Problem z trojanami prosze o sprawdzenie loga z hijacthis'a

jelinas · 23 Wrzesień 2008 16:58

Mam xp pro sp2

Mój spybot avast i win patrol nie daje sobie rady z trojanami.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:40:23, on 2008-09-23

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Common Files\Maxtor\Schedule2\schedhlp.exe

C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\A4Tech\Mouse\Amoumain.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Maxtor\Schedule2\schedul2.exe

C:\Program Files\Common Files\Apple\Mobile Device 


Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Alwil Software\Avast4\setup\avast.setup

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 


http://www.neostrada.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita 


Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - 


C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - (no file)

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

O2 - BHO: Alive MP3 WAV Converter Toolbar Helper - 


{C12D2216-6A10-4c7d-A38F-D801D9CF9D03} - C:\Program Files\Alive MP3 WAV Converter 


Toolbar\v2.0.0.2\Alive_MP3_WAV_Converter_Toolbar.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: (no name) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - (no file)

O3 - Toolbar: Alive MP3 WAV Converter Toolbar - {50D31413-8B14-4158-94A5-80BE78E23058} 


- C:\Program Files\Alive MP3 WAV Converter 


Toolbar\v2.0.0.2\Alive_MP3_WAV_Converter_Toolbar.dll

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common 


Files\Maxtor\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo 


FireWall\FireWall.exe" -TRAY

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\BillP Studios\WinPatrol\winpatrol.exe 


-expressboot

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & 


Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA 


LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA 


SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunServices: [Asn1 Security Systems] asn1sys.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default 


user')

O4 - HKUS\.DEFAULT\..\RunServices: [Asn1 Security Systems] asn1sys.exe (User 'Default 


user')

O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player 


Utilities 4.09\AMVConverter\grab.html

O8 - Extra context menu item: Download all links using BitComet - res://C:\Program 


Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Program 


Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - 


res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program 


Files\Java\jre1.5.0_10\bin\npjpi150_10.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} 


- C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 


C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - 


C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - 


{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program 


Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - 


{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - 

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - 


http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_10) - 

O16 - DPF: {CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA} (Java Plug-in 1.3.1_03) - 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - 

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} - 

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - 


C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: 63.dll

O20 - Winlogon Notify: TS_LogonListener - C:\WINDOWS\

O20 - Winlogon Notify: wingmo32 - C:\WINDOWS\

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program 


Files\Common Files\Maxtor\Schedule2\schedul2.exe

O23 - Service: Urządzenie mobilne Apple (Apple Mobile Device) - Apple, Inc. - 


C:\Program Files\Common Files\Apple\Mobile Device 


Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program 


Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil 


Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil 


Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil 


Software\Avast4\ashWebSv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - 


C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 


7\InCD\InCDsrv.exe

O23 - Service: Usługa iPod (iPod Service) - Apple Inc. - C:\Program 


Files\iPod\bin\iPodService.exe

O23 - Service: MS Common Service - Unknown owner - C:\WINDOWS\System32\mscomserv.exe 


(file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero 


BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common 


Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - 


C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - 


C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O24 - Desktop Component 0: (no name) - 


http://www.powiat.mielec.pl/bractwo/fotos/tokarnia/pastuch.jpg


--

End of file - 8363 bytes

asterisk · 23 Wrzesień 2008 17:05

Logi wklejasz na http://wklej.eu lub na http://wklej.org,

a w poście dajesz tylko link

jelinas · 23 Wrzesień 2008 17:56

powyzej umieszczony jest log z hijackthis(http://www.wklej.eu/index.php?id=bcb076ec3e) a tutaj z combofix: http://wklej.eu/index.php?id=1ae65a17fc

pomoze ktos? od 3 lat nie formatowalem tego komputera caly czas byl czysty wyjechalem na wakacje i moje kochane rodzenstow sie do niego dorwalo i weszlo kilka trojanow spybot je wykrywa ale nie jest w stanie nic z nimi zrobic…

addmir · 23 Wrzesień 2008 19:27

Pobierz ComboFix, ale nie uruchamiaj

FIX:

Wklej do notatnika:

File::

C:\WINDOWS\System32\mscomserv.exe


Driver::

MS Common Service

Plik -> zapisz jako -> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

http://images24.fotosik.pl/270/2ee6248310a8813f.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum + nowy log z HijackThis.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: ** Qoobox**

jelinas · 23 Wrzesień 2008 19:42

przepraszam ale robie to pierwszy raz co to ten fix co zes zacytowal?

reudaisu · 23 Wrzesień 2008 19:50

ComboFix to odpowiednik HijackThis. Wykonaj to co napisał addmir

addmir · 23 Wrzesień 2008 20:01

jelinas ,

Włączasz HijackThis => Do a system scan Only => zaznaczasz wpisy, które podałem => Naciskasz “Fix checked”

jelinas · 23 Wrzesień 2008 20:47

combofix po: http://wklej.eu/index.php?id=0c17ee692f

hijackthis po: http://wklej.eu/index.php?id=41bac96eea

eyeti · 23 Wrzesień 2008 20:56

jelinas , log z HiJacka wygląda na czysty.

jelinas · 23 Wrzesień 2008 21:05

Dzieki wielkie skana zapuszcze na noc w awaryjnym i mam nadzieje ze jeszcze troche pociagnie chociaz format sie zbliza

huber2t · 24 Wrzesień 2008 03:14

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

Driver::

ensqio

sbpcint4

ATE_PROCMON

AvFlt

SetupNTGLM7X

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link