system
13 Marzec 2008 19:12
#1
Witam
Jak w temacie… Bardzo muli komp… dodatkowo dostawca internetu prawdopodobnie zablokowal internet w zwiazku z jakimis wirusami… antywirus nic nie znalazl… Bardzo prosze o sprawdzenie loga HijackThis
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:11:25, on 2008-03-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\Explorer.EXE C:\Program Files\D-Tools\daemon.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Common Files\Onet.pl\AutoUpdate.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O1 - Hosts: 82.146.60.44 postbank.de O1 - Hosts: 82.146.60.44 http://www.postbank.de O1 - Hosts: 82.146.60.44 banking.postbank.de O1 - Hosts: 82.146.60.44 direkt.postbank.de O1 - Hosts: 82.146.60.44 http://www.smile.co.uk O1 - Hosts: 82.146.60.44 smile.co.uk O1 - Hosts: 82.146.60.44 cahoot.com O1 - Hosts: 82.146.60.44 http://www.cahoot.com O1 - Hosts: 82.146.60.44 http://www.cahoot.co.uk O1 - Hosts: 82.146.60.44 cahoot.co.uk O1 - Hosts: 82.146.60.44 http://www.co-operativebank.co.uk O1 - Hosts: 82.146.60.44 co-operativebank.co.uk O1 - Hosts: 82.146.60.44 http://www.co-operativebank.com O1 - Hosts: 82.146.60.44 co-operativebank.com O1 - Hosts: 82.146.60.44 personal.barclays.co.uk O1 - Hosts: 82.146.60.44 barclays.co.uk O1 - Hosts: 82.146.60.44 ibank.barclays.co.uk O1 - Hosts: 82.146.60.44 http://www.barclays.co.uk O1 - Hosts: 82.146.60.44 barclays.touchclarity.com O1 - Hosts: 82.146.60.44 hsbc.co.uk O1 - Hosts: 82.146.60.44 http://www.hsbc.co.uk O1 - Hosts: 82.146.60.44 hsbc.touchclarity.com O1 - Hosts: 82.146.60.44 www1.member-hsbc-group.com O1 - Hosts: 82.146.60.44 lloydstsb.co.uk O1 - Hosts: 82.146.60.44 http://www.lloydstsb.co.uk O1 - Hosts: 82.146.60.44 lloydstsb.com O1 - Hosts: 82.146.60.44 http://www.lloydstsb.com O1 - Hosts: 82.146.60.44 mi.lloydstsb.com O1 - Hosts: 82.146.60.44 http://www.woolwich.co.uk O1 - Hosts: 82.146.60.44 woolwich.co.uk O1 - Hosts: 82.146.60.44 http://www.deutsche-bank.de O1 - Hosts: 82.146.60.44 deutsche-bank.de O1 - Hosts: 82.146.60.44 meine.deutsche-bank.de O1 - Hosts: 82.146.60.44 http://www.anbusiness.com O1 - Hosts: 82.146.60.44 anbusiness.com O1 - Hosts: 82.146.60.44 http://www.abbeyinternational.com O1 - Hosts: 82.146.60.44 http://www.barclays.com O1 - Hosts: 82.146.60.44 barclays.com O1 - Hosts: 82.146.60.44 ibank.internationalbanking.barclays.com O1 - Hosts: 82.146.60.44 offshore.hsbc.com O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [C-Media Mixer] C:\Program Files\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM…\Run: [Onet.pl AutoUpdate] C:\Program Files\Common Files\Onet.pl\AutoUpdate.exe /tsr O4 - HKLM…\Run: [Microsoft Network Services Controller] C:\WINDOWS\system32\mmsvc32.exe O4 - HKLM…\Run: [spools Service Controller] C:\WINDOWS\system32\spools.exe O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [NBJ] “C:\Program Files\Ahead\Nero BackItUp\NBJ.exe” O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe – End of file - 5074 bytes
addmir
13 Marzec 2008 19:37
#2
FIX:
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\mmsvc32.exe
C:\WINDOWS\system32\spools.exe
Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie plik C: * * Qoobox**
system
13 Marzec 2008 20:01
#3
Dziekuje za szybka odpowiedz…
ale jest problem… przepraszam za swoje pytanie wynikajace z tego, ze jestem laikiem, ale po probie naprawienia wskazanych linijek pojawil sie taki komunikat:
Czy to normalne ?
Przy próbie klikniecia TAK komp. chce łączyć z internetem.
addmir
13 Marzec 2008 20:13
#4
Nie
Otwórz HijackThis => Open the misc Tools section => Open hosts file manager =>
Zaznacz wszystkie wpisy oprócz 127.0.0.1 localhost => fix
Potem skasuj normalnie te dwa wpisy:
oraz zrób
Pobierz ComboFix, ale nie uruchamiaj Wklej do notatnika: File:: C:\WINDOWS\system32\mmsvc32.exe C:\WINDOWS\system32\spools.exe Plik -> zapisz jako -> CFScript.txt Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu -> Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis. Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie plik C: \Qoobox
system
13 Marzec 2008 20:33
#5
… a więc
skasowalem wszystko ( nie bylo 127.0.0.1 lockalhost)
Na tomiast co do Combofixa wyglada to tak… po przeciagnieciu pliku na jego ikone pojawia sie cos takiego :(((
a to log z HJT w tym momencie:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:25:41, on 2008-03-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Common Files\Onet.pl\AutoUpdate.exe C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [C-Media Mixer] C:\Program Files\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar O4 - HKLM…\Run: [Onet.pl AutoUpdate] C:\Program Files\Common Files\Onet.pl\AutoUpdate.exe /tsr O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [NBJ] “C:\Program Files\Ahead\Nero BackItUp\NBJ.exe” O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe – End of file - 3011 bytes
Leon1
13 Marzec 2008 20:57
#6
addmir
13 Marzec 2008 20:59
#7
Coś widzę, że Combo dzisiaj wariuje…
Poczytaj dokładnie: http://www.searchengines.pl/index.php?s … ntry395642
Jeśli nie pomoże, to:
Pobierz Avenger
Zaznacz Input Script Manually => naciśnij lupkę => wklej to:
=> teraz naciskasz “zielone światełko”
i pokaż z niego raport
Użyj SDFix
Instrukcja SDFix 1) Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix) 2) Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa) 3) Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat 4) Wciśnij Y nastąpi proces usuwania. 5) Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. 6) Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. 7) Pokaż Report.txt znajdujący się w folderze SDFix.
EDIT:
Jak pisałem, to nie widziałem wypowiedzi Leon$
Gutek
13 Marzec 2008 21:45
#8
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350
Zastosuj się do tego Tematu
Pozdrawiam Gutek2222
system
14 Marzec 2008 18:59
#9
Witam
Dziś udało sie odpalić ComboFixa, zrobiłem wszystko wg wskazówek
a o to logi:
ComboFix
http://www.wklej.org/id/741b6d0de6
oraz aktualny log z HJT:
http://www.wklej.org/id/8b8075f0d1
Problem jest jeszcze inny…
Leon1
14 Marzec 2008 19:42
#10
Otwórz notatnik i wklej
zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
http://img.wklej.org/images/88953CFScri … iemoes.gif
Powinno rozpocząć się usuwanie
Potem log z usuwania Combofix
system
14 Marzec 2008 20:48
#11
Leon1
14 Marzec 2008 20:53
#12
Log wygląda na czysty
jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox
usuń instalkę Combofix z dysku.
system
14 Marzec 2008 20:58
#13
Jak na razie wyglada na to ze jest OK
w menadżerze urzadzeń proces iexplore.exe pobiera 100% użycia procesora…