pawelek23
(Pawelek M)
5 Wrzesień 2007 16:15
#1
Bardzo prtosze o sprawdzenie loga. Komp mi muli i net nie chce odpalić, chociarz połaczenie sieciowe jest ok.
Logfile of HijackThis v1.99.1 Scan saved at 18:10:05, on 2007-09-05 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\System32\igfxpers.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\cssrss.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Microsoft SQL Server\MSSQL$CDN_OPTIMA\Binn\sqlservr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Internet Explorer\iexplore.exe C:\pawel\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\System32\ipv6monk.dll O2 - BHO: HttpGuard - {98B822AD-6BE7-49BC-B773-97240B774080} - C:\WINDOWS\system32\AClient.dll O2 - BHO: XBTP01621 - {9EBBE90B-282E-4c39-8A7E-120749169F0F} - C:\PROGRA~1\BEARSH~2\MediaBar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: BearShare MediaBar - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Program Files\BearShare MediaBar\MediaBar.dll O4 - HKLM…\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM…\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM…\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM…\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Broken Internet access because of LSP provider ‘rsvp32_2.dll’ missing O20 - AppInit_DLLs: C:\WINDOWS\System32\tmp_j1.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: HASPSrv - ComArch - C:\WINDOWS\System32\HASPSrv.exe O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ
Pozdrawiam Gutek2222
Gutek
(Gutek)
5 Wrzesień 2007 16:21
#2
Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym daj log z ComboFix
pawelek23
(Pawelek M)
5 Wrzesień 2007 17:43
#3
COMBO FIX:
ComboFix 07-08-30.3 - “Dominika” 2007-09-05 19:27:17.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.278 [GMT 2:00] ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\DOCUME~1\Dominika\Pulpit\internet.lnk C:\WINDOWS\144.exe C:\WINDOWS\2657.exe C:\WINDOWS\system32\cssrss.exe C:\WINDOWS\system32\info.txt C:\WINDOWS\system32\ipv6monj.dll C:\WINDOWS\system32\ipv6monk.dll C:\WINDOWS\system32\ipv6monl.dll C:\WINDOWS\system32\ipv6monr.dll C:\WINDOWS\system32\msvcrtd.exe C:\WINDOWS\system32\nso12k.sys C:\WINDOWS\system32\pfxzmtaim.dll C:\WINDOWS\system32\pfxzmtforum.dll C:\WINDOWS\system32\pfxzmtgtal.dll C:\WINDOWS\system32\pfxzmticq.dll C:\WINDOWS\system32\pfxzmtsmt.dll C:\WINDOWS\system32\pfxzmtsmtspm.dll C:\WINDOWS\system32\pfxzmtwbmail.dll C:\WINDOWS\system32\pfxzmtymsg.dll C:\WINDOWS\system32\rsvp32_2.dll C:\WINDOWS\system32\rsvp32_2.dll3f2tjw C:\WINDOWS\system32\sfxzmtforum.dll C:\WINDOWS\system32\sfxzmtsmt.dll C:\WINDOWS\system32\sfxzmtsmtspm.dll C:\WINDOWS\system32\sfxzmtwbmail.dll C:\WINDOWS\update.exe C:\WINDOWS\update7.exe ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\LEGACY_DRIVER -------\LEGACY_MSUPDATE -------\Driver -------\msupdate ((((((((((((((((((((((((( Files Created from 2007-08-05 to 2007-09-05 ))))))))))))))))))))))))))))))) 2007-09-05 19:22 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-09-05 18:49 1,982 --a------ C:\WINDOWS\system32\tmp.reg 2007-09-05 18:48 53,248 --a------ C:\WINDOWS\system32\Process.exe 2007-09-05 18:48 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2007-09-05 18:48 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-28 15:19 423424 --a------ C:\WINDOWS\system32\AClient.dll 2007-08-19 11:45 --------- d-------- C:\DOCUME~1\Dominika\DANEAP~1\Image Zone Express 2007-08-01 15:30 416256 --a------ C:\WINDOWS\installer.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{98B822AD-6BE7-49BC-B773-97240B774080}] 2007-08-28 15:19 423424 --a------ C:\WINDOWS\system32\AClient.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “igfxtray”=“C:\WINDOWS\System32\igfxtray.exe” [2005-09-20 04:35] “igfxhkcmd”=“C:\WINDOWS\System32\hkcmd.exe” [2005-09-20 04:32] “igfxpers”=“C:\WINDOWS\System32\igfxpers.exe” [2005-09-20 04:36] “Cmaudio”=“cmicnfg.cpl” [] “NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 11:50] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2006-09-26 16:49] “HP Software Update”=“C:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2006-02-19 03:41] “WMDM PMSP Service”=“C:\WINDOWS\system32\cssrss.exe” [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-09-29 00:00] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] “appinit_dlls”=C:\WINDOWS\System32\tmp_j1.dll R2 HASPSrv;HASPSrv;C:\WINDOWS\System32\HASPSrv.exe R2 MSSQL$CDN_OPTIMA;MSSQL$CDN_OPTIMA;C:\Program Files\Microsoft SQL Server\MSSQL$CDN_OPTIMA\Binn\sqlservr.exe -sCDN_OPTIMA S3 SQLAgent$CDN_OPTIMA;SQLAgent$CDN_OPTIMA;C:\Program Files\Microsoft SQL Server\MSSQL$CDN_OPTIMA\Binn\sqlagent.EXE -i CDN_OPTIMA ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-05 19:31:21 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-09-05 19:32:22 - machine was rebooted C:\ComboFix-quarantined-files.txt … 2007-09-05 19:32 — E O F —
ComboFix-quarantined-files:
jessica
(jessica)
5 Wrzesień 2007 18:16
#4
Jeśli nie masz jakiegoś narzędzia usuwającego, to ściągnij OTMoveIt
Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:
Następnie wciśnij przycisk MoveIt !
Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes .
Po restarcie usuń ręcznie folder C:* * _OTMoveIt** (Prawoklik >>> Usuń >>> Opróżnij Kosz).
Jeśli któryś z tych w/w wpisów jeszcze jest, to go sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Możesz jeszcze, tak na wszelki wypadek, użyć SDFix
Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym .
Pokaż Report.txt znajdujący się w folderze SDFix.
jessi
Gutek
(Gutek)
5 Wrzesień 2007 18:42
#5
Odpal LSP-Fix zaznacz “I know what I’m doing” następnie w okienku Keep zaznacz plik rsvp32_2.dll i za pomocą strzałki (>>) przenieś go do okienka Remover i kliknij Finish