mikel1
(mikel-)
21 Wrzesień 2007 19:30
#1
Witam.
Jakiś czas tem miałem wirusa ctfmon.exe, poradziłem sobie z nim. Po jakimś tygodniu przestalały otwierać mi się stronki. Po wpisaniu adresu do przeglądarki na pasku stanu pokazywał się napis zakończono. Strona na ping odpowiadała i po IP i po hoście. GG tez działało. Przeskanowałem MKS online i ad aware i nic nie znalazł. Zacząłem patrzeć na procesy, był tam taki proces:
system32/inetsrv/servu.exe
Ubiłem go i wszytsko wróciło do normy, ale proces przy autostarcie znów sie odpalił. Więc wywaliłem go z autostartu i skasowałem plik. Problem zniknął … na tydzień. Teraz znów jest to samo ale tego procesu nie ma. Ubijałem wszystko po kolei np. jak ubije NOTEPAD.exe to stronki sie otwierają, proces wraca stronki chodzą dalej. Po jakimś czasie znów problem wraca, nie jest to wcale określone czasowo. Czasem mija godzina, czasem 5 minut, czasem pół dnia az problem znów wraca. Myślę że ktoś mi się włamał na kompa bo jakiś czas temu grała muzyka z głośników sama z siebie przestała jak odłączylem kabel z netu. Proszę o pomoc, załączam log z hijacka.
Złączono Posta : 21.09.2007 (Pią) 21:31
Logfile of HijackThis v1.99.1 Scan saved at 21:15:26, on 2007-09-21 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Gadu-Gadu\GG.EXE C:\Program Files\Logitech\SetPoint\KEM.exe C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Program Files\Logitech\SetPoint\KHALMNPR.EXE C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\BulletProofSoft.com \SpywareRemover\HS\HiJack.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\mikel11\Pulpit\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll O4 - HKLM…\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM…\Run: [CTHelper] CTHELPER.EXE O4 - HKLM…\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM…\Run: [Jet Detection] “C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe” O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM…\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM…\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe O4 - HKLM…\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe O4 - HKLM…\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM…\Run: [iSUSScheduler] “C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” -start O4 - HKLM…\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0\bin\jusched.exe” O4 - HKLM…\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\GG.EXE” /tray O4 - HKCU…\Run: [bPS Remover] C:\Program Files\BPS Remover\SpyRem.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\KEM.exe O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\hos500.dll (file missing) O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\hos500.dll (file missing) O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microso … 0223391453 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso … 0223336328 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: O20 - Winlogon Notify: DC2sss - DC2sss.dll (file missing) O20 - Winlogon Notify: hos500 - hos500.dll (file missing) O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe (file missing) O23 - Service: Apache Tomcat (Tomcat5) - Unknown owner - C:\Program Files\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 (file missing)
jessica
(jessica)
21 Wrzesień 2007 22:14
#2
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Ściągnij -->ComboFix (na dole tej strony z linku).
Wklej do Notatnika :
File::
C:\Program Files\BulletProofSoft.com\SpywareRemover\HS\HiJack.exe
C:\WINDOWS\WebAssist.dll
C:\WINDOWS\system32\lsasss.exe
C:\WINDOWS\system\NOTEPAD.exe
Driver::
NOTEPAD
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe ).
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –> Klik
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Log z ComboFixa wklej na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .
jessi
mikel1
(mikel-)
22 Wrzesień 2007 05:59
#3
jessica
(jessica)
22 Wrzesień 2007 06:21
#4
Nie widzę już nic podejrzanego .
Z logu ComboFixa wynika, że są to puste, bezplikowe już wpisy, więc je sfiksuj:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Z mojej strony to wszystko.
Jak sytuacja, polepszyła się ?
jessi
Agaton
(Agatonster)
22 Wrzesień 2007 06:22
#5
mikel-
Na Forum używamy polskich znaków.
Proszę poprawić pisownię zarówno w temacie, jak i w opisie problemu.
W celu edycji swojego posta proszę skorzystać z przycisku
Zignorowanie prośby będzie skutkowało usunięciem tematu do Kosza.
mikel1
(mikel-)
23 Wrzesień 2007 15:37
#6
Dzięki :> Na razie wszystko jest ok. A co to w ogóle było ?
Złączono Posta : 23.09.2007 (Nie) 19:38
Niestety nie pomogło Teraz plik, którego muszę ubić nazywa sie system.exe. Czuje się tak jakby ktoś się ze mną bawił w kotka i myszkę
mikel1
(mikel-)
24 Wrzesień 2007 15:40
#8
http://wklej.org/id/0e1f33b104
Ten system.exe tak jak w przypadku servu.exe znajduje sie w katalogu ukrytym system32/inetsrv
Złączono Posta : 24.09.2007 (Pon) 20:08
Na przykład wtedy gdy strony się nie otwierają i próbuje skorzystać z programu putty dostaje komunikat “no buffer space available”.