Log - bardzo prosze o sprawdzenie


(Trixon11) #1

mam problem - prosze o sprawdzenie loga - caly czas wyskakuje mi "system alert"

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 21:25:04, on 2007-04-07

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programy\Alwil Software\Avast4\aswUpdSv.exe

C:\Programy\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\Programy\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\svcchost.exe

C:\WINDOWS\System32\mysvcc.exe

C:\WINDOWS\system32\srvc.exe

C:\WINDOWS\system32\mfcee.exe

C:\WINDOWS\system32\mdmd.exe

C:\WINDOWS\FixCamera.exe

C:\WINDOWS\tsnp2std.exe

C:\WINDOWS\vsnp2std.exe

C:\WINDOWS\System32\Upydate.exe

C:\WINDOWS\system32\ssc.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\WINBOT.EXE

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\Program Files\Neostrada TP\Watch.exe

C:\Programy\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\cmd.exe

C:\Documents and Settings\Agnieszka\Pulpit\HiJackThis_v2.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CnxDslTaskBar] "c:\program files\zte corporation\zxdsl852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmppp.exe

O4 - HKLM\..\Run: [avast!] C:\Programy\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [msvcc25] svcchost.exe

O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe

O4 - HKLM\..\Run: [johnj315] C:\WINDOWS\system32\srvc.exe

O4 - HKLM\..\Run: [staeck12] C:\WINDOWS\system32\mfcee.exe

O4 - HKLM\..\Run: [melg34] C:\WINDOWS\system32\mdmd.exe

O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe

O4 - HKLM\..\Run: [tsnp2std] C:\WINDOWS\tsnp2std.exe

O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe

O4 - HKLM\..\Run: [] Upydate.exe

O4 - HKLM\..\Run: [msvccc66] svcchosst.exe

O4 - HKLM\..\Run: [Microsoft Windows Update] WINBOT.EXE

O4 - HKLM\..\Run: [sixer5] C:\WINDOWS\system32\ssc.exe

O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmppp.exe

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe

O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe

O4 - HKLM\..\RunServices: [] Upydate.exe

O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programy\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [johnj315] C:\WINDOWS\system32\srvc.exe

O4 - HKCU\..\Run: [staeck12] C:\WINDOWS\system32\mfcee.exe

O4 - HKCU\..\Run: [melg34] C:\WINDOWS\system32\mdmd.exe

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [] Upydate.exe

O4 - HKCU\..\Run: [sixer5] C:\WINDOWS\system32\ssc.exe

O4 - HKCU\..\RunOnce: [Microsoft Windows Update] WINBOT.EXE

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-21-1229272821-776561741-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-21-1229272821-776561741-839522115-1003\..\Run: [staeck12] C:\WINDOWS\system32\mfcee.exe (User '?')

O4 - HKUS\S-1-5-21-1229272821-776561741-839522115-1003\..\Run: [melg34] C:\WINDOWS\system32\mdmd.exe (User '?')

O4 - HKUS\S-1-5-21-1229272821-776561741-839522115-1003\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized (User '?')

O4 - HKUS\S-1-5-21-1229272821-776561741-839522115-1003\..\Run: [] Upydate.exe (User '?')

O4 - HKUS\S-1-5-21-1229272821-776561741-839522115-1003\..\Run: [sixer5] C:\WINDOWS\system32\ssc.exe (User '?')

O4 - HKUS\S-1-5-21-1229272821-776561741-839522115-1003\..\RunOnce: [Microsoft Windows Update] WINBOT.EXE (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\Programy\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programy\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{3B109E94-B9E1-4595-AC1E-721A4E6A84F2}: NameServer = 194.204.159.1 217.98.63.164

O17 - HKLM\System\CCS\Services\Tcpip\..\{73A65A2B-1AEE-4BC1-87CB-E1E3EE4CF115}: NameServer = 85.255.114.100,85.255.112.63

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.100 85.255.112.63

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.100 85.255.112.63

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.100 85.255.112.63

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O21 - SSODL: eitheror - {2016a466-91a2-43c6-97d8-2fd380f065ef} - C:\WINDOWS\System32\higehsg.dll

O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: eitheror - {2016a466-91a2-43c6-97d8-2fd380f065ef} - C:\WINDOWS\System32\higehsg.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programy\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programy\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programy\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)


--

End of file - 7166 bytes

jestem na świętach u cioci i prosila mnie o pomoc - więc byłbym wdzięczny za szybką pomoc - z góry dziękuje


(adam9870) #2

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Użyj narzędzia SmitFraudFix (opcja 2). Potem sprawdź co będzie z tego co wskazałem poniżej i usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Pliki usuń ręcznie z dysku natomiast wpisy w HijackThis.

Użyj narzędzia FixWareOut.

Po wykonaniu pokaż nowy log z HijackThis, zawartość pliku c:\rapport.txt i c:\fixwareout\report.txt plus log z ComboFix. Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.


(Monczkin) #3

trixon popraw tytuł ma konkretny.