lolu1133
(lolu1133)
14 Styczeń 2010 16:19
#1
Mam problem. Przy próbie otworzenia jakiegokolwiek problemu wyskakuje mi błąd Explorer.EXE i takim właśnie sposobem nie moge wejść w żaden folder. Tutaj log z hijackthis. Pomózcie.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:17:45, on 2010-01-14 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe C:\Program Files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe C:\Program Files\ArcaBit\ArcaTools\arcabackup\ArcaBackupService.exe C:\Program Files\ArcaBit\Common\ArcaTasksService.exe C:\Program Files\ArcaBit\ArcaUpdate\update.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Documents and Settings\All Users\Dane aplikacji\QuestService\questservice115.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\ArcaBit\ArcaVir\ArcaMainSV.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\QuestService\questservice.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\VIA\RAID\raid_tool.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\ArcaBit\ArcaVir\AVMenu.exe C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe D:\Program Files\DAEMON Tools Lite\daemon.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe D:\Program Files\AutoConnect\AutoConnect.exe D:\Program Files\Opera\opera.exe C:\Documents and Settings\Karol\Pulpit\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Automated Content Enhancer - {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} - C:\Program Files\Automated Content Enhancer\4.2.0.5360\ACEIEAddOn.dll O2 - BHO: Customized Platform Advancer - {42C7C39F-3128-4a17-BDB7-91C46032B5B9} - C:\Program Files\Customized Platform Advancer\4.2.0.2050\CPAIEAddOn.dll O2 - BHO: Content Management Wizard - {B72681C0-A222-4b21-A0E2-53A5A5CA3D41} - C:\Program Files\Content Management Wizard\1.2.0.2080\CMWIE.dll O2 - BHO: Textual Content Provider - {CAC89FF9-34A9-4431-8CFE-292A47F843BC} - C:\Program Files\Textual Content Provider\1.2.0.2040\TCPIE.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: Web Search Operator - {EB4A577D-BCAD-4b1c-8AF2-9A74B8DD3431} - C:\Program Files\Web Search Operator\4.2.0.2150\wso.dll O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [AvMenu] C:\Program Files\ArcaBit\ArcaVir\AVMenu.exe O4 - HKLM…\Run: [ABRegmon] C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [Adobe ARM] “C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [DAEMON Tools Lite] “D:\Program Files\DAEMON Tools Lite\daemon.exe” -autorun O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200 O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll O9 - Extra ‘Tools’ menuitem: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll ,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: ArcaBit Main Service (ABMainSV) - ArcaBit - C:\Program Files\ArcaBit\ArcaVir\ArcaMainSV.exe O23 - Service: ArcaBit.Core.Configurator - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe O23 - Service: ArcaBit.Core.LoggingService - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe O23 - Service: ArcaBit Control (ArcaRemoteService) - Unknown owner - C:\Program Files\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe O23 - Service: ArcaBit Backup Service (AVBackup) - ArcaBit - C:\Program Files\ArcaBit\ArcaTools\arcabackup\ArcaBackupService.exe O23 - Service: ArcaBit Tasks Service (AVTasks2) - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaTasksService.exe O23 - Service: ArcaBit Update Service (AVUpdate) - ArcaBit - C:\Program Files\ArcaBit\ArcaUpdate\update.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: QuestService Service - Unknown owner - C:\Documents and Settings\All Users\Dane aplikacji\QuestService\questservice115.exe – End of file - 7769 bytes
Leon1
(Leon$)
14 Styczeń 2010 16:24
#2
jest zainfekowany komputer
Pobierz OTListIt2: http://www.searchengines.pl/index.php?s … =392369 przeskanuj daj log OTListIT.txt oraz Extras.txt.
lolu1133
(lolu1133)
14 Styczeń 2010 16:35
#3
Ok dzięki. Już się robi. Tylko będę miał chyba znów mały problem.
“Zostaną automatycznie otworzone w Notatniku dwa logi: OTL.txt oraz Extras.txt. Są zlokalizowane na dysku w tym samym katalogu, z którego uruchamiano OTL.”
Jak ja mam je Ci udostępnić skoro nie dam rady tam wejść. Przynajmniej na te chwile nie mam pomysłu ;/
edit:
Ile mniej więcej będzie mi sie ten log robił?
Leon1
(Leon$)
14 Styczeń 2010 16:38
#4
a skąd masz log HijackThis?
lolu1133
(lolu1133)
14 Styczeń 2010 16:40
#5
Na pulpicie się zapisał
edit:
Dobra, już wiem jak Ci wrzuce te logi Otwieram notatnik, biorę plik otwórz i tam moge skakać po folderach i błędy nie wyskakują.
Łap logi:
OTL.txe -> http://wklej.to/WKxK
Extras.txt -> http://wklej.to/BWGW
Z góry dziękuję za pomoc
Leon1
(Leon$)
14 Styczeń 2010 16:50
#6
lolu1133:
Na pulpicie się zapisał
skoro pobierzesz na pulpit i z niego uruchomisz to i logi powinny tam być spróbuj
lolu1133
(lolu1133)
14 Styczeń 2010 16:51
#7
Dobra. Teraz wszystko w Twoich rękach
Leon1
(Leon$)
14 Styczeń 2010 17:13
#8
OTL w oknie Custom Scans-Fixes wklej następujący skrypt:
:Processes explorer.exe :OTL SRV - [2009-12-31 21:12:18 | 00,058,744 | ---- | M] () [Disabled | Stopped] – C:\Documents and Settings\All Users\Dane aplikacji\QuestService\questservice115.exe – (QuestService Service) FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…browser.search.selectedEngine: “Ask.com ” FF - prefs.js…browser.startup.homepage: “http://www.theprizeday.com/today.php|http://www.google.pl/ ” FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.5.0.145 FF - prefs.js…extensions.enabledItems: {8141440E-08F0-4339-9959-5C31C6A69F23}:4.2.0.5360 FF - prefs.js…extensions.enabledItems: {E889F097-B0BE-471B-89AD-B86B6F04B506}:4.2.0.2050 FF - prefs.js…extensions.enabledItems: {40f1eb95-4de4-4f36-a826-054ee36bb905}:2.2.0.0 FF - prefs.js…extensions.enabledItems: {E63605FC-D583-4C81-867F-9457BDB3EA1B}:4.2.0.2150 FF - prefs.js…keyword.URL: “http://supertoolbar.ask.com/redirect?client=ff&src=kw&tb=BT3&o=14979&locale=en_US&q= ” FF - HKLM\software\mozilla\Firefox\extensions\{40f1eb95-4de4-4f36-a826-054ee36bb905}: C:\Program Files\GameRaving Toolbar\2.2.0.7580\FFToolbar [2009-12-30 16:56:29 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\extensions\{E63605FC-D583-4C81-867F-9457BDB3EA1B}: C:\Program Files\Web Search Operator\4.2.0.2150\FF [2009-12-30 16:56:47 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\extensions\{8141440E-08F0-4339-9959-5C31C6A69F23}: C:\Program Files\Automated Content Enhancer\4.2.0.5360\FF [2009-12-30 16:56:56 | 00,000,000 | —D | M] FF - HKLM\software\mozilla\Firefox\extensions\{E889F097-B0BE-471B-89AD-B86B6F04B506}: C:\Program Files\Customized Platform Advancer\4.2.0.2050\FF [2009-12-30 16:57:04 | 00,000,000 | —D | M] [2009-12-31 19:24:27 | 00,000,000 | —D | M] – C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Firefox\Profiles\v5w3bub8.default\extensions\toolbar@ask.com [2009-12-31 19:24:29 | 00,002,255 | ---- | M] () – C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Firefox\Profiles\v5w3bub8.default\searchplugins\askcom.xml O2 - BHO: (Automated Content Enhancer) - {1D74E9DD-8987-448b-B2CB-67FFF2B8A932} - C:\Program Files\Automated Content Enhancer\4.2.0.5360\ACEIEAddOn.dll () O2 - BHO: (Customized Platform Advancer) - {42C7C39F-3128-4a17-BDB7-91C46032B5B9} - C:\Program Files\Customized Platform Advancer\4.2.0.2050\CPAIEAddOn.dll () O2 - BHO: (Content Management Wizard) - {B72681C0-A222-4b21-A0E2-53A5A5CA3D41} - C:\Program Files\Content Management Wizard\1.2.0.2080\CMWIE.dll () O2 - BHO: (Textual Content Provider) - {CAC89FF9-34A9-4431-8CFE-292A47F843BC} - C:\Program Files\Textual Content Provider\1.2.0.2040\TCPIE.dll () O2 - BHO: (Web Search Operator) - {EB4A577D-BCAD-4b1c-8AF2-9A74B8DD3431} - C:\Program Files\Web Search Operator\4.2.0.2150\WSO.dll () [2009-12-27 08:22:27 | 00,001,371 | ---- | C] () – C:\Program Files\Common Files\userInit.dll [2009-12-26 18:51:24 | 00,027,958 | ---- | C] () – C:\Program Files\Common Files\logonInit.dll :Files C:\Program Files\GameRaving Toolbar C:\Program Files\Web Search Operator C:\Program Files\Automated Content Enhancer C:\Program Files\Customized Platform Advancer :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix. Zatwierdź restart komputera.
potem nowy log OTL
lolu1133
(lolu1133)
14 Styczeń 2010 17:23
#9
Po restarcie systemu, a właściwie już przy starcie wyskoczył mi tylko błąd, że nie ma OTL.exe (nie może go odnaleźć). Problem CHYBA naprawiony. Normalnie śmiagam z folderkami.
Naprawdę dziękuję Ci!
Wstawiać nadal loga?
I tak z ciekawości pytam? Kończyłeś jakies studia informatyczne? Bo szczerze mówiąc zadziwiłeś mnie swoją wiedzą albo sprytem (zależy czy sam to zrobiłeś czy poprostu znalazłeś gdzieś w necie).
Jeszcze raz DZIĘKUJĘ
Leon1
(Leon$)
14 Styczeń 2010 17:31
#10
Każdy scrypt robi się indywidualnie po analizie logów
nie,to moje hobby
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport
lub
Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html
lolu1133
(lolu1133)
14 Styczeń 2010 17:57
#11
Dzięki Zrobiłem wszystko to co mi podpowiedziałeś. Teraz robie Szybkie skanowanie za pomocą Dr.WEB CureIt . Jak jakieś wirusy będą to edytuje post i wrzuce raport.
Btw.
Powiem Ci, że masz do tego łeb. Ja teraz chodze do 1kl liceum i narazie nie wiem co chciałbym dokładnie robić ale na studia pewnie pójdę związane z informatyką. Ale po tej informatyce to w dalszym życiu będzie mi raczej ciężko - tak mi się wydaje.