Po usunięciu wirusów i trojanów wyskakują okienka w IE

piwcior · 10 Wrzesień 2007 14:54

Ponieważ komputer mojego męża strasznie mulił i strony się długo wczytywały postanowił przeskanować go mksvirem, program znalazł wirusy, trojany i inne robaki, które zostały usunięte, ale od tej pory wyskakują denerwujące okienka z reklamami. Mksvir został wywalony, a zainstalowany został avast, który też znalazł jakieś robaki, ale problem nie zniknął. Znalazłam program HijackThis i bardzo Was proszę, przeglądnijcie loga. Z góry dziękuję i serdecznie pozdrawiam wszystkich forumowiczów.

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:17:18, on 2007-09-10 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\PROGRA~1\LAUNCH~1\LManager.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe C:\Acer\Empowering Technology\admtray.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\igfxext.exe C:\DOCUME~1\Marcinek\LOCALS~1\Temp\RtkBtMnt.exe C:\Acer\Empowering Technology\admServ.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Program Files\NetLimiter 2 Monitor\nlsvc.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\dllhost.exe C:\Program Files\NetLimiter 2 Monitor\NLClient.exe C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\khfdbcb.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {E9D1DB7F-FCD0-43B5-8D2C-73629E6D207D} - C:\WINDOWS\system32\pmkjj.dll (file missing) O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll O4 - HKLM…\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM…\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM…\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM…\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM…\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [skyTel] SkyTel.EXE O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM…\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM…\Run: [iNPROCOMMWireless] C:\Program Files\Atheros\Wireless\Utility\WlanUtil.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM…\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot O4 - HKLM…\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe O4 - HKLM…\Run: [ADMTray.exe] “C:\Acer\Empowering Technology\admtray.exe” O4 - HKLM…\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM…\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 “EPSON Stylus Photo R220 Series” /O6 “USB001” /M “Stylus Photo R220” O4 - HKLM…\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM…\Run: [Pinnacle WebUpdater] “C:\Program Files\Pinnacle\Shared Files\Programs\WebUpdater\WebUpdater.exe” -s -f=UpdateVersion.xml -url=http://cdn.pinnaclesys.com/SupportFiles O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {8FA2192F-B95D-40E3-898F-8D7ABB8E00D0} (SpinTop Games Launcher) - http://games.bigfishgames.com/en_myster … uncher.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: khfdbcb - khfdbcb.dll (file missing) O20 - Winlogon Notify: pmkjj - C:\WINDOWS\system32\pmkjj.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Monitor\nlsvc.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program files\pinnacle\shared files\programs\mediaserver\pmshost.exe – End of file - 7145 bytes

jessica · 10 Wrzesień 2007 15:06

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Widać ślady infekcji “VUNDO”.

Żeby zobaczyć, czy wszystko zostało usunięte, potrzebny jest log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi

Agaton · 10 Wrzesień 2007 15:32

piwcior

Witaj na Forum

Zapoznaj się z tematem

Ważny komunikat dotyczący tytułowania tematów

i popraw tytuł na konkretny, mówiący o problemie.

Na Forum używamy polskich znaków.

Proszę poprawić pisownię zarówno w temacie, jak i w opisie problemu.

W celu dokonania w/w korekty proszę skorzystać z przycisku

Zignorowanie prośby będzie skutkowało usunięciem tematu do Kosza.

piwcior · 10 Wrzesień 2007 16:02

Wielkie dzięki jessica za pomoc, nie udało się sfiksować wpisu pierwszego i trzeciego

Wklejam link do loga z ComboFixa po usunięciu pozostałych wpisów: http://wklej.org/id/295a626e78

P.S. Przepraszam za nieużywanie polskich znaków, ale będąc na “obczyźnie” i używając klawiatury bez polskich znaków, już się powoli odzwyczaiłam.

jessica · 10 Wrzesień 2007 16:31

Piszesz, że nie udało się sfiksować dwóch wpisów, ale z logu ComboFixa wynika, że się jednak sfiksowały.

Natomiast tego wpisu nie było widać w logu Hijacka, a powinien być, jako “O4”.

Nie wiem, co to jest, ale wygląda bardzo podejrzanie, bo w takiej lokalizacji nie powinno być pliku *.exe.

Sprawdź go na http://virusscan.jotti.org/

Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552

albo na http://www.virustotal.com/en/indexf.html

(korzysta się podobnie jak z JOTTI).

Zobacz też, co jest, oprócz tego pliku, w tym folderze: c:\documents and settings\all users\ documents.

Ja dołączam je do usuwania, ale jeśli okaże się, że są “OK”, to pomiń je przy usuwaniu.

Jeśli nie masz jakiegoś narzędzia usuwającego, to ściągnij OTMoveIt

Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:

Następnie wciśnij przycisk MoveIt!

Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes.

Po restarcie usuń ręcznie folder C:** _OTMoveIt** (Prawoklik >>> Usuń >>> Opróżnij Kosz).

Potem użyj jeszcze SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

I daj nowy log z ComboFixa.

jessi

piwcior · 10 Wrzesień 2007 19:21

Właściwie to nie tyle, że się nie udało (źle się wyraziłam), tylko ich nie było, więc nie można ich było usunąć.

Nie znalazłam takiego folderu, nie ma też tego pliku w żadnym innym katalogu na dysku c, ale i tak na wszelki wypadek dałam do usunięcia programem OTMoveIt.

Użyłam również programu SDFix, raport:

http://wklej.org/id/8286a6f877

Nie wiem czemu, ale na dole tego raportu, poza ostatnim wpisem są same gry.

Log z ComboFixa:

http://wklej.org/id/e740dc08bb

Jeszcze raz bardzo dziękuję za pomoc, bo te wyskakujące reklamy są bardzo denerwujące. Niestety zaczęły się też pojawiać na moim komputerze, grrrr…, pomimo, że przetestowałam go avastem i nie wykrył żadnych wirusów.

jessica · 10 Wrzesień 2007 19:46

SDFix niczego nie wykrył.

Także w logu ComboFixa nie widać już nic podejrzanego.

Jednym słowem: nie widzę niczego, co by powodowało ściąganie reklam, itp.

Pozostało jeszcze uprzątnąć rejestr:

Czy chociaż trochę poprawiła się sytuacja z tymi niechcianymi reklamami?

jessi

piwcior · 10 Wrzesień 2007 20:00

Tak, po zastosowaniu tych dwóch ostatnich programów jak na razie już się nie pokazują. Naprawdę wielkie dzięki.

Pozdrawiam serdecznie

piwcior

Złączono Posta : 11.09.2007 (Wto) 14:32

Już myślałam, że problem z głowy, ale niestety dziś się znowu pojawiły. Najpierw wyskakuje okienko z informacją:

a później reklamy.

Czasem reklamy bez tej informacji.

Jeśli jest jeszcze jakaś inna możliwość, żeby się pozbyć tego to bardzo proszę o poradę.

jessica · 12 Wrzesień 2007 09:27

Daj komplet nowych logów, jeśli to powróciło.

jessi