Chmurka na pasku zadań i sprawdzenie loga :)

daniel10 · 29 Listopad 2006 15:18

Na prośbę kolegi wklejam loga, na pasku obok godziny wyskakuje chmurka że komputer jest zainfekowany

Logfile of HijackThis v1.99.1

Scan saved at 15:07:01, on 2006-11-29

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\devldr32.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\chomicz\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.o2.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe

O4 - HKLM\..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe

O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\testtestt.exe

O4 - HKLM\..\Run: [Nord] C:\WINDOWS\System32\nordsys.exe

O4 - HKLM\..\Run: [dmnep.exe] C:\WINDOWS\System32\dmnep.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - HKCU\..\Run: [Nord] C:\WINDOWS\System32\nordsys.exe

O4 - HKCU\..\Run: [BraveSentry] C:\Program Files\BraveSentry\BraveSentry.exe

O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe

O4 - Startup: MSWin-1134899355.exe

O4 - Global Startup: Uninstall.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{02E98C3A-1F2B-4B45-A0F5-C70489572716}: NameServer = 85.255.115.86,85.255.112.5

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.86 85.255.112.5

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.86 85.255.112.5

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.86 85.255.112.5

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

adam9870 · 29 Listopad 2006 15:22

Użyj narzędzia FixWareOut.

Użyj narzędzia SmitFraudFix z opcji numer 2 w trybie awaryjnym z wyłączonym przywracaniem systemu.

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

O4 - HKLM…\Run: [system] C:\WINDOWS\System32\testtestt.exe O4 - HKLM…\Run: [Nord] C:\WINDOWS\System32\nordsys.exe O4 - HKLM…\Run: [dmnep.exe] C:\WINDOWS\System32\dmnep.exe O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU…\Run: [Nord] C:\WINDOWS\System32\nordsys.exe O4 - HKCU…\Run: [braveSentry] C:\Program Files\BraveSentry\BraveSentry.exe O4 - HKCU…\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe O4 - Startup: MSWin-1134899355.exe O4 - Global Startup: Uninstall.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.86 85.255.112.5 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.86 85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.86 85.255.112.5

Pliki i foldery zaznaczone usuwasz ręcznie z dysku natomiast wpisy w HijackThis.

Po wykonaniu pokaż nowy log z hjt, SilentRunners, c:\rapport.txt oraz raport z fixwareout.