boosi
(Boosi)
6 Czerwiec 2007 13:48
#1
Witam. Kolega w pracy ma następujący problem z komputerem.
Komputer zwalnia mu, przy próbie instalacji SpyBota czy HJT “coś” zamyka okienko programu po ułamku sekundy. IE otwiera się, ale trzeba długo czekać. Wszystko działa, do momentu kiedy chce wejść na stronę z antywirusami i ściągnąć coś, wtedy IE zamyka się. Chciałem zrobić log z HJT, ale jak wspomniałem program momentalnie się zamyka. Podobnie ze skanerem online przez WWW (IE zamyka się). Zupełnie nie wiem, jak mu pomóc w tej sytuacji (pracuje zdalnie, więc nie mam fizycznego dostępu do kompa).
Czy macie jakieś pomysły? Czego szukać? Żadnych nowych podejrzanych aplikacji w katalogu C:\Windows nie ma.
Co ciekawe inne aplikacje typu: Skype, GG, Outlook działają bez problemu.
Proszę o pomoc.
adam9870
(adam9870)
6 Czerwiec 2007 15:38
#2
A czy ComboFix bądź SilentRunners działają normalnie? Jeśli to tak wykonaj w nich logi i wklej je na forum.
Sprawdź czy w przypadku korzystania z innych przeglądarek internetowych niż IE jest tak samo.
boosi
(Boosi)
7 Czerwiec 2007 08:22
#3
Udało się zrobić loga z HJT. Jak kolega pisze: Musiał szybko klikać żeby uruchomić ten program HJT, musiał też nazwę pliku zmienić bo inaczej od razu się zamykał.
Logfile of HijackThis v1.99.1
Scan saved at 22:30:20, on 2007-06-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKService.exe
C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKWCtl.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\system32\dllcache\winswd.exe
C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
D:\MEDIM\mz.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.1.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Miniclip - {4E7BD74F-2B8D-469E-89B3-BE29F5D3E32D} - C:\PROGRA~1\MINICL~1\MINICL~1.DLL (file missing)
O3 - Toolbar: Miniclip - {4E7BD74F-2B8D-469E-89B3-BE29F5D3E32D} - C:\PROGRA~1\MINICL~1\MINICL~1.DLL (file missing)
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file:///E:/RA/CdViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3391386-C5CC-415B-ABEB-CCAED46856F7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C60F44B4-9BBA-45A2-8A99-286DDE36C32D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fuchs-oil.pl
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fuchs-oil.pl
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKService.exe
O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKWCtl.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\system32\dllcache\qxchost.exe (file missing)
O23 - Service: Microsoft Performance Analysis Tool - Unknown owner - C:\WINDOWS\system32\dllcache\winswd.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Universal Printer NT Service - Unknown owner - C:\WINDOWS\system32\dllcache\upnt.exe (file missing)
adam9870
(adam9870)
7 Czerwiec 2007 08:58
#4
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT i uruchom go w trybie awaryjnym.
Usuń wpisy HJT.
Czy masz zainstalowany jeszcze Miniclip Toolbar? Jeśli nie to dwa powyżej przedstawione wpisy również usuń.
Czy masz jeszcze zainstalowanego Nortona? Jeśli nie to utwórz plik FIX.BAT o zawartości:
i uruchom go w trybie awaryjnym. Dodatkowo poczytaj o usuwaniu produktów marki Norton za pomocą narzędzia SymNRT .
Po wykonaniu wklej nowy log z HijackThis i ComboFix . Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.
boosi
(Boosi)
8 Czerwiec 2007 10:45
#5
Plik logu HJT po kilkukrotnym użyciu SpyBot - Search & Destroy.
Logfile of HijackThis v1.99.1
Scan saved at 12:37:31, on 2007-06-08
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKService.exe
C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKWCtl.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
C:\WINDOWS\system32\dllcache\seagatecom.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
c:\Program Files\HP\HP Share-to-Web\hpgs2wnf.exe
C:\Program Files\Opera\Opera.exe
D:\MEDIM\mz.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [WMI Performance Adapter Services] C:\WINDOWS\system32\test.exe
O4 - HKLM\..\RunServices: [WMI Performance Adapter Services] C:\WINDOWS\system32\test.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [WMI Performance Adapter Services] C:\WINDOWS\system32\test.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunServices: [WMI Performance Adapter Services] C:\WINDOWS\system32\test.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FC11A119-C2F7-46F4-9E32-937ABA26816E} (AMI DicomDir TreeView Control 2.1) - file:///E:/RA/CdViewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{15FC5B24-6FB2-4EEA-8143-AA1F9C5305A7}: NameServer = 83.238.255.76 213.241.79.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3391386-C5CC-415B-ABEB-CCAED46856F7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C60F44B4-9BBA-45A2-8A99-286DDE36C32D}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fuchs-oil.pl
O17 - HKLM\System\CS1\Services\Tcpip\..\{15FC5B24-6FB2-4EEA-8143-AA1F9C5305A7}: NameServer = 83.238.255.76 213.241.79.37
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fuchs-oil.pl
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVKProxy - G DATA Software AG - C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKService.exe
O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKWCtl.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Seagate Communication - Unknown owner - C:\WINDOWS\system32\dllcache\seagatecom.exe
Combo
"Mariusz" - 2007-06-08 13:14:33 Dodatek Service Pack 2 NTFS
Gutek
(Gutek)
8 Czerwiec 2007 14:34
#6
Użyj Pocket Killbox . Zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki
C:\WINDOWS\system32\27031_mssql.exe
C:\seagatecom.exe
C:\WINDOWS\system32\system32.com
C:\WINDOWS\system32\irn.exe
C:\WINDOWS\system32\google.com
C:\WINDOWS\system32\eraseme_61541.exe
C:\mbs75.exe
i naciskasz X czerwony . Program poprosi o reset kompa … czyli resetujesz.
Czyszczenie rejestru:
RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177
możesz rejestr przelecieć albo
jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509
Daj nowy log z Combo
mario99
(Mzowczak)
10 Czerwiec 2007 10:15
#7
Witam, zrobiłem jak napisaleś, użyłem regcleanera. ale to chyba nie b ył dobry pomysł. Uruchomiłem go, ale w pewnym momencie przerwałem, wystrszaylem się, ze za dużo pousuwam, no i chyba tak się stało. Mam teraz taką sytuację, że nie mogę uruchmić wielu programów, pyta mnie jakiego użyć programu ? Nawet jak próbuję wejść w ustawienia panel sterowania i dalej próbuję kliknąc w cokolwiek to nie otwiera tyko pyta jkaiego użyć programu, żeby otworzyć ? Dane na dyskach są. Czy jest jakiś spossó, żeby to naprawić, aby windows zaczął działać poprawnie ? Bardzo prosze o pomoc.
mario99
(Mzowczak)
10 Czerwiec 2007 10:47
#9
to co pojawiło się w oknie zazncazyl em wszystko i uruchomilem ten programik - pewnie coś źle zrobilem, pewnie chodziło ci o coś innego, a ja po prostu podejrzewam pouswalem z rejestrów za duzo
Gutek
(Gutek)
10 Czerwiec 2007 10:48
#10
Masz włączone przywracanie systemu? Jak tak użyj go
mario99
(Mzowczak)
10 Czerwiec 2007 10:55
#11
sprawdzałem i co ciekawe nie pokazuje żadnych punktów przywracania, czyli tak jkaby ich nie było. Programy, jeśli usunąłem to sobie doinstlowałbym, ale nie moge tego zrobić bo sam windows nie działa poprawnie. Jeszcze mam taki pomysł, bo wcześniej używałem spybota i wiem, że kliknąłem opcję kopii rejestru czy coś takiego. Gdyby to udało się odtworzyć ? Ale szukałem tego na dysku i nie mogę znaleźć ?
Gutek
(Gutek)
10 Czerwiec 2007 10:59
#12
Brakujace pliki Windows:
Wejdź w start>>>Uruchom>>>sfc /scannow
mario99
(Mzowczak)
10 Czerwiec 2007 11:16
#13
niestety, pojawia się komunikat, że system windows nie moze odnaleźć tego pliku, każe wybrać program z listy lub skorzystać z uslugi siecu web…
Złączono Posta : 10.06.2007 (Nie) 13:17
ale nabroiłem…
Gutek
(Gutek)
10 Czerwiec 2007 11:31
#14