Tomqqqq
(Tomqqqq)
5 Listopad 2007 18:41
#1
Witam, mam problem, nie włączają mi się właściwości oraz panel sterowania, a co chwile wyskakuje okienko warning potential spyware operation.
Oto mój log:
Logfile of HijackThis v1.99.1 Scan saved at 19:35:58, on 2007-11-05 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\autorun.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Tomq\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\vtr.dll O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [NetLimiter] C:\Program Files\NetLimiter\NetLimiter.exe /s O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe” O4 - HKLM…\Run: [CNLO Agent] C:\WINDOWS\system32\Sys\CNLO.exe O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause O4 - HKLM…\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [AQQ] C:\PROGRA~1\Wapster\AQQ\AQQ.exe O4 - HKCU…\Run: [NBJ] “C:\Program Files\Ahead\Nero BackItUp\NBJ.exe” O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU…\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: system.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: autorun.exe O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://www.miniclip.com/games/ricochet- … Loader.cab O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{A4D4CEA7-4833-45E8-A818-E0A7E1711EAE}: NameServer = 194.204.152.34,194.204.159.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: sulimo.dat O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
Log z ComboFixa:
ComboFix 07-11-01.1** - Tomq 2007-11-05 19:57:26.1 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.95 [GMT 1:00] Running from: C:\Documents and Settings\Tomq\Pulpit\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\autorun.exe C:\Documents and Settings\Leszek\Menu Start\Programy\Autostart\system.exe C:\Documents and Settings\Tomq\Menu Start\Programy\Autostart\system.exe C:\Program Files\Microsoft Security Adviser C:\Program Files\Microsoft Security Adviser\msavsc.exe C:\Program Files\Microsoft Security Adviser\msctrl.exe C:\Program Files\Microsoft Security Adviser\msfw.exe C:\Program Files\Microsoft Security Adviser\msiemon.exe C:\Program Files\Microsoft Security Adviser\mssadv.exe C:\Program Files\Microsoft Security Adviser\msscan.exe C:\Program Files\myglobalsearch C:\Program Files\myglobalsearch\bar\History\search C:\WINDOWS\msavsc.dll C:\WINDOWS\msctrl.dll C:\WINDOWS\msfw.dll C:\WINDOWS\msiemon.dll C:\WINDOWS\mssadv.dll C:\WINDOWS\msscan.dll C:\WINDOWS\system32\printer.exe C:\WINDOWS\system32\vtr.dll C:\WINDOWS\system32\WinAvXX.exe . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_MSUPDATE -------\msupdate ((((((((((((((((((((((((( Files Created from 2007-10-05 to 2007-11-05 ))))))))))))))))))))))))))))))) . 2007-11-05 19:56 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-05 19:19 3,260 --a------ C:\WINDOWS\system32\tmp.reg 2007-11-05 19:17 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2007-11-05 19:17 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2007-11-05 19:17 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-11-05 19:17 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-11-05 19:17 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2007-11-04 19:28 12,392 --a------ C:\pqnc.exe 2007-11-04 19:27 12,392 --a------ C:\WINDOWS\system32\mssrv32.exe 2007-11-01 09:03 2007-11-01 09:01 2007-11-01 08:59 2007-11-01 08:58 2007-11-01 08:58 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys 2007-10-19 18:32 2007-10-19 18:32 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2007-10-19 18:32 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2007-10-19 18:32 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-01 19:52 --------- d-----w C:\Documents and Settings\Sonic X\Dane aplikacji\AdobeUM 2007-09-27 08:39 --------- d-----w C:\Documents and Settings\Leszek\Dane aplikacji\Zylom 2007-09-26 14:43 --------- d-----w C:\Program Files\Zylom Games 2007-09-26 14:43 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Zylom 2007-09-25 16:35 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer 2007-09-16 09:05 --------- d-----w C:\Documents and Settings\Leszek\Dane aplikacji\Skype 2006-12-09 17:09:28 80 --sh–r C:\WINDOWS\system32\E1CC7306ED.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2006-07-28 12:44] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2005-12-10 03:06] “nwiz”=“nwiz.exe” [2005-12-10 03:06 C:\WINDOWS\system32\nwiz.exe] “NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2005-12-10 03:06] “RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2004-11-02 20:24] “NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 11:50] “Openwares LiveUpdate”=“C:\Program Files\LiveUpdate\LiveUpdate.exe” [2003-12-13 19:17] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2003-12-13 02:50] “NetLimiter”=“C:\Program Files\NetLimiter\NetLimiter.exe” [2004-03-31 15:23] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe” [2006-10-12 03:10] “CNLO Agent”=“C:\WINDOWS\system32\Sys\CNLO.exe” [] “BearShare”=“C:\Program Files\BearShare\BearShare.exe” [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 22:44] “AQQ”=“C:\PROGRA~1\Wapster\AQQ\AQQ.exe” [2007-02-28 13:18] “NBJ”=“C:\Program Files\Ahead\Nero BackItUp\NBJ.exe” [2005-09-16 17:41] “Skype”=“C:\Program Files\Skype\Phone\Skype.exe” [2007-05-18 13:14] “swg”=“C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe” [] C:\Documents and Settings\Tomq\Menu Start\Programy\Autostart\ Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26] R3 SiS7012;Service for AC’97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-05 20:01:14 Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-05 20:02:21 - machine was rebooted . — E O F —
Agaton
(Agatonster)
5 Listopad 2007 20:19
#2
Tomqqqq
Ważny komunikat dotyczący tytułowania tematów
Przeczytaj wskazany temat i popraw tytuł tematu na konkretny, mówiący o problemie.
W tym celu proszę użyć przycisku
Zignorowanie prośby będzie skutkowało usunięciem tematu do Kosza.
jessica
(jessica)
5 Listopad 2007 21:03
#3
Większość szkodników już usunął ComboFix samoczynnie, ale jeszcze zostały niedobitki.
Wklej do Notatnika :
File::
C:\WINDOWS\system32\mssrv32.exe
C:\pqnc.exe
C:\WINDOWS\system32\E1CC7306ED.dll
Driver::
msupdate
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj ten log i log z Hijacka.
Te w/w wpisy sfiksuj w Hijacku (jeśli jeszcze będą):
Hijackscan(Do a system scan only)zaznacz je Fix checked .
Jeśli dalej będą kłopoty z Panelem Sterowania, Menedżerem Zadań, itp, - to dasz dodatkowo log z –Sillent Runner .
Dłuższe logi wklej na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów).
jessi