Jurij90
(Matimag14)
27 Październik 2007 07:57
#1
Witam ! mam taki problem, mam zainfekowany dysk, gdy włączam np Worda,Excela, czy Odkurzacz (oczywiscie taki program) czy obojetnie jaką inny programik same mi się po chwili wyłączają.Skanowałem już avastem, lecz nie poradził sobie on z wszystkimi.Czekam na waszą pomoc pozdrawiam !
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:03:46, on 2007-10-25 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\csrss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe E:\Program Files\Alwil Software\Avast4\ashServ.exe E:\WINDOWS\system32\spoolsv.exe E:\WINDOWS\System32\alg.exe E:\WINDOWS\System32\nvsvc32.exe E:\WINDOWS\System32\svchost.exe E:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe E:\Program Files\Alwil Software\Avast4\ashWebSv.exe e:\windows\explorer.exe E:\Program Files\HP\hpcoretech\hpcmpmgr.exe E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe E:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe E:\Program Files\D-Tools\daemon.exe E:\Program Files\Java\jre1.5.0_05\bin\jusched.exe E:\Program Files\QuickTime\qttask.exe E:\Program Files\Java\jre1.5.0_05\bin\jucheck.exe E:\Program Files\Picasa2\PicasaMediaDetector.exe E:\Program Files\Common Files\Real\Update_OB\realsched.exe E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe E:\WINDOWS\System32\wuauclt.exe E:\Program Files\Messenger\msmsgs.exe E:\Program Files\Skype\Phone\Skype.exe E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe E:\Program Files\Gadu-Gadu\gg.exe E:\Program Files\Trend Micro\HijackThis\HijackThis.exe E:\WINDOWS\System32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) R3 - URLSearchHook: (no name) - {D093B0C8-F492-AB1F-23B4-426097D01DE9} - EXE32EXE.dll (file missing) R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - E:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll F2 - REG:system.ini: Shell=e:\windows\explorer.exe F2 - REG:system.ini: UserInit=e:\windows\system32\userinit.exe O1 - Hosts: localhost 127.0.0.1 O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\program files\google\googletoolbar4.dll O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - E:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\program files\google\googletoolbar4.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM…\Run: [HTpatch] E:\WINDOWS\htpatch.exe O4 - HKLM…\Run: [siSUSBRG] E:\WINDOWS\SiSUSBrg.exe O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [HP Component Manager] “E:\Program Files\HP\hpcoretech\hpcmpmgr.exe” O4 - HKLM…\Run: [HPDJ Taskbar Utility] E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM…\Run: [HP Software Update] “E:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe” O4 - HKLM…\Run: [DAEMON Tools-1033] “E:\Program Files\D-Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [sunJavaUpdateSched] E:\Program Files\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM…\Run: [QuickTime Task] “E:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [uVS10 Preload] E:\Program Files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe O4 - HKLM…\Run: [Picasa Media Detector] E:\Program Files\Picasa2\PicasaMediaDetector.exe O4 - HKLM…\Run: [TkBellExe] “E:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU…\Run: [MSMSGS] “E:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [skype] “E:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [swg] E:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU…\Run: [Gadu-Gadu] “E:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] E:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O12 - Plugin for .spop: E:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 … dge-c8.cab O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - E:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O17 - HKLM\System\CCS\Services\Tcpip…{0030F1D3-EB43-4E98-AA97-C1E78DFED222}: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CCS\Services\Tcpip…{6D6432CA-ACA6-4178-B046-F0D6BE68794E}: NameServer = 85.255.114.69,85.255.112.66 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CS1\Services\Tcpip…{0030F1D3-EB43-4E98-AA97-C1E78DFED222}: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CS2\Services\Tcpip…{0030F1D3-EB43-4E98-AA97-C1E78DFED222}: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - (no file) O23 - Service: avast! Web Scanner - ALWIL Software - E:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - E:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - E:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe O23 - Service: Windows User Mode Driver Framework (UMWdf) - Ulead Systems, Inc. - (no file) O24 - Desktop Component 0: (no name) - http://www.amica-wronki.republika.pl/foto/stadion.jpg
Agaton
(Agatonster)
27 Październik 2007 08:23
#2
Jurij90
Ważny komunikat dotyczący tytułowania tematów
Zapoznaj się z powyższym tematem, przedstawiającym zasady zakładania tematów w tym dziale.
Proszę zminić tytuł na konkretny, mówiący o probleme.
Logi na Forum wklejamy - obejmując je tagami
, lub - ten log poprawiłem, przy kolejnym ignorowaniu tego zalecenia - posty będą usuwane. W celu dokonania korekty tytułu proszę użyć przycisku przy poście otwierającym ten temat. Zignorowanie prośby będzie skutkowało usunięciem tematu do Kosza. [/color]
jessica
(jessica)
27 Październik 2007 08:40
#3
A ja proponuję inną kolejność działania:
Masz ukraińską infekcję czyli Rootkit “Windows Security Center”.
Użyj -->FixWareout
Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.
–>Jak przywrócić prawidłowe DNS .
Potem:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file R3 - URLSearchHook: (no name) - {D093B0C8-F492-AB1F-23B4-426097D01DE9} - EXE32EXE.dll (file missing) R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - E:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll F2 - REG:system.ini: Shell=e:\windows\explorer.exe F2 - REG:system.ini: UserInit=e:\windows\system32\userinit.exe O1 - Hosts: localhost 127.0.0.1 O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - E:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 … dge-c8.cab O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O17 - HKLM\System\CCS\Services\Tcpip…{6D6432CA-ACA6-4178-B046-F0D6BE68794E}: NameServer = 85.255.114.69,85.255.112.66
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Ulead Systems, Inc. - (no file) – bezplikowa usługa
Potem ściągnij -->ComboFix
Wklej do Notatnika :
Driver::
UMWdf
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj tu:
raport z E:\Fixwareout Report.txt
log z Hijacka
log z ComboFixa
Log wklej na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów).
jessi