Problem z plikiem 00Thotkey.exe infected

thomas31 · 24 Czerwiec 2009 13:54

Prosze o pomoc!

Nie dzialaja mi programy jedynie co chwile wyskakuja jakies okna z programu windows antyvir czy cos takiego. I pojawiaja mi sie komunikaty w stylu" Warning 00Thotkey.exe infected".

Hijackthis log wyglada nastepujaco:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:18:39, on 2009-06-24

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode

Running processes:

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM…\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM…\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM…\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM…\Run: [iSUSScheduler] “C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” -start

O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”

O4 - HKLM…\Run: [intelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM…\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe

O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM…\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe

O4 - HKLM…\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe

O4 - HKLM…\Run: [TPSMain] TPSMain.exe

O4 - HKLM…\Run: [TPSODDCtl] TPSODDCtl.exe

O4 - HKLM…\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe

O4 - HKLM…\Run: [000StTHK] 000StTHK.exe

O4 - HKLM…\Run: [PINGER] C:\TOSHIBA\IVP\ISM\pinger.exe /run

O4 - HKLM…\Run: [TFncKy] TFncKy.exe

O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime

O4 - HKLM…\Run: [16517654] C:\Documents and Settings\All Users\Dane aplikacji\16517654\16517654.exe

O4 - HKLM…\Run: [96527646] C:\Documents and Settings\All Users\Dane aplikacji\96527646\96527646.exe

O4 - HKLM…\Run: [odby] C:\WINDOWS\odb.exe

O4 - HKLM…\Run: [netc] C:\WINDOWS\svc.exe

O4 - HKLM…\Run: [updateWin] C:\WINDOWS\system32\1042v.exe

O4 - HKLM…\Run: [lsass] C:\WINDOWS\lsass.exe

O4 - HKLM…\Run: [amoumain] C:\WINDOWS\amoumain.exe

O4 - HKLM…\Run: [servicelayer] C:\WINDOWS\servicelayer.exe

O4 - HKLM…\Run: [ctfmon] C:\WINDOWS\ctfmon.exe

O4 - HKLM…\Run: [vlc] C:\WINDOWS\vlc.exe

O4 - HKLM…\Run: [wdmon] C:\WINDOWS\wdmon.exe

O4 - HKLM…\Run: [netx] C:\WINDOWS\svx.exe

O4 - HKLM…\Run: [netw] C:\WINDOWS\svw.exe

O4 - HKLM…\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM…\RunServices: [updateWin] C:\WINDOWS\system32\1042v.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [AdobeUpdater] C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe

O4 - HKCU…\Run: [H/PC Connection Agent] “C:\Program Files\Microsoft ActiveSync\Wcescomm.exe”

O4 - HKCU…\Run: [updateWin] C:\WINDOWS\system32\1042v.exe

O4 - HKCU…\RunServices: [updateWin] C:\WINDOWS\system32\1042v.exe

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Przyspieszenie uruchomienia programu AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra ‘Tools’ menuitem: Utwórz Ulubione dla urządzenia przenośnego… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/s … DEXAXO.cab

O16 - DPF: {E5EE81D5-C49F-45E5-B42F-0B7AEEDD047C} (Druk Control) - http://lpstudent.lexpolonica.pl/lexpolo … export.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\ACS.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Swupdtmr - Unknown owner - c:\TOSHIBA\IVP\swupdate\swupdtmr.exe

Prosze o pomoc!

deFco247 · 24 Czerwiec 2009 13:56

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link

Tu jest tyle syfu, że lepiej od razu daj log z Combofix.

thomas31 · 25 Czerwiec 2009 07:45

Ok! Uruchomiłem Combofixa najpierw w trybie awaryjnym a pozniej po skanie ad-awarem jeszcze raz. Kurcze nie wiedzialem ze sa tak madre programy. Nowy log z combofixa jest na:

http://wklej.org/id/111576/

Jesli cos jeszcze da sie w mojej sprawie zrobic to prosze o pomoc. W kazdym razie komp zaczal dzialac bez wiekszych problemow.

Wielkie dzieki za pomoc.

deFco247 · 25 Czerwiec 2009 10:10

Pobierz Avenger i uruchom.

Skopiuj ten tekst:

Files to delete:

c:\windows\system32\2421922495.dat

c:\windows\system32\1042v.exe

W oknie Avengera klikasz Paste Script from Clipboard , wybierasz Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt

thomas31 · 25 Czerwiec 2009 11:05

Oto raport Avengera:

http://wklej.org/id/111668/

deFco247 · 25 Czerwiec 2009 11:38

To co szkodliwego było widać w logu - usunięte.

Usuń Avenger z dysku.

Menu Start -> Uruchom… -> Combofix /u

Przeczyść system CCleanerem.

Usuń zbędniki z autostartu.

Wykonaj pełny skan DR WEB CureIt.