Komunikat "Your computer is infect

Dla specjalistów Bezpieczeństwo
#1

Proszę o sprawdzenie logów

Logfile of HijackThis v1.99.1

Scan saved at 14:34:49, on 2007-04-18

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\WINDOWS\system32\tcpipmon.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\WINDOWS\system32\tcpipmon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe

C:\Documents and Settings\Admin\Pulpit\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eu.microsoft.com/poland/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"

O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe

O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\McAgent.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [SpeedX] C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{80A06793-320A-4348-8539-21A23EEC4C3C}: NameServer = 85.255.115.238,85.255.112.216

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.238 85.255.112.216

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.238 85.255.112.216

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.238 85.255.112.216

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\W-wa\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Komputer od bracika (młodszego a to wiadomo po jakich stronach buszuje :D:D )

#2

Tego nie ma w logu. Jęsli chodzi ci o to ze wyskakują Ci chmurki i każe Ci kupić antywira to jest adware. Też to miałem, trzeba w rejestrze poszukać i usnąc nie potrzebne wpisy

#3

a mógłbyś dokładniej powiedzieć gdzie i co usunąć ??

#4

Nie wiem co dokładnie bo robiłem format. Ale poszukaj naciśnij win logo +r wpisz regedit i poszukaj tylko czegoś przez przypadek nie wywal. teraz Ci nie powiem bo mam viste i nie mam tego syfu co ty. Z tego co pamiętam trzeba było wyąłczyc procesy wywalić pliki z dysku c:\ tam gdzie system i wejśc do regeditora!!

#5

Dzięki

Ale wytłumaczyłeś mi tak że raczej tego nie zrobię:(

Poczekam może ktoś dokładniej mi podpowie

Ale dzięki za chęci

P.S.

A logi moje sprawdzałeś czy nie ??

#6

Wg mnie nic w nich złego nie ma przyczepiłbym sie tylko spybota!!

#7

Pogrubiony plik usuwasz ręcznie z dysku w trybie awaryjnym i wyłączonym przywracaniem systemu, wpisy kasujesz hijackiem

Zastosuj Smitfrudfix opcja 2

Czy to twoje DNS’y ?

#8

bodek32 pewnie że nie jego

kriskce wpisy DNSów usuń. Użyj narzędzia FixWareOut i daj log z SilentRunners, nowy z HJT i C:\Fixwareout\report.txt

#9

Napiszesz jak zrobisz, bo posty się złączą

i nikt nie zauważy odpowiedzi:

#10

zrobiłem tak jak kazaliście

oto logi i raporty

#11

wklej go w tym temacie :!:

#12

Usuń wpisy HJT.

Na link do Silenta kliknij prawym klawiszem myszki -> wybierz opcję Zapisz element docelowy jako -> wskaż miejsce gdzie chcesz zapisać skrypt (np. na pulpit) -> kliknij Zapisz -> dalej postępuj według tej instrukcji:

http://forum.dobreprogramy.pl/viewtopic … 970#459970

Po wykonaniu wklej nowy log z HijackThis i SilentRunners.

#13

log z SilentRunners.txt jest zamieszczony w ten sposób ponieważ wywalało mi że za dużo znaków i nie chciało w ogóle zapisać, albo zapisało, ale wtedy połowę ucięło i dlatego załączyłem go w ten sposób.

A co do nowych logów to sory, ale znowu wkleję jak będę u bracika

Dzięki wielkie za wyrozumiałość