swinkanie
(Swinkanie)
4 Październik 2007 06:50
#1
Witam. Komputer złapał jakiegoś syfa i teraz mam problem z jego usunięciem. Avast radzi sobie raczej kiepsko. Idąc za instrukcja umieszczoną na forum umieszczam loga.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:36:34, on 2007-10-04 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\autoclk.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\WinAble\winable.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Ferari\Pulpit\HJTInstall.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O4 - HKLM…\Run: [autoclk] autoclk.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [runner1] C:\WINDOWS\tsitra1000106.exe 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15806F97BDE4417E70CE7C0726B954E2C2832213329D26033AAC O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [searchIndexer] rundll32.exe “C:\WINDOWS\system32\wbuuoafn.dll”,sitypnow O4 - HKCU…\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [WinAble] C:\Program Files\WinAble\winable.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra ‘Tools’ menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip…{61A7CDE3-69B6-4F92-9B4D-BB0D553A0344}: NameServer = 194.204.159.1 217.98.63.164 O17 - HKLM\System\CS1\Services\Tcpip…{61A7CDE3-69B6-4F92-9B4D-BB0D553A0344}: NameServer = 194.204.159.1 217.98.63.164 O17 - HKLM\System\CS2\Services\Tcpip…{61A7CDE3-69B6-4F92-9B4D-BB0D553A0344}: NameServer = 194.204.159.1 217.98.63.164 O17 - HKLM\System\CS3\Services\Tcpip…{61A7CDE3-69B6-4F92-9B4D-BB0D553A0344}: NameServer = 194.204.159.1 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\ltekhpol.exe O24 - Desktop Component 0: (no name) - C:\Program Files\Internet Explorer\prokybortu.html – End of file - 4749 bytes
jessica
(jessica)
4 Październik 2007 07:29
#2
Ściągnij -->ComboFix (na dole tej strony z linku).
Wklej do Notatnika :
File::
C:\WINDOWS\system32\wbuuoafn.dll
C:\Program Files\WinAble\winable.exe
C:\WINDOWS\system32\ltekhpol.exe
C:\WINDOWS\tsitra1000106.exe
C:\Program Files\Internet Explorer\prokybortu.html
Folder::
C:\Program Files\WinAble
Driver::
DomainService
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Potem:
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O4 - HKLM…\Run: [runner1] C:\WINDOWS\tsitra1000106.exe 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3 D1DC7E4638E8323A15806F97BDE4417E70CE7C0726B954E2C2832213329D26033AAC O4 - HKLM…\Run: [searchIndexer] rundll32.exe “C:\WINDOWS\system32\wbuuoafn.dll”,sitypnow O4 - HKCU…\Run: [WinAble] C:\Program Files\WinAble\winable.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra ‘Tools’ menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O24 - Desktop Component 0: (no name) - C:\Program Files\Internet Explorer\prokybortu.html
Te w/w wpisy sfiksuj w Hijacku:
Hijackscan(Do a system scan only)zaznacz je Fix checked .
Potem daj tu:
log z Hijacka
log z ComboFixa
Log wklej na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .
jessi
Monczkin
(Monczkin)
4 Październik 2007 07:42
#3
nazwij temat konkretnie o popraw posta - obejmij loga znacznikami. W przeciwnym razie zostaną wyciągnięte konsekwencje.
swinkanie
(Swinkanie)
4 Październik 2007 08:47
#4
http://wklej.org/id/170ace6b5d log z hijackthis
http://wklej.org/id/402008399a log z combofixa
Tak na marginesie, chyba avast usunął w międzyczasie kilka plików, ponieważ z zaznaczonych były tylko 3. Mam nadzieje, że jego praca nie zakłóciła całości.
jessica
(jessica)
4 Październik 2007 09:35
#5
Sprawdź najpierw, czy oprócz
C:\Program Files\ outlook
jest też: C:\Program Files\ Outlook Express
Jeśli nie ma, to trzeba będzie zmienić usuwanie.
A jeśli jest, to:
Wklej do Notatnika :
File::
C:\WINDOWS\system32\ohgojxqf.dll
C:\WINDOWS\system32\qqtss.bak2
C:\WINDOWS\system32\qqtss.bak1
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\jap1
C:\WINDOWS\system32\ex1
C:\WINDOWS\system32\dj2
C:\WINDOWS\system32\byxywxx.dll
C:\WINDOWS\UnVtYW4\oBpQsqb.vbs
Folder::
C:\Program Files\outlook
C:\Program Files\Temporary
C:\Documents and Settings\LocalService\Dane aplikacji\NetMon
C:\WINDOWS\system32\vMW04a
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxywxx]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj ten log.
jessi
swinkanie
(Swinkanie)
6 Październik 2007 09:53
#6
Jest tylko C:\Program Files\Outlook Express
jessica
(jessica)
6 Październik 2007 11:18
#7
Ten “outlook” ma atrybuty ochronne, a więc:
jessi
swinkanie
(Swinkanie)
6 Październik 2007 13:29
#8
jessica
(jessica)
6 Październik 2007 16:42
#9
Nie wszystko się usunęło, i to z mojej winy, bo foldery zaliczyła jako pliki. Przepraszam, bo musisz powtórzyć część usuwania.
Wklej do Notatnika :
Folder::
C:\WINDOWS\UnVtYW4
C:\WINDOWS\system32\jap1
C:\WINDOWS\system32\ex1
C:\WINDOWS\system32\dj2
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
jessi
swinkanie
(Swinkanie)
6 Październik 2007 18:07
#10
adam9870
(adam9870)
6 Październik 2007 18:10
#11
swinkanie spróbuj proszę umieścić log ponownie w serwisie wklej.org , ponieważ wstawiony w Twoim poprzednim poście link nie jest do końca poprawny.
jessica
(jessica)
6 Październik 2007 18:11
#12
Tak, teraz nie widzę już nic podejrzanego w logu.
EDIT:
Tylko nie instaluj tego “WhenUSave”!
A najlepiej usuń tego Installera.
jessi
swinkanie
(Swinkanie)
6 Październik 2007 18:22
#13
http://wklej.org/id/02c211a0bd jeszcze raz specjalnie dla adam9870 ;]
Wielkie dziękuję jessica Fajnie, że są na tym świecie mili ludzie
swinkanie
(Swinkanie)
7 Październik 2007 08:49
#15
jessica
(jessica)
7 Październik 2007 10:42
#16
SDFix wykrył i usunął jednego Trojana.
Ale ponieważ ten Trojan nie lubi chodzić sam, więc za kilka dni sprawdź, czy nie przybyli jego “towarzysze”.
jessi