Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: Znów mi sie coś w kompie zaległo
Osłomania > IT, Multimedia, Home Entertainment, Komunikacja > Systemy Operacyjne > Windows 9X / NT / W2K / XP
Phaet
09.06.08 - 20:08
Kojarzycie pewnie gre Mass Effect, która to miała być nie do złamania i przez pewien czas była a łajdaki porozrzucali w sieci zainfekowane 'łamacze' tej gry? No właśnie :/

Oto co sie dzieje:
Wszystko wolniej chodzi. Jak sie za pierwszym razem przeglądarke włączy (obojętnie jaką) to dłuugo mieli aż w końcu otowrzy strone. Po chwili w drugim oknie (używasz FF to wyskoczy okno FF, używasz IE to ci IE wyskoczy) otwiera sie reklama Traviana (travian.pl) a po jakimś czasie reklama jakiegoś oczyszczaczkomputera.pl Brat jeszcze zauważył, że gg też nie chodzi (wogóle sie nie uruchamia)
Dodatkowo nie działają takie strony jak polishtracker, google oraz osiol.net Czasem wyskoczy błąd: Jakiś c++ error, że 'buffer overrun detected' i wtedy mi wszystkie strony działają. Ciekawe, co? Dzięki temu akurat moge tu o tym napisać biggrin.gif

COŚ tworzy w katalogu z windowsem plik dll, który zawsze ma losową nazwę. Co go wywalić spod trypu awaryjnego to sie z inną nazwą odradza. Zablokować spybotem sie nie da bo wyskakują całe rzędy okienek, że zablokował czyli blokuje sie i odblokowuje. Przez msconfig też nie można bo to coś odradza sie i uruchamia wraz z kompem.
Przeskanowałem kompa czym sie dało: Spybotem, Ad-aware, nod32, mks, a nawet najnowszym vundofixem i nic. Nawet spod awaryjnego bo tam ten syf nie był uruchomiony. Chyba nie był bo w procesach go nie widać.

Jakieś pomysły? W piątek robie format jak nic nie poskutkuje.
pab
09.06.08 - 20:20
A skanowałeś HijackThis? Wklej loga.
Phaet
09.06.08 - 21:37
Ależ proszę.

KOD
Logfile of HijackThis v1.99.1
Scan saved at 22:30:53, on 2008-06-09
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
D:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [BMb71ffcd8] Rundll32.exe "C:\WINDOWS\system32\anrbkxmn.dll",s
O4 - HKLM\..\Run: [b42ccf44] rundll32.exe "C:\WINDOWS\system32\wnmvqixf.dll",b
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170537051453
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{014E191F-E212-404F-B2DD-44C887BB6E70}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{014E191F-E212-404F-B2DD-44C887BB6E70}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{014E191F-E212-404F-B2DD-44C887BB6E70}: NameServer = 192.168.1.1
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe


wnmvqixf.dll i chyba anrbkxmn.dll należą do tego syfostwa. Tego drugiego wcześniej nie było.
pab
09.06.08 - 21:53
i to chyba też Ci nie potrzebne
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab3.cab

Nie możesz tych wpisów zafixować ?
Auxiliaris
09.06.08 - 22:02
@Phaet

Bez obrazy, ale zaznaczyc musze, ze Ty ignorujesz wszystko i wszystkich, wiec zignoruj goscia w twoim komputerze i szafa gra wink.gif
Phaet
09.06.08 - 22:06
Ignoruje bo już od czwartku z tym wirusem żyje, troche przywykłem smile.gif
A ten System Requirements Lab to do tej strony gdzie sie sprawdza czy gra ci pójdzie (srtest.com). Całkiem niegroźne.
jacekff21
09.06.08 - 22:57
Sproboj SmitFraudFix i SpywareDoctor'a. Ostatnio u znajomych pozbywałem sie tego oczyszczacza komputera o ktorym pisales i udalo sie ktoryms z tych narzedzi.
rebel
10.06.08 - 23:02
heh widze ze jakas plaga nadeszla mi tez namieszalo od wczoraj sleczalem i tluklem robactwo biggrin.gif
pomny doswiadczen na goraco Ci powiem pierwszy krok to identyfikacja robala-zrob to albo S&D albo pogogluj wpisujac symptomy typu reklama traviana itp .Po identyfikacji bedzie mozna dokladnie ocenic jak to najszybciej i najmniej bezbolesnie wywalic-u mnie czysciutko juz i nowy antywirus na strazy zobaczymy jak temu pojdzie warta przy systemie
Phaet
11.06.08 - 07:02
CYTAT
Sproboj SmitFraudFix i SpywareDoctor'a

Ten pierwszy chyba źle działa bo ciągle pokazuje 'nie można odlaneźć ścieżki' (coś w tym rodzaju) podczas skanowania. I chyba nic nie robi.
Ten drugi COŚ znalazł i wywalił no i problem rozwiązał częściowo.

Co sie teraz dzieje:
- Przeglądarki działają normalnie i nic nie mieli jak wcześniej
- Żadne reklamy nie wyskakują
- Większość stron nadal nie działa lub funcje tych stron. Np. google działa ale nie kiedy chce coś wyszukać. osiol.net nadal nie działa tak jak wyszukiwanie na youtube. Po prostu coś wpisuje (coś w google albo jakąś strone co sie nie otwiera) i czekam, czekam, czekam i czekam i tak bez końca.
- Ten pechowy dll nadal sie odradza pod inną nazwą

CYTAT
pogogluj wpisujac symptomy

No właśnie ten sposób odpada. Przynajmniej w domu. S&D próbowałem i nic nie znalazł.

Czyli pozostał tylko problem otwierania sie niektórych stron.

Edit: Znalazłem prawdopodobne rozwiązanie TUTAJ aktualnie próbuje to zinterpretować. Jutro lub dziś wieczorem powiem czy działa (jak nie to jutro). Póki co możecie rzucać własnymi pomysłami smile.gif
PioWit
11.06.08 - 10:07
@Phaet. Mam nadzieję, iż pamietasz o wyłączeniu przywracania systemu, przed naprawami?.


Pozdrawiam
Phaet
11.06.08 - 11:45
Nie mam przywracania systemu.
bns
11.06.08 - 16:33
Pheat jest hetero więc p0rn nie ogląda ale syf złapał na kompa :D
Phaet
12.06.08 - 17:41
O kurde chyba udało sie!
ComboFix w ciągu 5 minut sie z tym rozprawił.

I co ma p0rn wspólnego z syfem??
rebel
13.06.08 - 20:53
chyba sie udalo? biggrin.gif lepiej sprawdz dokladnie mi jeszcze pozostalosci sie poukrywaly i mulily kompa lekko ale pojechalem je progsami z tego linku i wiem ze mam spoxa-komp jak nowonarodzony i do tego cos nowego sie czlowiek dowie co mu siedzi w systemie biggrin.gif polecam
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2012 Invision Power Services, Inc.