[kamilos102]

otóż po 2/3 h pracy komputera pojawia się komunikat informujący, że za 1 min. komp sie wyłączy, rozpoczyna się odliczanie. Jest jeszcze info, że zostało to zainicjowane przez ZARZĄDZANIE NT/SYSTEM. wyczytałem że to jest wirus , nie mam pojęcia jak go unieszkodliwić ? prosze o pomoc !



Logi z Hijack
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
c:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\1fha091ntga90f012nt19sart199\update.exe
C:\Documents and Settings\User\Menu Start\Programy\Autostart\lua7.exe
C:\Documents and Settings\User\Dane aplikacji\mservice32_t.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\User\Pulpit\HijackThis.exe

[Mateusz]

START -> Uruchom...

shutdown -a

[kamilos102]

Użytkownik Mateusz dnia 09 sierpień 2011 - 14:11 napisał

START -> Uruchom...

shutdown -a

musze to używać regularnie? czy wystarczy raz i mam ten problem z głowy ?

[magik092]

Wklej pełny log z HijackThis na http://wklej.org/.

Pozbyłbym się

C:\Program Files\Bonjour\mDNSResponder.exe
C:\1fha091ntga90f012nt19sart199\update.exe
C:\Documents and Settings\User\Menu Start\Programy\Autostart\lua7.exe

Do tego złapałeś infekcję (plik mservice32_t.exe), tym się zajmiemy jak wrzucisz pełen log.

[Mateusz]

Użytkownik kamilos102 dnia 09 sierpień 2011 - 14:22 napisał

musze to używać regularnie? czy wystarczy raz i mam ten problem z głowy ?

Jednorazowo niestety. Resztę powinien rozwiązać Combofix (pobierz i uruchom).

[kamilos102]

Użytkownik magik092 dnia 09 sierpień 2011 - 19:59 napisał

Wklej pełny log z HijackThis na http://wklej.org/.

Pozbyłbym się

C:\Program Files\Bonjour\mDNSResponder.exe
C:\1fha091ntga90f012nt19sart199\update.exe
C:\Documents and Settings\User\Menu Start\Programy\Autostart\lua7.exe

Do tego złapałeś infekcję (plik mservice32_t.exe), tym się zajmiemy jak wrzucisz pełen log.

http://wklej.org/id/574590/
tu masz te dalsze logi, a jak moge sie pozbyć tych 3 plików ?

[magik092]

Pozbądź się tego:

C:\Program Files\Bonjour\mDNSResponder.exe
C:\1fha091ntga90f012nt19sart199\update.exe
C:\Documents and Settings\User\Menu Start\Programy\Autostart\lua7.exe

Następnie ściągnik OTL, przeskanuj i wrzuć logi (stworzą się dwa pliczki, Extras.txt oraz OTL.txt). Logi wrzucić na wklej.org.

[kamilos102]

Użytkownik magik092 dnia 11 sierpień 2011 - 23:14 napisał

Pozbądź się tego:

C:\Program Files\Bonjour\mDNSResponder.exe
C:\1fha091ntga90f012nt19sart199\update.exe
C:\Documents and Settings\User\Menu Start\Programy\Autostart\lua7.exe

Następnie ściągnik OTL, przeskanuj i wrzuć logi (stworzą się dwa pliczki, Extras.txt oraz OTL.txt). Logi wrzucić na wklej.org.

Jeden plik mi sie pojawił OTL.txt

http://wklej.org/id/575600/txt/

[magik092]

Programik skonfigurowany tak?

Nawet nie ma tak źle

Sprawdź czy istnieje taki plik: C:\rane\kure.exe, jeśli nie to sprawdź czy takowy istnieje na jakiejś innej partycji. Jeśli go nie ma to na dole kodu (w sekcji :Files, zaraz nad wyrażeniem :Commands) po prostu zmaż tę linijkę z tym plikiem, jeśli jest na innej partycji to zmień z C na daną partycję.

Otwórz jeszcze raz OTL, wklej do pola 'własne opcje skanowania/skrypt'

:processes
killallprocesses

:OTL
PRC - [2011-05-30 15:21:28 | 000,345,088 | ---- | M] () -- D:\Documents and Settings\Administrator\Dane aplikacji\mservice32_t.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
IE - HKCU\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found
FF - prefs.js..keyword.URL: "http://search.imesh.com/web?src=ffb&systemid=1&q="
O2 - BHO: (MediaBar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} -  File not found
O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} -  File not found
O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (MediaBar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} -  File not found
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} -  File not found
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} -  File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O4 - HKLM..\Run: [Advanced System Optimizer]  File not found
O4 - HKLM..\Run: [ctfupd.exe]  File not found
O4 - HKLM..\Run: [TE_RegProtect]  File not found
O4 - HKCU..\Run: [ares]  File not found
O4 - HKCU..\Run: [EA Core]  File not found
O4 - HKCU..\Run: [PCSpeedUp]  File not found
O4 - HKCU..\RunOnce: [Update] D:\Documents and Settings\Administrator\Dane aplikacji\mservice32_t.exe ()
O8 - Extra context menu item: 使用快车3下载 - C:\Documents and Settings\User\Dane aplikacji\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: 使用快车3下载全部链接 - C:\Documents and Settings\User\Dane aplikacji\FlashGetBHO\GetAllUrl.htm ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] -  File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http - No CLSID value found
O18 - Protocol\Handler\https - No CLSID value found
O32 - AutoRun File - [2010-09-16 10:24:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2010-09-16 10:24:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2011-06-03 16:03:35 | 000,345,088 | ---- | C] () -- D:\Documents and Settings\Administrator\Dane aplikacji\mservice32_t.exe
O33 - MountPoints2\{40c4821e-dbb1-11df-a368-001a9274abbf}\Shell\AutoRun\command - "" = vcspaiu.exe
O33 - MountPoints2\{40c4821e-dbb1-11df-a368-001a9274abbf}\Shell\explore\Command - "" = vcspaiu.exe
O33 - MountPoints2\{40c4821e-dbb1-11df-a368-001a9274abbf}\Shell\open\Command - "" = vcspaiu.exe
O33 - MountPoints2\{c4d3e1c5-83c9-11e0-bb66-001a9274abbf}\Shell\AutoRun\command - "" = G:\Startme.exe
O33 - MountPoints2\{7ad086a1-33ed-11df-a771-002215be71e6}\Shell\AutoRun\command - "" = rane\\kure.exe
O33 - MountPoints2\{7ad086a1-33ed-11df-a771-002215be71e6}\Shell\explore\command - "" = rane\\\kure.exe
O33 - MountPoints2\{7ad086a1-33ed-11df-a771-002215be71e6}\Shell\open\command - "" = rane\\\kure.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt -  File not found
NetSvcs: HidServ -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
[2011-07-31 10:47:05 | 000,015,592 | ---- | C] (Dll-Files.com) -- C:\WINDOWS\System32\roboot.exe
[2011-01-05 20:06:41 | 003,056,008 | ---- | C] (Ask) -- C:\Program Files\Common Files\AskToolbarInstaller.exe
[2011-07-23 17:42:31 | 000,087,608 | ---- | C] () -- C:\Documents and Settings\User\Dane aplikacji\inst.exe
[2011-05-30 15:21:28 | 000,345,088 | ---- | M] () -- D:\Documents and Settings\Administrator\Dane aplikacji\mservice32_t.exe
[2011-06-03 16:03:35 | 000,345,088 | ---- | C] () -- D:\Documents and Settings\Administrator\Dane aplikacji\mservice32_t.exe
[2010-12-27 13:46:34 | 000,000,171 | ---- | C] () -- D:\WINDOWS\Cube7x7.ini

:Files 
AUTORUN.INF /alldrives 
C:\Documents and Settings\User\Dane aplikacji\inst.exe
C:\Program Files\Common Files\AskToolbarInstaller.exe
C:\WINDOWS\System32\roboot.exe
C:\AUTOEXEC.BAT
C:\Documents and Settings\User\Dane aplikacji\FlashGetBHO\GetUrl.htm
D:\Documents and Settings\Administrator\Dane aplikacji\mservice32_t.exe
D:\WINDOWS\Cube7x7.ini
C:\rane\kure.exe

:Commands

[clearallrestorepoints]
[createrestorepoint] 
[emptytemp]
[start explorer] 
[Reboot]

'Wykonaj skrypt' i jak zapyta o restart, potwierdź, potem wyskoczy Ci log, wklej go.

Dodatkowo pliki

D:\Program Files\Dtella@MS\dtella.exe
D:\WINDOWS\System32\NCMedia2.dll
D:\WINDOWS\System32\Dvbpws.dll

przeskanuj na http://virustotal.com.

[Demos]

Witam, przypnę się do tego teamtu, ponieważ mam ten sam problem...

Logi:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\PROGRA~1\AVG\AVG2012\avgrsx.exe
C:\Program Files\AVG\AVG2012\avgcsrvx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVG\AVG2012\avgtray.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Kalendarz XP\Kalendarz.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\AVG\AVG2012\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ralink\Common\RaRegistry.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Program Files\AVG\AVG2012\avgnsx.exe
C:\Program Files\AVG\AVG2012\avgemcx.exe
C:\WINDOWS\system32\msiexec.exe
F:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

Jest tu coś nie tak? Przeskanowałem kompa znalazło dwa trojany usunąłem zobaczymy czy znowu będzie chicał się od nowa uruchamiać. Już dziś raz wykonał "swoje zadanie" wirus.
Proszę o pomoc z tym czymś bo to troszkę denerwujące jest. Robisz coś ważnego a tu nagle jeb 60s do ponownego uruchomienia...