Log kompa

lukid82 · 12 Czerwiec 2006 09:29

witam mam problem z kompem od rana avast męczy mnie komunikatami o wirusach. wykrył mi coś takiego:WIN32:trojan-gen.{other}

dodaje też swjego LOGA.

Proszę o pomoc

Logfile of HijackThis v1.99.1 Scan saved at 11:17:22, on 2006-06-12 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\Katalog tymczasowy 2 dla hijackthis-1.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKLM…\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe O4 - HKLM…\Run: [dmzfn.exe] C:\WINDOWS\System32\dmzfn.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [Aikom] C:\Program Files\Aikom\aikom.exe O4 - HKLM…\Run: [wpkontakt] C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe -autostart O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [Comodo Personal Firewall] C:\Program Files\Comodo\Comodo Personal Firewall\CPF.exe sysrestart O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause O4 - HKLM…\RunServices: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKCU…\Run: [WinMedia] C:\WINDOWS\System32\vxgame6.exe3584.exe O4 - HKCU…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Picture Package Menu.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{BD6DE87A-4E91-4835-AD1F-5DCA6CB0957B}: NameServer = 192.168.0.10,194.204.152.34 O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll (file missing) O20 - Winlogon Notify: 2014reg - C:\Documents and Settings\All Users\Dokumenty\Settings\2014.dll O20 - Winlogon Notify: 3246762198745124975reg - C:\Documents and Settings\All Users\Dokumenty\Settings\3246762198745124975.dll (file missing) O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Dokumenty\Settings\artm_new.dll O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Dokumenty\Settings\polymorph.dll O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Comodo Application Agent (CmdAgent) - Unknown owner - C:\Program Files\Comodo\Comodo Personal Firewall\cmdagent.exe (file missing)

====================================

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

Widziałeś ten komunikat Ważny komunikat dotyczący tytułowania tematów zastosuj sie do niego => inaczej temat poleci do śmietnika :evil:

Pozdrawiam kuz5

InfinityToJa · 12 Czerwiec 2006 09:40

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = F2 - REG:system.ini: UserInit=userinit.exe O4 - HKLM…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKLM…\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe O4 - HKLM…\Run: [dmzfn.exe] C:\WINDOWS\System32\dmzfn.exe O4 - HKLM…\RunServices: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKCU…\Run: [WinMedia] C:\WINDOWS\System32\vxgame6.exe3584.exe O4 - HKCU…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O20 - Winlogon Notify: 2014reg - C:\Documents and Settings\All Users\Dokumenty\Settings\2014.dll O20 - Winlogon Notify: 3246762198745124975reg - C:\Documents and Settings\All Users\Dokumenty\Settings\3246762198745124975.dll (file missing) O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Dokumenty\Settings\artm_new.dll O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Dokumenty\Settings\polymorph.dll O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)

1.Startujesz do trybu awaryjnego

2.Wyłanczasz przywracanie systemu (tylko Me/Xp)

3.Kasujesz wpisy w HijackThis

4.Kasujesz pogrubione pliki/foldery

5.Dajesz nowy log z hjt + log z Silent Runners

Monczkin · 12 Czerwiec 2006 09:41

lukid82 proszę zmienić tytuł na konkretny

http://forum.dobreprogramy.pl/viewtopic.php?t=66889

lukid82 · 12 Czerwiec 2006 10:00

InfinityToJa

nie mam pojęci co to jest :o

kompa dostałem od brata jestem laikiem w tych sprawach

adam9870 · 12 Czerwiec 2006 10:09

To opisze ja dokładniej

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw).

Pod normlanym trybem pobierz KillBox

Wyłącz przywracanie systemu

Uruchamiasz kompa w trybie awaryjnym

Uruchamiasz killboxa, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

C:\WINDOWS\System32** netfilt4.exe**

C:\WINDOWS\System32** dmzfn.exe**

C:\WINDOWS\System32** vxgame6.exe3584.exe**

C:\Documents and Settings\All Users\Dokumenty\Settings** 2014.dll**

C:\Documents and Settings\All Users\Dokumenty\Settings** 3246762198745124975.dll**

C:\Documents and Settings\All Users\Dokumenty\Settings** artm_new.dll**

C:\Documents and Settings\All Users\Dokumenty\Settings** polymorph.dll**

Klikasz X czerwony i restart kompa (restart dopiero po usunięciu ostatniego pliku).

Kasujesz ręcznie z dysku folder inet20001 który jest w *C:\WINDOWS*

Uruchamiasz HijackThis i wybierasz “Do a system scan only”. Pokaże się lista wpisów, zaznaczasz wpisy

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = F2 - REG:system.ini: UserInit=userinit.exe O4 - HKLM…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKLM…\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe O4 - HKLM…\Run: [dmzfn.exe] C:\WINDOWS\System32\dmzfn.exe O4 - HKLM…\RunServices: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKCU…\Run: [WinMedia] C:\WINDOWS\System32\vxgame6.exe3584.exe O4 - HKCU…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O20 - Winlogon Notify: 2014reg - C:\Documents and Settings\All Users\Dokumenty\Settings\2014.dll O20 - Winlogon Notify: 3246762198745124975reg - C:\Documents and Settings\All Users\Dokumenty\Settings\3246762198745124975.dll (file missing) O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Dokumenty\Settings\artm_new.dll O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Dokumenty\Settings\polymorph.dll O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)

i klikasz na “Fix checked”. Wpisy zostaną usunięte.

To by było na tyle w awaryjnym.

Pobierz program Ewido zrób update i przeskanuj.

Po wykonaniu w/w dajesz nowy log z HijackThis plus z SilentRunners.

lukid82 · 12 Czerwiec 2006 10:47

adam9870

nie moge wejść do trybu awaryjnego

jestem laikiem jakich mało

pewnie nic z tego n nie wyjdzie

Myszak · 12 Czerwiec 2006 10:55

Więc tak : na klawiaturze (u góry) masz klawisze od F1 do F12.

Po włączeniu komputera wciskasz rytmicznie jeden z klawiszy - F8 lub F5 (zaznaczyłem je na czerwono )

potem pokazuje Ci się taki czarny ekran z białym tekstem - klawiszami strzałek na klawiaturze wybierasz

Tryb awaryjny potem pozostaje tylko kliknąć Tak

Bieniol · 12 Czerwiec 2006 11:05

Możesz to zrobić tak: będąc w trybie normalnym wejdź:

Start --> uruchom --> msconfig

w zakładce BOOT.INI zaznacz /SAFEBOOT i ok.

Poprosi o restart kompa - oczywiście się zgadzasz

Pojawi się czarne i wszystko normalnie jak przy wchodzeniu w awaryjny

Jest tylko jedną ale - pojawi się wybór kont (zawsze będą conajmniej dwa konta (Twoje i Administrator) - wybierasz TWOJE i juz jesteś w awaryjnym

lukid82 · 12 Czerwiec 2006 13:04

adam9870

wszystko zrobiłem według instrukcji nie udało mi się tylko odnaleść pliku inet20001 podaje nowy log za pomoc wielkie dzięki

Logfile of HijackThis v1.99.1 Scan saved at 15:05:20, on 2006-06-12 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\ewido anti-malware\ewidoguard.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\Katalog tymczasowy 3 dla hijackthis.zip\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe O4 - HKLM…\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe O4 - HKLM…\Run: [windows] c:\temp\svchost.exe O4 - HKLM…\Run: [system] C:\WINDOWS\System32\kernels8.exe O4 - HKLM…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU…\Run: [unSpyPC] “C:\Program Files\UnSpyPC\UnSpyPC.exe” O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Key] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\28.tmp O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Comodo Application Agent (CmdAgent) - Unknown owner - C:\Program Files\Comodo\Comodo Personal Firewall\cmdagent.exe (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

Bieniol · 12 Czerwiec 2006 13:09

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku (w razie problemów z usuwaniem plików użyj narzędzia KillBox ):

Wyczyść folder TEMP (w trybie awaryjnym), czyli Start --> uruchom --> cmd i wpisujesz:

Proponuje zainstalować SP2

Wrzuć jeszcze log z Silent Runners (opis pod Hijackiem)

lukid82 · 12 Czerwiec 2006 13:36

Bieniol

teraz wszystko chodzi w żółwim tempie zaraz mnie trafi :-x

“Silent Runners.vbs”, revision 45, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “Windows update loader” = “C:\Windows\xpupdate.exe” [file not found] “UnSpyPC” = ““C:\Program Files\UnSpyPC\UnSpyPC.exe”” [file not found] “MSMSGS” = ““C:\Program Files\Messenger\msmsgs.exe” /background” [MS] “Key” = “C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\28.tmp” [file not found] “CTFMON.EXE” = “C:\WINDOWS\System32\ctfmon.exe” [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “xp_system” = “C:\WINDOWS\inet20001\winlogon.exe” [file not found] “windows” = “c:\temp\svchost.exe” [file not found] “System” = “C:\WINDOWS\System32\kernels8.exe” [file not found] “netfilt4” = “C:\WINDOWS\System32\netfilt4.exe” [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”]

InfinityToJa · 12 Czerwiec 2006 13:42

log jest ucięty, poczekaj na komunikat “Done”