Quarri
18 Styczeń 2010 20:06
#1
Witam
Podaje logi z Hijackthis. Objawy takie jak napisałem w temacie, nie wiem czym jest to spowodowane, dochodzi do tego jeszcze wolne wyświetlanie stron internetowych. Nie znam się za bardzo więc nie wiem co istotnego mógł bym dopisać, jeżeli będzie czegoś brakowało, proszę o info.
Log Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:02:33, on 2010-01-18
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Dysk lokalny (D)\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Software Informer\softinfo.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
J:\Program Files\uTorrent\uTorrent.exe
D:\program files\steam\steam.exe
C:\Program Files\WLAN\WConfig\WConfig.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\Documents and Settings\All Users\Dane aplikacji\Zwangie\zwangie125.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Zwangie\zwangie.exe
C:\Documents and Settings\Administrator\Moje dokumenty\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = w3cache.promax-ck.pl:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Administrator\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [WinampAgent] "D:\Dysk lokalny (D)\Winamp\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu 10] "j:\Program Files\Gadu-Gadu 10\gg.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Software Informer] "C:\Program Files\Software Informer\softinfo.exe" -autorun
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [uTorrent] "J:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [Steam] "d:\program files\steam\steam.exe" -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: WConfig.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Zwangie Service - Unknown owner - C:\Documents and Settings\All Users\Dane aplikacji\Zwangie\zwangie125.exe
--
End of file - 4311 bytes
Z góry dzięki za pomoc
deFco247
18 Styczeń 2010 20:10
#2
Zawartość logów wklejasz na wklej.org wklej.to nopaste.pl
Pokaż logi z narzędzi:
OTL
Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :
Klikasz Run Scan .
System Repair Engineer
Quarri
18 Styczeń 2010 20:20
#3
Własnie przeskanowałem komputer i było parę błędów ale jakoś się udało przeskanował
Link do skanu z OTL: http://www.nopaste.pl/kyp
deFco247
18 Styczeń 2010 20:29
#4
Przez nieaktualizowany system masz Confickera.
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE :OTL PRC - [2010-01-14 21:50:56 | 00,058,720 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\Zwangie\zwangie125.exe PRC - [2010-01-14 21:50:56 | 00,058,720 | ---- | M] () – C:\Program Files\Zwangie\zwangie.exe MOD - [2010-01-14 21:50:40 | 00,598,016 | ---- | M] () – C:\Program Files\Zwangie\zwangie.dll NetSvcs: rebdek - C:\WINDOWS\system32\lgkva.dll () [2010-01-11 20:19:25 | 00,000,000 | —D | C] – C:\Program Files\Zwangie [2010-01-11 20:19:25 | 00,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\Zwangie :Services rebdek :Files C:\WINDOWS\system32\lgkva.dll :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
Doklej zaległy log System Repair Engineer + log GMER
Przed uruchomieniem powyższych narzędzi odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst Uninstall (jeśli będzie zszarzałe, to OK).
Quarri
18 Styczeń 2010 20:42
#5
Log z OTL: http://www.nopaste.pl/kyt
Podczas skanowanie GMER wyskoczył błąd :http://i49.tinypic.com/2yo25hf.jpg
Niestety nie moge uruchomić System Repair Engineer pisze że już wykorzystałem wersję Trail i nie wchodzi
Daemona odintalowałem
Nie wiem o co chodzi z tym SPTD
Czy mógłbyś mi wytłumaczyć?
Po zrobieniu ssa z błędem GMER przeglądarka “G-Chrome” Zawiesiła się. Kiedy zamknąłem ją “Menadżer Zadań Windows” nic się nie dało zrobić jedynie co to reagował pasek start. Kiedy chciałem włączyć przeglądarkę. Komputer się zawiesił i się zrestartował.
deFco247
18 Styczeń 2010 20:49
#6
Tak jest niestety również u mnie w przypadku GMER-a, lecz nie wywala on błędu.
Pobierasz SPTDInst i wybierasz opcję Uninstall, jeśli będzie aktywna.
Wykonałeś w ogóle mój skrypt do OTL-a?
No i nie pisz mi co chwila na PW.
Quarri
18 Styczeń 2010 20:51
#7
Zrobiłem ten twój skrypt w OTL ale mogę go zrobić jeszcze raz
@EDIT :
Zrobiłem te SPTD zaraz zrebootuje system.
Skan z OTL: http://wklej.to/5TQZ
deFco247
18 Styczeń 2010 21:02
#8
Nie wiadomo dlaczego nic kompletnie się nie usuwa.
W OTL kliknij CleanUp i pobierz go na nowo.
Zastosuj taki skrypt:
:OTL PRC - [2010-01-14 21:50:56 | 00,058,720 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\Zwangie\zwangie125.exe PRC - [2010-01-14 21:50:56 | 00,058,720 | ---- | M] () – C:\Program Files\Zwangie\zwangie.exe MOD - [2010-01-14 21:50:40 | 00,598,016 | ---- | M] () – C:\Program Files\Zwangie\zwangie.dll NetSvcs: rebdek - C:\WINDOWS\system32\lgkva.dll () [2010-01-11 20:19:25 | 00,000,000 | —D | C] – C:\Program Files\Zwangie [2010-01-11 20:19:25 | 00,000,000 | —D | C] – C:\Documents and Settings\All Users\Dane aplikacji\Zwangie :Services rebdek :Files C:\WINDOWS\system32\lgkva.dll :Commands [emptytemp] [Reboot]
No i pokazuje też log z usuwania OTL .
Quarri
18 Styczeń 2010 21:17
#9
Quarri
18 Styczeń 2010 21:21
#11
Nie rozumiem twojego postu. A jeśli chodzi o ten log z OTL co klikałem Clean UP to go nie mam. Mam jakoś na nowo to zrobić?
@EDIT :
Próbowałem usunąć tego Conficker’a tym : http://www.chip.pl/news/bezpieczenstwo/antywirusy-antispyware-i-firewalle/2009/02/darmowe-narzedzie-do-usuwania-confickera-od-eset-a i nie wiem czy to coś dało . Po restarcie zrobiłem Scan i wziąłem wszystko na all.
Log z OTL : http://wklej.to/AJkI
Dołączył się do tego jakiś pliczek Extras.txt ale też to dam: http://wklej.to/SzXb
deFco247
19 Styczeń 2010 18:18
#12
Nie przestawiaj w OTL-u wszystkiego na All, bo to tylko utrudnia sprawdzenie logu.
Wszystko ma być w nim ustawione jak na obrazku: http://helpc.eu/download/file.php?id=189
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL PRC - [2010-01-14 21:50:56 | 00,058,720 | ---- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\Zwangie\zwangie125.exe PRC - [2010-01-14 21:50:56 | 00,058,720 | ---- | M] () – C:\Program Files\Zwangie\zwangie.exe MOD - [2010-01-14 21:50:40 | 00,598,016 | ---- | M] () – C:\Program Files\Zwangie\zwangie.dll SRV - [2010-01-14 21:50:56 | 00,058,720 | ---- | M] () [Auto | Running] – C:\Documents and Settings\All Users\Dane aplikacji\Zwangie\zwangie125.exe – (Zwangie Service) :Files C:\Program Files\Zwangie C:\Documents and Settings\All Users\Dane aplikacji\Zwangie C:\32788R22FWJFW :Commands [emptytemp] [Reboot]
Run Fix . Restart.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
Quarri
19 Styczeń 2010 19:22
#13
deFco247
19 Styczeń 2010 19:27
#14
Pokaż nowy log robiony opcją Run Scan.
Quarri
19 Styczeń 2010 19:28
#15
Bez żadnego skryptu?
@EDIT :
Log z OTL: http://wklej.to/S2K5
Extras: http://wklej.to/m7ie
deFco247
19 Styczeń 2010 19:32
#16
Zamiast edytować wcześniejszy post wystarczyło napisać nowy, wtedy przynajmniej temat zostałby odświeżony…
Niestety Conficker powrócił.
Wykonaj nowy log OTL, tylko przed kliknięciem Run Scan wklej w niego ten tekst:
Gdyż tak go nie widać w całości.
Quarri
20 Styczeń 2010 17:42
#17
deFco247
20 Styczeń 2010 18:17
#18
Tutaj musisz działać szybko, bo Confikcer może się szybko odrodzić.
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE :OTL SRV - [2004-08-04 00:44:02 | 00,167,403 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\lgkva.dll – (bqtwmjxag) NetSvcs: bqtwmjxag - C:\WINDOWS\system32\lgkva.dll () [2001-10-26 17:49:02 | 00,167,403 | RHS- | C] () – C:\WINDOWS\System32\lgkva.dll [2001-10-26 17:49:02 | 00,167,403 | ---- | C] () – C:\WINDOWS\System32\lgkva.dll.vir :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “8792:TCP”=- :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
Tuż po zastosowaniu skryptu wykonaj to:
Otwórz Notatnik i wklej do niego:
Plik zapisz jako typ wszystkie pliki pod nazwą plik.bat -> uruchom powstały plik.
Następnie zastosuj się do instrukcji: http://www.bezpieczenstwosystemow.pl/in … pic=4809.0
Quarri
20 Styczeń 2010 18:35
#19
deFco247
20 Styczeń 2010 18:47
#20
No więc zrób to co podano w linku, który podałem we wcześniejszym poście.
Wykonaj pełny skan Dr.Web CureIt
Gdy będą wirusy, pokaż raport.
Wyczyść rejestr i dysk CCleaner zbędniki z autostartu (Narzędzia -> Autostart).
No i koniecznie zaktualizuj system do stanu Service Pack 3
http://windowsupdate.microsoft.com/ (wchodzisz przez IE)
