Problem z explorer.exe

and2352 · 18 Sierpień 2008 19:37

witam.giną mi ikony na pulpicie i znowu się pojawiają.i tak w kółko.czy to wirus.proszę o sprawdzenie loga.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:36:09, on 2008-08-18

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTHELPER.EXE

E:\Program files\ESET\ESET Smart Security\egui.exe

C:\WINDOWS\system32\CTsvcCDA.exe

E:\Program files\ESET\ESET Smart Security\ekrn.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\Google Talk\googletalk.exe

E:\Program files\Ad Muncher\AdMunch.exe

C:\WINDOWS\system32\oodag.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\explorer.exe

E:\Program files\Mozilla Firefox\firefox.exe

E:\Program files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {20522205-39B1-4550-A91B-5525254BA85F} - C:\WINDOWS\system32\tuvWqNDV.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: (no name) - {DDDD878F-152A-4D2C-BBF8-453303F11C70} - C:\WINDOWS\system32\khfefGxy.dll

O4 - HKLM…\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM…\Run: [egui] “E:\Program files\ESET\ESET Smart Security\egui.exe” /hide /waitservice

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [googletalk] “C:\Program Files\Google\Google Talk\googletalk.exe” /autostart

O4 - HKCU…\Run: [AdMunch] E:\Program files\Ad Muncher\AdMunch.exe

O4 - HKUS\S-1-5-20…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-20…\RunOnce: [setDefaultMIDI] MIDIDEF.EXE /s:‘Creative SoundFont Synthesizer’ /w:‘SB Audigy’ (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-20…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-20…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\RunOnce: [setDefaultMIDI] MIDIDEF.EXE /s:‘Creative SoundFont Synthesizer’ /w:‘SB Audigy’ (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized (User ‘Default user’)

O4 - HKUS.DEFAULT…\RunOnce: [setDefaultMIDI] MIDIDEF.EXE /s:‘Creative SoundFont Synthesizer’ /w:‘SB Audigy’ (User ‘Default user’)

O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher.com/request_will_b … u_ie_frame

O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher.com/request_will_b … u_ie_image

O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher.com/request_will_b … nu_ie_link

O8 - Extra context menu item: Don’t filter page with Ad Muncher - http://www.admuncher.com/request_will_b … ie_exclude

O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher.com/request_will_b … _ie_report

O9 - Extra button: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - E:\Program files\WINnerTweak3\PopUp Blocker.exe

O9 - Extra ‘Tools’ menuitem: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - E:\Program files\WINnerTweak3\PopUp Blocker.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: khfefGxy - C:\WINDOWS\SYSTEM32\khfefGxy.dll

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - E:\Program files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - E:\Program files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

–

End of file - 5707 bytes

huber2t · 18 Sierpień 2008 19:45

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\WINDOWS\system32\khfefGxy.dll

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link

and2352 · 18 Sierpień 2008 20:17

log z combofix http://wklejto.pl/8293

huber2t · 18 Sierpień 2008 20:20

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!