Forum: Combofix log, prośba o pomoc.

Combofix log, prośba o pomoc.

Witam.
Ni z stąd ni zowąd komputer zaczął mi się strasznie mulić. Po zwykłym chodzeniu po stronach. Włącza się dobre 6-7 minut. Każdy włączony nowy proces zajmuje niemalże cały procesor. Jeszcze nie zidentyfikowałem problemu. Prosiłbym o pomoc w przeanalizowaniu loga z Combofixa, oto on:

ComboFix 11-06-05.06 - Administrator 2011-06-06 14:48:08.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.1023.547 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe
AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* ‹E5E70D32-0101-4F12-8FB0-D96ACA4F34C0›
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Menu Start\Programy\Registry Victor
c:\documents and settings\All Users\Menu Start\Programy\Registry Victor\Deinstalacja programu Registry Victor.lnk
c:\documents and settings\All Users\Menu Start\Programy\Registry Victor\Registry Victor on the Web.url
c:\documents and settings\All Users\Menu Start\Programy\Registry Victor\Registry Victor.lnk
.
.
((((((((((((((((((((((((( Pliki utworzone od 2011-05-06 do 2011-06-06 )))))))))))))))))))))))))))))))
.
.
2011-06-05 21:08 . 2011-06-05 21:10 -------- d-----w- c:\program files\Disk Checker
2011-06-05 21:07 . 2011-06-05 21:07 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\BinarySense
2011-05-15 19:16 . 2011-05-15 19:16 781272 ----a-w- c:\program files\Mozilla Firefox\mozsqlite3.dll
2011-05-15 19:16 . 2011-05-15 19:16 1874904 ----a-w- c:\program files\Mozilla Firefox\mozjs.dll
2011-05-15 19:16 . 2011-05-15 19:16 89048 ----a-w- c:\program files\Mozilla Firefox\libEGL.dll
2011-05-15 19:16 . 2011-05-15 19:16 465880 ----a-w- c:\program files\Mozilla Firefox\libGLESv2.dll
2011-05-15 19:16 . 2011-05-15 19:16 15832 ----a-w- c:\program files\Mozilla Firefox\mozalloc.dll
2011-05-15 19:16 . 2011-05-15 19:16 1892184 ----a-w- c:\program files\Mozilla Firefox\d3dx9_42.dll
2011-05-15 19:16 . 2011-05-15 19:16 142296 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-05-15 19:16 . 2011-05-15 19:16 1974616 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_42.dll
2011-05-09 21:19 . 2011-05-09 21:19 -------- d-----w- c:\program files\replays
.
.
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-15 19:16 . 2011-05-15 19:16 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="d:\program files\Gadu-Gadu\gg.exe" [2005-03-31 790528]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-09-29 61440]
"RTHDCPL"="RTHDCPL.EXE" [2010-02-08 16248320]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-02-15 417792]
"HTV Agent"="d:\program files\HTV\HTV.exe" [2007-08-14 484864]
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2010-03-21 202256]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-04-07 2145000]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
.
c:\documents and settings\Administrator\Menu Start\Programy\AutostartAdobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2010-3-8 113664]
HDDlife.lnk - c:\program files\BinarySense\HDDlife 3\HDDlifePro.exe [N/A]
Tworzenie wycink˘w ekranu i uruchamianie programu OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]
.
c:\documents and settings\All Users\Menu Start\Programy\AutostartAdobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2010-3-8 113664]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALLUpdate]
2010-03-23 23:23 1432064 ----a-w- d:\program files\ALLPlayer\ALLUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDRegion]
2010-01-28 16:48 75048 ------w- c:\program files\CyberLink\Shared files\brs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2010-04-01 09:16 357696 ----a-w- d:\program files\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
2005-03-31 09:18 790528 ----a-w- d:\program files\Gadu-Gadu\gg.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl9]
2009-07-06 13:22 87336 ------w- c:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
2010-02-08 15:00 2879488 ----a-w- c:\windows\SkyTel.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"=
"c:\\Program Files\\Garena\\Garena.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"d:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"d:\\Program Files\\uTorrent\\uTorrent.exe"=
"e:\\Quake III Arena\\quake3.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"d:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\DC++\\DCPlusPlus.exe"=
"c:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"12465:TCP"= 12465:TCP:BitComet 12465 TCP
"12465:UDP"= 12465:UDP:BitComet 12465 UDP
"3214:TCP"= 3214:TCP:Akamai NetSession Interface
"5000:UDP"= 5000:UDP:Akamai NetSession Interface
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2010-07-18 691696]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2010-04-07 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2010-04-07 95872]
R1 nltdi;nltdi;c:\windows\system32\drivers\nltdi.sys [2007-04-23 82200]
R2 ‹B154377D-700F-42cc-9474-23858FBDF4BD›;Power Control [2010/02/27 17:42];c:\program files\CyberLink\PowerDVD9\NavFilter\000.fcl [2010-01-28 18:48 87536]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [2008-04-15 14336]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2010-04-07 810120]
S2 gupdate;Usługa Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-05-17 136176]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;d:\program files\EVEREST Home Edition\kerneld.wnt [2005-08-18 7168]
S3 gupdatem;Usługa Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-05-17 136176]
S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\program files\Microsoft Fix it Center\Matsvc.exe [2010-04-10 266544]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai REG_MULTI_SZ Akamai
.
Zawartość folderu 'Zaplanowane zadania'
.
2010-08-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-17 12:52]
.
2011-06-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-17 12:52]
.
2011-06-06 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1801674531-706699826-1935655697-500.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
2011-06-01 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1801674531-706699826-1935655697-500.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-02-24 21:09]
.
2011-06-06 c:\windows\Tasks\winamp.job
- d:\program files\Winamp\winamp.exe [2008-09-12 17:21]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://vshare.toolbarhome.com/?hp=df
uInternet Connection Wizard,ShellNext = iexplore
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Pobierz wszystko za pomocą BitComet - d:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Pobierz za pomocą BitComet - d:\program files\BitComet\BitComet.exe/AddLink.htm
TCP: DhcpNameServer = 212.14.1.62 212.14.1.81
FF - ProfilePath - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\a3pvcrpn.defaultFF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://pl.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:pl:official
FF - prefs.js: keyword.URL - hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=
.
- - - - USUNIĘTO PUSTE WPISY - - - -
.
MSConfigStartUp-TomTomHOME - c:\program files\TomTom HOME 2\TomTomHOMERunner.exe
MSConfigStartUp-WinampAgent - d:\program files\Winamp\winampa.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-06-06 14:58
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
.
skanowanie ukrytych procesów ...
.
skanowanie ukrytych wpisów autostartu ...
.
skanowanie ukrytych plików ...
.
skanowanie pomyślnie ukończone
ukryte pliki: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\EverestDriver]
"ImagePath"="\??\d:\program files\EVEREST Home Edition\kerneld.wnt"
.
[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\‹B154377D-700F-42cc-9474-23858FBDF4BD›]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\NavFilter\000.fcl"
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
.
[HKEY_USERS\S-1-5-21-1801674531-706699826-1935655697-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d3,61,83,c4,03,5d,93,40,b3,81,b6,"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,d3,61,83,c4,03,5d,93,40,b3,81,b6,.
[HKEY_LOCAL_MACHINE\software\ESET\ESET Security\CurrentVersion\Info]
@Denied: (2) (LocalSystem)
"AppDataDir"="c:\\Documents and Settings\\All Users\\Dane aplikacji\\ESET\\ESET NOD32 Antivirus\\"
"DataDir"="ESET\\ESET NOD32 Antivirus\\"
"EditionName"=" "
"InstallDir"="c:\\Program Files\\ESET\\ESET NOD32 Antivirus\\"
"LanguageId"=dword:00000415
"PackageTag"=dword:6090e758
"ProductBase"=dword:00000000
"ProductCode"="‹85DCB3AA-90D3-444B-880C-C72951252E55›"
"ProductName"="ESET NOD32 Antivirus"
"ProductType"="eav"
"ProductVersion"="4.2.42.3"
"UniqueId"="0003B8C24C7A9FA6"
"ScannerBuild"=dword:00001e34
"ScannerVersionId"=dword:0000151f
"ScannerVersion"="Open window for status."
"FixId"=dword:00000007
"ei2"=hex(b):07,4e,e6,ad,79,9d,67,66
"ei1"=hex(b):00,13,8f,de,0d,1b,00,00
"ei3"=hex(b):45,e1,81,4d,00,00,00,00
"ei4"=dword:00000004
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
.
- - - - - - - > 'winlogon.exe'(820)
c:\windows\system32\Ati2evxx.dll
.
Czas ukończenia: 2011-06-06 15:04:26
ComboFix-quarantined-files.txt 2011-06-06 13:04
.
Przed: 11 734 409 216 bajtów wolnych
Po: 12 186 009 600 bajtów wolnych
.
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - E1C73308BA57D910655DAB4A56AF6CAF

P.S.
Jakieś sugestie odnośnie możliwej przyczyny? Początkowo myślałem, że to wina dysku aczkolwiek przeskanowałem go, temperatura 29 stopni także chyba wszystko w normie.

Dzieki i pozdrawiam.

up

up

nic poza tym, że wchodzisz na pornosy nie pokazałeś

Z loga z ComboFix'a za dużo nie wyczytam, jednak najprawdopodobniej jest to wina wirusów- i to bardzo dużej ich ilości. W związku z tym proponuję zastosować się do następujących kroków.

Ściągasz następujące programy: http://www.dobreprogramy.pl/HijackThis,Program,Windows,12030.html http://www.programosy.pl/program,malwarebytes-anti-malware.html http://www.dobreprogramy.pl/Trojan-Remover,Program,Windows,13140.html http://www.programosy.pl/program,hitman.html http://www.dobreprogramy.pl/Spybot-Search-Destroy,Program,Windows,12546.html

Instalujesz wszystko i to co się da- aktualizujesz. Następnie uruchamiasz komputer w trybie awaryjnym. Wchodzisz w Start-> Uruchom i wpisujesz "temp". Potwierdzasz Enter'em. Z folderu który się otworzy zaznaczasz wszystkie pliki. Usuwasz je trzymając lewy Shift i naciskając Delete. Następnie zezwalasz na pokazanie ukrytych plików i folderów, wchodzisz w Mój Komputer-> Nazwa Użytkownika-> Local Settings-> Temp (na Viście lub 7 nazwy początkowego folderu mogą się różnić). Wszystkie pliki usuwasz tym samym sposobem co wcześniej. Po tym uruchamiasz Malwarebytes i wykonujesz pełne skanowanie. Zagrożenia oczywiście usuwasz. Po tym uruchamiasz Trojan Remover i robisz to samo. Następnie Spybot Search&Destroy. Wchodzisz w zakładkę "Ochrona". Kiedy program zakończy pracę klikasz Immunize. Następnie wchodzisz w zakładkę "Sprawdzanie i Naprawa". Wykonujesz skan i usuwasz zagrożenia. Po tym wykonaj standardowy skan swoim antywirusem. Kiedy zrobisz to wszystko uruchom ponownie komputer- tym razem w trybie awaryjnym z dostępem do internetu. Uruchom Hitman Pro i wykonaj skan- wersja trial pozwala na jednorazowe pełne skanowanie i usunięcie zagrożeń. Ponownie uruchamiasz komputer, tym razem normalnie. Robisz skan Hijackthis i zapisujesz log. Wrzucasz go tutaj: http://www.hijackthis.de/ W programie usuwasz procesy oznaczone na stronie czerwonym "X".

Po tych zabiegach komputer powinien być oczyszczony ze wszelkich wirusów. Radził bym również wykonać defragmentację dysków i oczyszczenie rejestru- np. programem CCleaner.