Resetowanie się komputera

IP: *.85-237-171.tkchopin.pl 10.08.07, 19:45
Witam
Po zalogowaniu do systemu, zawsze po takim samym czasie( kilku sekundach) następuje samoczynne resetowanie się komputera. Dodam równiez, ze mam problem z wygenerowaniem loga w trybie awaryjnym z hijacka. Po uruchomieniu programu pojawia się okno z warunkami licencji, ktorych jednak nie mozna zaakaceptować z uwagi na schowane pod paskiem zadań przyciski.
    • Gość: Kolobos Re: Resetowanie się komputera IP: *.escom.net.pl 10.08.07, 20:10
      Sciagnij sobie ta wersje:
      www.download.com/HijackThis/3000-8022_4-10379544.html
      Nie zapomnij o logu z combofix, oba wrzuc na wklej i daj link.
      • Gość: Dawid Re: Resetowanie się komputera IP: *.85-237-171.tkchopin.pl 10.08.07, 21:39
        W takim razie wklejam linki do logow:
        log z combofix - wklej.org/id/ab66ee44e9
        log z hijack'a - www.wklej.org/id/a8989e7f6b

        • Gość: Kolobos Re: Resetowanie się komputera IP: *.escom.net.pl 10.08.07, 22:45
          W hijackthis usun:
          O4 - HKLM\..\Run: [qqdreg] neteikkq.exe
          O4 - HKLM\..\Run: [audlmne32] C:\WINDOWS\system32\dcmsxe.exe
          O4 - HKLM\..\Run: [sdivba] C:\WINDOWS\system32\igfbiyjz.exe
          O4 - HKLM\..\Run: [idcjms] C:\WINDOWS\system32\atlcaleh.exe
          O4 - HKLM\..\Run: [539090600.exe] C:\WINDOWS\system32\539090600.exe
          O4 - HKLM\..\Run: [beadsofti] C:\WINDOWS\system32\iwssv32.exe
          O4 - HKLM\..\Run: [mplaut] C:\WINDOWS\system32\ldcdx.exe
          O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Dokumenty\Settings\bot.dll
          O21 - SSODL: CDRecorder037 - {A3BC5E20-0235-1ABF-9CE1-00AA00512037} - C:\WINDOWS\system32\uoxdzo32.dll

          Usluga do kasacji:
          O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe

          Uruchom: Start->Uruchom->cmd
          wpisz tam:
          sc stop aspimgr
          sc delete aspimgr
          sc stop reveal32
          sc delete reveal32

          Usun z dysku te pliki:
          C:\WINDOWS\system32\uoxdzo32.dll
          C:\WINDOWS\system32\jufq32.dll
          C:\WINDOWS\system32\pnkvmh32.dll
          C:\WINDOWS\trhrgrtrr.exe
          C:\WINDOWS\system32\hgrpr32.dll
          C:\WINDOWS\system32\xbcu32.dll
          C:\WINDOWS\system32\drivers\reveal32.sys
          C:\WINDOWS\yefwergfth.exe
          C:\WINDOWS\ewfrthhyt.exe
          C:\WINDOWS\system32\drivers\Rlf31.sys
          C:\WINDOWS\grture.exe
          C:\WINDOWS\egtefertgfe.exe
          C:\WINDOWS\sfgefge.exe
          C:\WINDOWS\thregreewe.exe
          C:\WINDOWS\system32\redir.dll
          C:\WINDOWS\dgtrdfe.exe
          C:\WINDOWS\tyewefrfe.exe
          C:\WINDOWS\fddfgd.exe
          C:\WINDOWS\system32\pxcpya64.dll
          C:\WINDOWS\zxxcdcvd.exe
          C:\WINDOWS\yhfdsdew.exe
          C:\WINDOWS\system32\sigverif.dll
          C:\WINDOWS\uwefsgr.exe
          C:\WINDOWS\system32\aspimgr.exe
          C:\WINDOWS\ryjyrere.exe
          C:\WINDOWS\hgtrfuy.exe
          C:\WINDOWS\swefregt.exe
          C:\WINDOWS\ferggreg.exe
          C:\WINDOWS\dsfefreg.exe
          C:\WINDOWS\tddfgtrgr.exe
          C:\WINDOWS\system32\atlcaleh.exe
          C:\WINDOWS\system32\cmdundmv.exe
          C:\WINDOWS\system32\dcmsxe.exe
          C:\WINDOWS\system32\fxsglvlz.exe
          C:\WINDOWS\system32\igfbiyjz.exe
          C:\WINDOWS\system32\igfjhlfy.exe
          C:\WINDOWS\system32\iwssv32.exe
          C:\WINDOWS\system32\ldcdx.exe
          C:\WINDOWS\system32\neteikkq.exe
          C:\WINDOWS\system32\netyprun.exe
          C:\WINDOWS\system32\regirqoa.exe
          C:\WINDOWS\system32\xmltpgvd.exe

          W razie problemow z usuwaniem uzyj killbox'a z zaznaczona opcja delete on reboot.

          Po wszystkim uzyj SDFix i daj log + nowy log z combofix oraz hijackthis.
          • Gość: Dawid Re: Resetowanie się komputera IP: *.85-237-171.tkchopin.pl 11.08.07, 00:11
            zamieszczam linki do nowych logow. Niestety bez logu SDFixa bo zdaje sie wymaga połączenia z siecia...a poki co jestem odłaczony.
            log combofix - wklej.org/id/c3a8ef8e33
            log hijack - www.wklej.org/id/9a444e8d3b
            Problem z restartem został rozwiazany. Wielkie dzieki.
            chyba ostało sie jeszcze tylko to
            • Gość: Kolobos Re: Resetowanie się komputera IP: *.escom.net.pl 11.08.07, 01:14
              > Niestety bez logu SDFixa bo zdaje sie wymaga połączenia z
              > siecia

              SDFix musisz koniecznie uruchomic w trybie awaryjnym.
              Jak uruchomisz w normalnym to wlaczy sie skanowanie plikow (co wymaga polaczenia), a nie o to chodzi.

              Logi wygladaja okropnie, osoba ktora doprowadzila ten komputer do takiego stanu nie powinna sie wiecej zblizac do żadnego komputera.

              Do zamkniecia w menadzerze:
              C:\WINDOWS\system32\dcmsxe.exe
              C:\WINDOWS\system32\neteikkq.exe
              C:\WINDOWS\system32\igfbiyjz.exe
              C:\WINDOWS\system32\atlcaleh.exe
              C:\WINDOWS\system32\iwssv32.exe
              C:\WINDOWS\system32\ldcdx.exe

              Do kasacji w hjt:
              O4 - HKLM\..\Run: [audlmne32] C:\WINDOWS\system32\dcmsxe.exe
              O4 - HKLM\..\Run: [sdivba] C:\WINDOWS\system32\igfbiyjz.exe
              O4 - HKLM\..\Run: [idcjms] C:\WINDOWS\system32\atlcaleh.exe
              O4 - HKLM\..\Run: [mplaut] C:\WINDOWS\system32\ldcdx.exe
              O4 - HKLM\..\Run: [beadsofti] C:\WINDOWS\system32\iwssv32.exe
              O4 - HKLM\..\Run: [qqdreg] neteikkq.exe
              O4 - HKCU\..\Run: [qqdreg] neteikkq.exe
              O4 - HKCU\..\Run: [audlmne32] C:\WINDOWS\system32\dcmsxe.exe
              O4 - HKCU\..\Run: [sdivba] C:\WINDOWS\system32\igfbiyjz.exe
              O4 - HKCU\..\Run: [idcjms] C:\WINDOWS\system32\atlcaleh.exe
              O4 - HKCU\..\Run: [beadsofti] C:\WINDOWS\system32\iwssv32.exe
              O4 - HKCU\..\Run: [mplaut] C:\WINDOWS\system32\ldcdx.exe
              O4 - HKCU\..\Run: [Ciso] "C:\PROGRA~1\COMMON~1\APPATC~1\wuauboot.exe" -vt yazb
              O4 - HKCU\..\Run: [Tcwybisn] "C:\Program Files\Common Files\?racle\w?nlogon.exe" <- katalog ?racle usun z dysku.
              20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Dokumenty\Settings\bot.dll

              Usun z dysku:
              C:\WINDOWS\system32\redir.dll
              C:\WINDOWS\system32\atlcaleh.exe
              C:\WINDOWS\system32\cmdundmv.exe
              C:\WINDOWS\system32\dcmsxe.exe
              C:\WINDOWS\system32\fxsglvlz.exe
              C:\WINDOWS\system32\igfbiyjz.exe
              C:\WINDOWS\system32\igfjhlfy.exe
              C:\WINDOWS\system32\iwssv32.exe
              C:\WINDOWS\system32\ldcdx.exe
              C:\WINDOWS\system32\neteikkq.exe
              C:\WINDOWS\system32\netyprun.exe
              C:\WINDOWS\system32\regirqoa.exe
              C:\WINDOWS\system32\xmltpgvd.exe

              Zapewne zanim to zrobisz utworza sie nowe, dlatego trzeba to robic odrazu bez wylacznia komputera.

              Jak juz to zrobisz to daj nowe logi, moze beda wygladac lepiej.
              • Gość: Dawid Re: Resetowanie się komputera IP: *.85-237-171.tkchopin.pl 11.08.07, 17:27
                zgadzam sie co do stanu tego komputera. Złozyło sie na to zapewne: brak podstawowej wiedzy odnosnie bezpieczenstwa w sieci jak i rowniez raczej pozostawiajaca sporo do zyczenia aplikacja dostepowa neostrady(swoja droga musialbym poszukac w sieci jak ja ominac). Całe szczescie ze to nie moj komp. Dzieki Twoim cennym radom, wirusy omijają mojego kompa. Ponizej kolejne logi:):

                log z hijack --
                • Gość: Kolobos Re: Resetowanie się komputera IP: *.escom.net.pl 11.08.07, 18:01
                  > jak i rowniez raczej pozostawiajaca sporo do zyczenia aplikacja
                  > dostepowa neostrady(swoja droga musialbym poszukac w sieci jak ja
                  > ominac).

                  To nie ma zwiazku, a opis jak ja wywalic masz w linku z naglowka forum. Przy okazji mozna wylaczyc zbedne programy w msconfig i odinstalowac messengera. Wylacz przywracanie systemu zeby usunac wszystkie zainfekowane punkty przywracania. Zrob skan przy pomocy SuperAntiSpyware.

                  Spradz np. ten plik C:\WINDOWS\system32\ahui.exe tutaj:
                  virusscan.jotti.org/ i napisz czy cos znalazlo.

                  Wklej do notatnika to:
                  File::
                  C:\Documents and Settings\All Users\Dokumenty\Settings\bot.dll
                  C:\WINDOWS\system32\atlcaleh.exe
                  C:\WINDOWS\system32\cmdundmv.exe
                  C:\WINDOWS\system32\fxsglvlz.exe
                  C:\WINDOWS\system32\igfbiyjz.exe
                  C:\WINDOWS\system32\igfjhlfy.exe
                  C:\WINDOWS\system32\iwssv32.exe
                  C:\WINDOWS\system32\ldcdx.exe
                  C:\WINDOWS\system32\neteikkq.exe
                  C:\WINDOWS\system32\netyprun.exe
                  C:\WINDOWS\system32\regirqoa.exe
                  C:\WINDOWS\system32\xmltpgvd.exe

                  Registry::
                  [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\botreg]

                  Zapisz w katalogu z combofix jako CFScript.txt, a nastepnie przeciagnij ikone CFScript na ikone combofix.exe (o tak: img.photobucket.com/albums/v666/sUBs/CFScript.gif)

                  Sprawdz tez pliki systemowe (potrzebna jest plyta instalacyjna XP) przy pomocy sfc: Start->Uruchom->sfc /scannow

                  Po wszystkim daj nowy log z combofix.
                  • Gość: Dawid Re: Resetowanie się komputera IP: *.85-237-171.tkchopin.pl 11.08.07, 23:10
                    sprawdziłem przykładowy plik na virusscan i nic nie wykryło. Wklejam wiec kolejny log:

                    log combofix
                    • Gość: Kolobos Re: Resetowanie się komputera IP: *.escom.net.pl 11.08.07, 23:49
                      Usuwaja sie po wylaczeniu. Log juz wyglada ok.

      • Gość: Dawid Re: Resetowanie się komputera IP: *.85-237-171.tkchopin.pl 10.08.07, 22:32
        oczekujac na odpowiedz dodatkowo zauwazyłem, ze po wejsciu do Menadzera Zadan w trybie awaryjnym przy procesie csrss.exe mam 100%... uzycie procesora
Pełna wersja