http://free-viruscan.com/id/4912933/4/1/ z ta strona i zaczyna sie skanowanie :evil: daje logo do sprwdzenia
Logfile of HijackThis v1.99.1 Scan saved at 16:58:35, on 2008-07-05 Platform: Unknown Windows (WinNT 6.00.1905 SP1) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Running processes: F:\Windows\system32\Dwm.exe F:\Windows\system32\taskeng.exe F:\Program Files\Windows Defender\MSASCui.exe F:\Windows\WindowsMobile\wmdc.exe F:\Program Files\Alwil Software\Avast4\ashDisp.exe F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe F:\Windows\RtHDVCpl.exe F:\Users\lukasz\AppData\Local\Temp\atmadm2.exe F:\Program Files\Windows Sidebar\sidebar.exe F:\Windows\ehome\ehtray.exe F:\Program Files\Gadu-Gadu\gg.exe F:\Program Files\Skype\Phone\Skype.exe F:\Program Files\DAEMON Tools Lite\daemon.exe F:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE F:\Windows\ehome\ehmsas.exe F:\Windows\System32\mobsync.exe F:\Program Files\Windows Media Player\wmpnscfg.exe F:\Program Files\Windows Sidebar\sidebar.exe F:\Program Files\IncrediMail\bin\ImApp.exe F:\Program Files\Skype\Plugin Manager\skypePM.exe F:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe F:\Windows\system32\rundll32.exe F:\Windows\system32\rundll32.exe F:\Program Files\Winamp\winamp.exe F:\Windows\explorer.exe F:\Program Files\Mozilla Firefox\firefox.exe F:\Program Files\Internet Explorer\iexplore.exe E:\instalki\programy\zabezpieczajace\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AVG Safe Search - {1C1B8A44-61FE-411E-8F33-813A4E2E2984} - F:\Windows\system32\avg_ss.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - F:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O3 - Toolbar: (no name) - {20EE85B7-6C5C-4083-B703-C0E7D76AC8E3} - (no file) O4 - HKLM…\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM…\Run: [startCCC] “F:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” O4 - HKLM…\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe O4 - HKLM…\Run: [avast!] F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [!AVG Anti-Spyware] “F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” /minimized O4 - HKLM…\Run: [WinampAgent] “F:\Program Files\Winamp\winampa.exe” O4 - HKLM…\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM…\Run: [MSServer] rundll32.exe F:\Windows\system32\efcYPJyw.dll,#1 O4 - HKLM…\Run: [DelayLoad] F:\Users\lukasz\AppData\Local\Temp\atmadm2.exe O4 - HKCU…\Run: [sidebar] F:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU…\Run: [ehTray.exe] F:\Windows\ehome\ehTray.exe O4 - HKCU…\Run: [Gadu-Gadu] “F:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [skype] “F:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [incrediMail] F:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKCU…\Run: [DAEMON Tools Lite] “F:\Program Files\DAEMON Tools Lite\daemon.exe” -autorun O4 - HKCU…\Run: [MSServer] rundll32.exe F:\Users\lukasz\AppData\Local\Temp\khfEWNfc.dll,#1 O4 - HKCU…\Run: [cmds] rundll32.exe F:\Users\lukasz\AppData\Local\Temp\ssqqOeBQ.dll,c O4 - HKCU…\Run: [70e8786a] rundll32.exe “F:\Users\lukasz\AppData\Local\Temp\qtddbnhs.dll”,b O4 - Global Startup: IP Phone Center.lnk = F:\Program Files\IP Phone Center\IPCenter.exe O9 - Extra button: @F :\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - F:\Windows\WindowsMobile\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Windows\WindowsMobile\INetRepl.dll O9 - Extra ‘Tools’ menuitem: @F :\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - F:\Windows\WindowsMobile\INetRepl.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - F:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\nlaapi.dll O10 - Unknown file in Winsock LSP: f:\windows\system32\napinsp.dll O11 - Options group: [iNTERNATIONAL] International* O13 - Gopher Prefix: O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O21 - SSODL: axrfgvek - {AE4CF8AC-65BD-4F6F-A35F-67EC02253A27} - F:\Windows\axrfgvek.dll (file missing) O21 - SSODL: okmdepgb - {E9B3EF83-8D1E-4611-9E08-9E731399A0B6} - F:\Windows\okmdepgb.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - F:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - F:\Windows\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - F:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - F:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - F:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing) O23 - Service: lxce_device - Lexmark International, Inc. - F:\Windows\system32\lxcecoms.exe O23 - Service: PnkBstrA - Unknown owner - F:\Windows\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - F:\Windows\system32\PnkBstrB.exe O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing) O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing) O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)
jakimś cudem udało mi się włączyć mks vir skaner online i już 3 trojany wywalił
Usuń te wpisy w HJT
włącz HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
O3 - Toolbar: (no name) - {20EE85B7-6C5C-4083-B703-C0E7D76AC8E3} - (no file) O4 - HKLM…\Run: [MSServer] rundll32.exe F:\Windows\system32\efcYPJyw.dll,#1 O4 - HKLM…\Run: [DelayLoad] F:\Users\lukasz\AppData\Local\Temp\atmadm2.exe O4 - HKCU…\Run: [MSServer] rundll32.exe F:\Users\lukasz\AppData\Local\Temp\khfEWNfc.dll,#1 O4 - HKCU…\Run: [cmds] rundll32.exe F:\Users\lukasz\AppData\Local\Temp\ssqqOeBQ.dll,c O4 - HKCU…\Run: [70e8786a] rundll32.exe “F:\Users\lukasz\AppData\Local\Temp\qtddbnhs.dll”,b O21 - SSODL: axrfgvek - {AE4CF8AC-65BD-4F6F-A35F-67EC02253A27} - F:\Windows\axrfgvek.dll (file missing) O21 - SSODL: okmdepgb - {E9B3EF83-8D1E-4611-9E08-9E731399A0B6} - F:\Windows\okmdepgb.dll (file missing)
Pobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum
Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
huber2t
(huber2t)
5 Lipiec 2008 16:19
#3
Fix w hijackthis:
O2 - BHO: AVG Safe Search - {1C1B8A44-61FE-411E-8F33-813A4E2E2984} - F:\Windows\system32\avg_ss.dll O3 - Toolbar: (no name) - {20EE85B7-6C5C-4083-B703-C0E7D76AC8E3} - (no file) O4 - HKLM…\Run: [MSServer] rundll32.exe F:\Windows\system32\efcYPJyw.dll,#1 O4 - HKLM…\Run: [DelayLoad] F:\Users\lukasz\AppData\Local\Temp\atmadm2.exe O4 - HKCU…\Run: [MSServer] rundll32.exe F:\Users\lukasz\AppData\Local\Temp\khfEWNfc.dll,#1 O4 - HKCU…\Run: [cmds] rundll32.exe F:\Users\lukasz\AppData\Local\Temp\ssqqOeBQ.dll,c O4 - HKCU…\Run: [70e8786a] rundll32.exe “F:\Users\lukasz\AppData\Local\Temp\qtddbnhs.dll”,b O21 - SSODL: axrfgvek - {AE4CF8AC-65BD-4F6F-A35F-67EC02253A27} - F:\Windows\axrfgvek.dll (file missing) O21 - SSODL: okmdepgb - {E9B3EF83-8D1E-4611-9E08-9E731399A0B6} - F:\Windows\okmdepgb.dll (file missing)
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
F:\Users\lukasz\AppData\Local\Temp\atmadm2.exe,
F:\Windows\system32\efcYPJyw.dll
F:\Users\lukasz\AppData\Local\Temp\khfEWNfc.dll
F:\Users\lukasz\AppData\Local\Temp\qtddbnhs.dll
F:\Users\lukasz\AppData\Local\Temp\ssqqOeBQ.dll
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://wklejto.pl a w poście dajesz tylko link
http://wklejto.pl/4991 http://wklejto.pl/4992
już lepiej już ta strona się nie pokazuje
dzięki za szybka pomoc =D> =D> =D> =D>
huber2t
(huber2t)
5 Lipiec 2008 16:45
#5
Daj log z usuwania z combofix
to ten pierwszy log
jak komputer sie zrestartowal to potem taki log wyskoczyl to ten pierwszy link
huber2t
(huber2t)
5 Lipiec 2008 16:53
#7
otwórz notatnik i wklej
Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg
Uruchom ten plik, uruchom ponownie komputer
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
W dniu 05.07.2008 , o godzinie 18:53 został dopisany post przez huber2t
otwórz notatnik i wklej
Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg
Uruchom ten plik, uruchom ponownie komputer
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!