Problem przy wyłączaniu kompa, chyba wirus


(Sabina3zk) #1

Proszę o sprawdzenie loga, bo kompletnie nie znam się na tym i robię to pierwszy raz, więc jeżeli trzeba jeszcze coś dopisać to dodam. Dopowiem może jeszcze, że podczas zamykania kompa za każdym razem wyskakuje ostrzeżenie,że jakiś tam program nie zamknął się itp i daję zakończ teraz, ale takich informacji wyskakuje 4-5 po kolei odnośnie rożnych programów i szukałam i to as pliki Windowsa. Ja nie mam pojęcia, co to znaczy i liczę na pomoc...

oto log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:12:54, on 2009-01-15

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lexmark 3300 Series\lxccmon.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\cdplug.exe

C:\WINDOWS\system32\avcenter.exe

C:\WINDOWS\system32\syrmgr.exe

C:\WINDOWS\system32\msmp3.exe

C:\WINDOWS\system32\svhost.exe

C:\WINDOWS\system32\naxmgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\lxcccoms.exe

C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe

C:\WINDOWS\system32\WISPTIS.EXE

C:\WINDOWS\system32\bndmss.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\ppp\Pulpit\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0 CE\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll

O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll

O4 - HKLM..\Run: [internat.exe] internat.exe

O4 - HKLM..\Run: [LXCCCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCCtime.dll,_RunDLLEntry@16

O4 - HKLM..\Run: [lxccmon.exe] "C:\Program Files\Lexmark 3300 Series\lxccmon.exe"

O4 - HKLM..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s

O4 - HKLM..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM..\Run: [cdplug] C:\WINDOWS\system32\cdplug.exe

O4 - HKLM..\Run: [avcenter] C:\WINDOWS\system32\avcenter.exe

O4 - HKLM..\Run: [Microsoft® System Manager] C:\WINDOWS\system32\syrmgr.exe

O4 - HKLM..\Run: [msmp3] C:\WINDOWS\system32\msmp3.exe

O4 - HKLM..\Run: [s3mgr] C:\WINDOWS\system32\svhost.exe

O4 - HKLM..\Run: [naxmgr] C:\WINDOWS\system32\naxmgr.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/share ... insctl.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/share ... cgdmgr.cab

O17 - HKLM\System\CCS\Services\Tcpip..{680AAAD9-4C34-449E-AB91-DD78D42E5E4B}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip..{680AAAD9-4C34-449E-AB91-DD78D42E5E4B}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Windows Network Data Management System Service (BNDMSS) - Unknown owner - C:\WINDOWS\system32\bndmss.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--

End of file - 6673 bytes


(Spandau) #2

Pobierz Combofix (u dołu strony w linku) przeskanuj system i daj log na forum.

Następnie przeskanuj ponownie system HijackThis i daj nowy log na forum

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka


(Sabina3zk) #3

oto link do loga z combo http://www.wklej.org/id/39615/

link do loga (nowego) z hijackthis http://www.wklej.org/id/39617/


(Spandau) #4

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Te pliki poniżej przeskanuj http://www.virustotal.com/pl/ daj raport na forum

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Sabina3zk) #5

MD5: b99673f9cf926c0a387e751ff2619e0f

First received: 2008.12.13 20:17:17 (CET)

Data: 2009.01.05 14:16:17 (CET) [>10D]

Wyniki: 31/38

Permalink: analisis/2b685f410b379d813744de5506d05fdd

a to myślę, że to raport

Plik avcente0.exe otrzymany 2009.01.05 14:14:33 (CET)

Obecny status: zakończono

Wynik: 31/38 (81.58%)

Zwięzły Zwięzły

Drukuj wyniki Drukuj wyniki

Antywirus Wersja Ostatnia aktualizacja Wynik

a-squared 4.0.0.73 2009.01.05 Trojan-Spy.Win32.Webmoner!IK

AhnLab-V3 2009.1.5.3 2009.01.05 -

AntiVir 7.9.0.45 2009.01.05 TR/Crypt.ULPM.Gen

Authentium 5.1.0.4 2009.01.04 W32/CodeCru-based!Maximus

Avast 4.8.1281.0 2009.01.04 Win32:JunkPoly

AVG 8.0.0.199 2009.01.05 Win32/PolyCrypt

BitDefender 7.2 2009.01.05 Packer.Malware.LDPinch.A

CAT-QuickHeal 10.00 2009.01.05 Win32.PWS.Ldpinch.BC.3

ClamAV 0.94.1 2009.01.05 -

Comodo 878 2009.01.05 -

DrWeb 4.44.0.09170 2009.01.05 Trojan.DownLoad.3694

eTrust-Vet 31.6.6289 2009.01.02 Win32/LdPinch.RA

Ewido 4.0 2008.12.31 -

F-Prot 4.4.4.56 2009.01.04 W32/CodeCru-based!Maximus

F-Secure 8.0.14470.0 2009.01.05 Trojan-Spy.Win32.VB.azx

Fortinet 3.117.0.0 2009.01.05 PossibleThreat

GData 19 2009.01.05 Packer.Malware.LDPinch.A

Ikarus T3.1.1.45.0 2009.01.05 Trojan-Spy.Win32.Webmoner

K7AntiVirus 7.10.576 2009.01.05 Trojan-Spy.Win32.VB.azx

Kaspersky 7.0.0.125 2009.01.05 Trojan-Spy.Win32.VB.azx

McAfee 5485 2009.01.05 PWS-LDPinch

McAfee+Artemis 5485 2009.01.05 PWS-LDPinch

Microsoft 1.4205 2009.01.05 PWS:Win32/Ldpinch.BC

NOD32 3738 2009.01.05 a variant of Win32/Kryptik.BF

Norman 5.80.02 2009.01.02 W32/VBTroj.ADAA

Panda 9.0.0.4 2009.01.04 Generic Malware

PCTools 4.4.2.0 2009.01.04 -

Prevx1 V2 2009.01.05 Malicious Software

Rising 21.11.02.00 2009.01.05 Trojan.Win32.VB.zxp

SecureWeb-Gateway 6.7.6 2009.01.05 Trojan.Crypt.ULPM.Gen

Sophos 4.37.0 2009.01.05 Mal/HckPk-A

Sunbelt 3.2.1809.2 2008.12.22 -

Symantec 10 2009.01.05 Infostealer

TheHacker 6.3.1.4.205 2009.01.05 Trojan/Spy.VB.azx

TrendMicro 8.700.0.1004 2009.01.05 -

VBA32 3.12.8.10 2009.01.04 Malware-Cryptor.Win32.Poly

ViRobot 2009.1.5.1544 2009.01.05 Spyware.VB.30392

VirusBuster 4.5.11.0 2009.01.04 Trojan.PWS.LdPinch.NKD

Dodatkowe informacje

File size: 30392 bytes

MD5...: b99673f9cf926c0a387e751ff2619e0f

SHA1..: 2237149c11748415030b1e74411694abe6b90199

SHA256: 27fb518aa7a5bda7b5fa50fb238daa898aadc697d3d32d4d0a68337271ae1110

SHA512: 79a617cfcc2bdaa698943b91c536bb57a9578922ebd9ac226693481bca575dcb

7f6bdd535958d0a4c1f03a70e85aa77fc1fd64cf6c50b120329125ca02f03d93

ssdeep: 384:soFxq6xS3/bD2nW5gvFG4ORM7fzif664wild+N/55H5rcRoYBaKuRRRRRRRR

R1pH:scxAzD/m92SOqCN/5dMoOB24jNk

PEiD..: -

TrID..: File type identification

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x410ace

timedatestamp.....: 0x493fdfd6 (Wed Dec 10 15:27:18 2008)

machinetype.......: 0x14c (I386)

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0xa000 0x4000 0x3800 7.79 72127ecda5e78f6e6e910659ca169f49

.rsrc 0xe000 0x4000 0x3ab8 6.81 d404a9aebd3be4816f7deabc9d768f5d

( 0 imports )

( 0 exports )

CWSandbox info: http://research.sunbelt-software.com/pa ... 1ff2619e0f

Prevx info: http://info.prevx.com/aboutprogramtext. ... 00E1C62EFE

i z pliku msvcrt2.dll

Antywirus Wersja Ostatnia aktualizacja Wynik

a-squared 4.0.0.73 2009.01.15 -

AhnLab-V3 2009.1.15.0 2009.01.15 -

AntiVir 7.9.0.54 2009.01.15 -

Authentium 5.1.0.4 2009.01.15 -

Avast 4.8.1281.0 2009.01.15 -

AVG 8.0.0.229 2009.01.15 -

BitDefender 7.2 2009.01.15 -

CAT-QuickHeal 10.00 2009.01.15 -

ClamAV 0.94.1 2009.01.15 -

Comodo 932 2009.01.15 -

DrWeb 4.44.0.09170 2009.01.15 -

eSafe 7.0.17.0 2009.01.15 -

eTrust-Vet 31.6.6309 2009.01.15 -

F-Prot 4.4.4.56 2009.01.15 -

F-Secure 8.0.14470.0 2009.01.15 -

Fortinet 3.117.0.0 2009.01.15 -

GData 19 2009.01.15 -

Ikarus T3.1.1.45.0 2009.01.15 -

K7AntiVirus 7.10.584 2009.01.09 -

Kaspersky 7.0.0.125 2009.01.15 -

McAfee 5496 2009.01.15 -

McAfee+Artemis 5496 2009.01.15 -

Microsoft 1.4205 2009.01.15 -

NOD32 3769 2009.01.15 -

Norman 5.93.01 2009.01.15 -

nProtect 2009.1.8.0 2009.01.15 -

Panda 9.5.1.2 2009.01.14 -

PCTools 4.4.2.0 2009.01.15 -

Prevx1 V2 2009.01.15 -

Rising 21.12.32.00 2009.01.15 -

SecureWeb-Gateway 6.7.6 2009.01.15 -

Sophos 4.37.0 2009.01.15 -

Sunbelt 3.2.1831.2 2009.01.09 -

Symantec 10 2009.01.15 -

TheHacker 6.3.1.4.220 2009.01.14 -

TrendMicro 8.700.0.1004 2009.01.15 -

ViRobot 2009.1.15.1560 2009.01.15 -

VirusBuster 4.5.11.0 2009.01.15 -

Dodatkowe informacje

File size: 102486 bytes

MD5...: 2339e0e48c5231263e9f12c8769a869f

SHA1..: a24815514b4ad93494966b9b653a6151b052b185

SHA256: abb13c752ca4156bcac12d8513bbf061ab1c2dfdb26f7431d428484890b072eb

SHA512: 0e379db0aa2ab39e5919d742bfce0ee3ce8a92c7644608c56db1c3bb908cb871

8931baafc38f4ae066254c25048458e32a506d7e1cc1c2d214c597ded9797057

ssdeep: 3072:FHlZuDhsXeT784cncWTnEmyLffXAb2e6TM6Bw+v4TuUvCGFTNm4Wi:FHlZu

DT7845WTnqXAbsL1v4V6MTNnn

PEiD..: -

TrID..: File type identification

Unknown!

PEInfo: -

za chwile dodam log z combo

-- Dodane 15.01.2009 (Cz) 19:13 --

http://www.wklej.org/id/39653/ to log z comba


(Spandau) #6

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Agatonster) #7

sabina3zk ,

Proszę zapoznać się z tematem Ważny komunikat dotyczący tytułowania tematów i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty - proszę użyć przycisku ac7a4cd89050aa6e.gif

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów w tym dziale, przeczytaj i zastosuj się do Tematu


(Sabina3zk) #8

http://www.wklej.org/id/39662/


(Spandau) #9

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum

lub Dr.WEB CureIt!


(Sabina3zk) #10

Nie zdążyłam już wczoraj odpisać, ale wszystko po kolei zrobiłam. tylko ta optymaliza cja autostartu nie wiem czy wyszła, bo na przykład:

  • O4 - HKLM..\Run:[MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

Na oknie przypominacza msconfig zaznacz "Nie pokazuj mi tego więcej...". Wpis sam zniknie i więcej się nie pokaże.

no mam takie pliki, ale nie wyskakuje mi przypominacz zaden wiec nie wiem jak to wyłączyć

  • " O4 - HKLM..\Run: [soltek] C:\WINDOWS\System32\autorun.exe

O4 - HKLM..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM..\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe

O4 - HKLM..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM..\Run: [CTAvTray] C:\Program Files\Creative\SBLive\Program\CTAvTray.EXE

O4 - HKLM..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKLM..\Run: [CloneCDElbyCDFL] "C:\Program Files\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM..\Run: [MsgCenterExe] "C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe" -osboot

O4 - HKLM..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKCU..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /

O4 - HKLM..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKCU..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet

O4 - HKCU..\Run: [MSNShell] C:\Program Files\MSNShell\BIN\MSNShell.exe autorun

O4 - HKCU..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKLM..\Run: [msnappau] "C:\Program Files\MSN Apps\Updater\01.02.3000.1001\en-xa\msnappau.exe"

O4 - HKCU..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKLM..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\PL\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=112705 serial=xxxxxxxxxx lang=PL

O4 - HKLM..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr

O4 - HKLM..\Run: [iMONTRAY] C:\Program Files\Intel\Intel® Active Monitor\imontray.exe

O4 - HKLM..\RunServices: [MOSearch] C:\PROGRA~1\COMMON~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE

O4 - HKLM..\RunServices: [MDM7] "C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"

O4 - HKLM..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe

O4 - HKLM..\Run: [Ad Muncher] C:\Program Files\Ad Muncher\AdMunch.exe /bt - nie polecamtego programu

O4 - HKLM..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe

O4 - HKLM..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM..\Run: [CTRegRun] C:\WINDOWS\CTRegRun.EXE

O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexe

O4 - HKLM..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe

O4 - HKLM..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"

O4 - Global Startup: Adobe Reader Speed Launch.lnk =C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - HKLM..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM..\Run: [Omnipage] D:\Program Files\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM..\Run: [OPSE2 Reminder] "C:\Program Files\ScanSoft\OmniPageSE2.0\EregEng\Ereg.exe" -r "C:\Program Files\ScanSoft\OmniPageSE2.0\EregEng\ereg.ini"

O4 - HKLM..\Run: [Microsoft Works Update Detection] C:\Program Files\Common Files\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe

O4 - HKLM..\Run: [buildBU] c:\dell\bldbubg.exe

O4 - HKLM..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM..\Run: [DwlClient] C:\Program Files\Common Files\Dell\EUSW\Support.exe

O4 - HKCU..\Run: [LogitechSoftwareUpdate] "C:\PROGRAM FILES\LOGITECH\VIDEO\MANIFESTENGINE.EXE" boot

O4 - HKLM..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe

O4 - HKLM..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM..\Run: [updReg] C:\WINNT\UpdReg.EXE

O4 - HKLM..\Run: [uC_Start] C:\Programme\IBM\Updater\ucstartup.exe

O4 - HKLM..\Run: [updateManager] "c:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup

O4 - HKLM..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKCU..\Run: [TaskTray] "C:\Program Files\Creative\SBAudigy\TaskBar\CTLTray.exe"

O4 - HKCU..\Run: [TaskBar] "C:\Program Files\Creative\SBAudigy\TaskBar\CTLTask.exe"

O4 - HKLM..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\PL\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=032105 serial=xxxxxx lang=PL

O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

Start -> Uruchom -> msconfig -> w zakładce Uruchamianie wyłącz te wpisy.

czy wszyscy je mają?? bo ja nie mam ani jednego z tych. mam tam wpisy odnoszące się do drukarki, modemu itp....

  • 04-HKLM..\Run:[KernelFaultCheck]%systemroot%\system32\dumprep 0 -k

O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

Uruchamiamy narzędzie Hijack This, robimy log z opcji Do a system scan only, zaznaczamy ptaszki przy tych dwóch wyżej wymienionych wpisach i naciskamy Fix Checked.

tych wpisów tez nie mam....

  • no i skanowanie. wrzucę raporty z obu poleconych programów. kaspersky został przeze mnie przerwany po tym jak ok.30 min nie ruszył w ogóle dalej. zatrzymał się na pliku win98_41.cab

ale oba wykryły coś....

Ale na koniec dobra wiadomość, bo wyłączając komputer żadne dodatkowe okienka nie wyskakiwały, za co BARDZO DZIĘKUJĘ !!

A czy programy po drodze używane, jak np Dr. Web lub CCleaner mogę tak normalnie tez stosować? tak profilaktycznie?? albo są do tego inne programy???

-- Dodane 16.01.2009 (Pt) 14:45 --

zapopmnaiłam o raportach.

Dr. WEB

6n0uiclh.exe C:\WINDOWS Trojan.DownLoader.9898 Niewyleczalny.Przeniesiony.

loadnew.exe C:\WINDOWS Trojan.DownLoader.9898 Niewyleczalny.Przeniesiony.

msvcrtdd.dll C:\WINDOWS\SYSTEM32 Trojan.MulDrop.2663 Usunięty.

Kaspersky

RAPORT KASPERSKY ONLINE SCANNER 7.0

Thursday, January 15, 2009

System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)

Wersja Kaspersky Online Scanner: 7.0.26.12

Data ostatniej aktualizacji bazy danych: Thursday, January 15, 2009 18:31:44

Liczba wpisów: 1627009

Ustawienia skanowania

Typ bazy danych użytej do skanowania rozszerzona

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

A:\

C:\

D:\

E:\

F:\

G:\

Statystyki skanowania

Przeskanowanych plików 33226

Nazwa zagrożenia 2

Zainfekowanych obiektów 3

Podejrzanych obiektów 0

Czas skanowania 02:28:17

Nazwa pliku Nazwa zagrożenia Liczba zagrożeń

C:\WINDOWS\SYSTEM32\msvcrtdd.dll Zainfekowany: Trojan-PSW.Win32.Agent.bu 1

C:\WINDOWS\6n0uiclh.exe Zainfekowany: Trojan-Downloader.Win32.Small.dmx 1

C:\WINDOWS\loadnew.exe Zainfekowany: Trojan-Downloader.Win32.Small.dmx 1

Skanowanie zostało przerwane przez użytkownika.


(Spandau) #11

W linku który podałem do optymalizacji autostartu są przykłady wpisów które można usunąć jak to zrobić Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy wpisach które chcesz usunąć i klikasz Fix checked

Usunięcie wpisu 04 nie powoduje usunięcia programu. Jeśli komputer nie zwolnił to można pominąć optymalizację autostartu

Co do raportów skanerów więc tak raport Kasperskiego pokazuje 3 wirusy ale raport DrWeb mówi że jeden został usunięty a dwa poddane kwarantannie, więc zakładam że skanowałaś DrWeb po Kasperskim, dlatego opróżnij kwarantanne DrWeb, przeskanuj dla pewności DrWeb ponownie powinno być OK

Tak możesz stosować profilaktycznie Cleanera i DrWeb


(Sabina3zk) #12

Dokładnie tak było. Pierw kaspersky, potem dr. web.

przeskanuje oczywiście jeszcze raz.

DZIĘKUJĘ ZA POMOC! !!