *.neoplus.adsl.tpnet.pl 12.07.06, 23:36
Problem jest taki, że po około pół godzinie normalnej pracy komp zaczyna się strasznie mulić. Podwójne klikania nie uruchamiają programów (trzeba klikać wiele razy), strzałka zamienia się w klepsydrę bez powodu i nic się nie da zrobić, wszystkie czynności zajmują bardzo dużo czasu, nawet czas w neostradzie nie nalicza się płynnie. W efekcie nawet nie mogę normalnie zrestartować kompa, bo nie reaguje. Ponadto menadżer programów nie włącza się w ogóle jakby go nie było (ale nie pisze, że został wyłączony). Przeskanowałam ewido i usunęłam wszystko. Za każdym razem po włączeniu neta avast wykrywa mi 2 trojany (te same). Jeden z nich to drsmartload1.exe Czyżby nie usuwał ich mimo, że tak mu kazałam? A może zawsze te dwa trojany pakują mi się za każdym razem do kompa? Czy ten Killbox coś pomoże? Oto log:

Logfile of HijackThis v1.99.1
Scan saved at 23:18:07, on 2006-07-12
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\System32\rundll32.exe
C:\echoe32.exe
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Mobipocket.com\Mobipocket Reader\readernotify.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\SpeedFan\speedfan.exe
C:\Program Files\Webshots\webshots.scr
C:\Program Files\OpenOffice.ux.pl 2.0.2\program\soffice.exe
C:\Program Files\OpenOffice.ux.pl 2.0.2\program\soffice.BIN
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
E:\eMule\emule.exe
D:\Instalki\kopytko.com.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [762] C:\sdtp.exe
O4 - HKLM\..\Run: [WinDLL (wsync32.dll)] rundll32.exe C:\WINDOWS\System32\wsync32.dll,start
O4 - HKLM\..\Run: [JTFD] C:\echoe32.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\RunServices: [JTFD] C:\echoe32.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Windows Configuration GUI] systemconfig32.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Mobipocket Reader Notifications] C:\Program Files\Mobipocket.com\Mobipocket Reader\readernotify.exe
O4 - HKCU\..\RunServices: [Windows Configuration GUI] systemconfig32.exe
O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
O4 - Startup: OpenOffice.ux.pl 2.0.2.lnk = C:\Program Files\OpenOffice.ux.pl 2.0.2\program\quickstart.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZC
O17 - HKLM\System\CCS\Services\Tcpip\..\{3625E878-B2AC-4D38-A519-1BA58ECCA461}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (
Obserwuj wątek
    • Gość: Kolobos Re: Strasznie się muli IP: *.warszawa.sdi.tpnet.pl 13.07.06, 01:03
      Skoro masz piracki windows bez aktualizacji to zamknij porty w wwdc.exe (opis w
      przyklejonym poscie).
      Wywal aplikacje od neostrady (opis w przyklejonym)

      W menadzerze zadan zakoncz:
      C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe <- katalog Myweb... usun z dysku.
      C:\echoe32.exe <- plik usun z dysku.

      W hjs usun:
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
      searchbar.findthewebsiteyouneed.com
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
      searchbar.findthewebsiteyouneed.com
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
      searchbar.findthewebsiteyouneed.com
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.findthewebsiteyouneed.com
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
      searchbar.findthewebsiteyouneed.com
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      searchbar.findthewebsiteyouneed.com
      R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} -
      C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
      (file missing)
      O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program
      Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
      O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} -
      C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
      O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1
      \bar\1.bin\MWSBAR.DLL,S
      O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1
      \bar\1.bin\mwsoemon.exe
      O4 - HKLM\..\Run: [762] C:\sdtp.exe <- plik usun z dysku.
      O4 - HKLM\..\Run: [WinDLL (wsync32.dll)] rundll32.exe C:\WINDOWS\System32
      \wsync32.dll,start <- plik wsync32.dll usun z dysku.
      O4 - HKLM\..\Run: [JTFD] C:\echoe32.exe
      O4 - HKLM\..\RunServices: [JTFD] C:\echoe32.exe
      O4 - HKCU\..\Run: [Windows Configuration GUI] systemconfig32.exe <- plik usun z
      dysku.
      O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1
      \bar\1.bin\mwsoemon.exe
      O4 - HKCU\..\RunServices: [Windows Configuration GUI] systemconfig32.exe
      O8 - Extra context menu item: &Search -
      edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZC

      Jak juz to wszystko zrobisz to wklej nowy log.
      • Gość: Aireen Re: Strasznie się muli IP: *.neoplus.adsl.tpnet.pl 14.07.06, 16:28
        Zrobiłam wszystko co radziłeś. Nadal po podłączeniu neta wyskakuje mi jakiś trojan, ale tamte zniknęły (tak mi się wydaje). Komp już tak strasznie się nie muli, choć zdarzają mu się dziwne zacinania jakby nad czymś intensywnie myślał.
        Nowy log:

        Logfile of HijackThis v1.99.1
        Scan saved at 16:23:45, on 2006-07-14
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\Program Files\ewido anti-spyware 4.0\guard.exe
        C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
        C:\WINDOWS\soundman.exe
        C:\WINDOWS\System32\RunDll32.exe
        C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
        C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\Program Files\D-Tools\daemon.exe
        C:\Program Files\QuickTime\qttask.exe
        C:\Program Files\Winamp\winampa.exe
        C:\Program Files\Picasa2\PicasaMediaDetector.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\ewido anti-spyware 4.0\ewido.exe
        C:\WINDOWS\System32\RUNDLL32.EXE
        C:\Program Files\Messenger\msmsgs.exe
        C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
        C:\Program Files\Tlen.pl\tlen.exe
        C:\Program Files\Mobipocket.com\Mobipocket Reader\readernotify.exe
        C:\Program Files\SpeedFan\speedfan.exe
        C:\Program Files\OpenOffice.ux.pl 2.0.2\program\soffice.exe
        C:\PROGRA~1\Webshots\webshots.scr
        C:\Program Files\OpenOffice.ux.pl 2.0.2\program\soffice.BIN
        C:\Program Files\Opera\Opera.exe
        C:\WINDOWS\system32\notepad.exe
        D:\Instalki\kopytko.com.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [SoundMan] soundman.exe
        O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
        O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
        O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
        O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
        O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe
        O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
        O4 - HKLM\..\Run: [JTFD] c:\echoe32.exe
        O4 - HKLM\..\RunServices: [JTFD] c:\echoe32.exe
        O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
        O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
        O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
        O4 - HKCU\..\Run: [Mobipocket Reader Notifications] C:\Program Files\Mobipocket.com\Mobipocket Reader\readernotify.exe
        O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe
        O4 - Startup: OpenOffice.ux.pl 2.0.2.lnk = C:\Program Files\OpenOffice.ux.pl 2.0.2\program\quickstart.exe
        O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
        O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
        O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - ax.emsisoft.com/asquared.cab
        O17 - HKLM\System\CCS\Services\Tcpip\..\{3625E878-B2AC-4D38-A519-1BA58ECCA461}: NameServer = 194.204.152.34 217.98.63.164
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
        O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
        O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
        O23 - Service: GhostStartService - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost 2003\GhostStartService.exe
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
        O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

        • Gość: Aireen Re: Strasznie się muli IP: *.neoplus.adsl.tpnet.pl 14.07.06, 16:36
          Tak sama przejrzałam swój log i zauważyłam, że echoe32.exe zostało mimo, że wczoraj to usunęłam (albo mi sie wydawało). Dziwne. W każdym razie znów to zrobiłam.
          • Gość: Aireen Re: Strasznie się muli IP: *.neoplus.adsl.tpnet.pl 14.07.06, 23:49
            Po ponownym uruchomieniu komputera i neta trojan już się nie pojawił. Wygląda na to, że wszystko jest ok. Dziękuję!
        • Gość: Kolobos Re: Strasznie się muli IP: *.warszawa.sdi.tpnet.pl 14.07.06, 17:01
          Czy porty zostaly zamkniete w wwdc.exe ?

          > Nadal po podłączeniu neta wyskakuje mi jakiś trojan

          Jaki? Podaj nazwe zainfekowanego pliku.

          Zostaly tylko te wpisy do kasacji:
          O4 - HKLM\..\Run: [JTFD] c:\echoe32.exe
          O4 - HKLM\..\RunServices: [JTFD] c:\echoe32.exe
          Plik juz nie jest uruchomiony, wiec pewnie juz go nie ma.

Nie masz jeszcze konta? Zarejestruj się


Nakarm Pajacyka