rav130
(Rav130)
27 Październik 2007 12:00
#1
witam mam problem mianowicie wlaczam komputer i po ok 3 minutach nie mam internetu dodam ze to jest net bezprzewodowy oto log z hi jacka
Logfile of HijackThis v1.99.1 Scan saved at 13:30:39, on 2007-04-27 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe G:\Winamp\winampa.exe C:\Program Files\TuneUp Utilities 2006\MemOptimizer.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\RALINK\Common\RaUI.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\MIREK\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Share Accelerator Toolbar - {f5c93451-2609-4723-a053-5c19516be1a8} - C:\Program Files\Share_Accelerator\tbShar.dll F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKLM…\Run: [WinampAgent] G:\Winamp\winampa.exe O4 - HKCU…\Run: [TuneUp MemOptimizer] “C:\Program Files\TuneUp Utilities 2006\MemOptimizer.exe” autostart O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Autodata Limited License Service - Unknown owner - C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
z gory dziekuje za odp.
jessica
(jessica)
27 Październik 2007 12:11
#2
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Użyj dwóch narzędzi:
----------------------------------------- I
–>SDFix
Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym .
Pokaż Report.txt znajdujący się w folderze SDFix.
Instrukcja obsługi: Dwuklik na SDFix.exe, program wypakuje się na C:\SDFix (standardowo) Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed startem Windowsa) Wejdź do folderu z SDFix, dwuklik na plik RunThis.bat Wciśnij Y, nastąpi proces usuwania. Kiedy usuwanie się ukończy, wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania. Kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. Pokaż Report.txt znajdujący się w folderze SDFix.
---------------------------- II
–>ComboFix (na dole tej strony z linku) -
Log z ComboFixa wklej na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .
jessi
rav130
(Rav130)
27 Październik 2007 13:12
#3
oto log z tego 1 programu :
SDFix: Version 1.112 Run by MIREK on 2007-04-27 at 15:06 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: runtime s3contrl (32-bit) ImagePath: ??\C:\WINDOWS\System32\drivers\runtime.sys “C:\WINDOWS\VTTray.exe” runtime - Deleted s3contrl (32-bit) - Deleted C:\WINDOWS\system32\Microsoft\backup.ftp Found C:\WINDOWS\system32\Microsoft\backup.tftp Found Checking files: Genuine: C:\WINDOWS\system32\Microsoft\backup.ftp C:\WINDOWS\system32\Microsoft\backup.tftp Dummy: C:\WINDOWS\system32\ftp.exe C:\WINDOWS\system32\tftp.exe C:\WINDOWS\system32\dllcache\ftp.exe C:\WINDOWS\system32\dllcache\tftp.exe Files copied to SDFix\Backups Restoring files if backups are found Final Check: Genuine: C:\WINDOWS\system32\Microsoft\backup.ftp C:\WINDOWS\system32\Microsoft\backup.tftp C:\WINDOWS\system32\ftp.exe C:\WINDOWS\system32\tftp.exe C:\WINDOWS\system32\dllcache\ftp.exe C:\WINDOWS\system32\dllcache\tftp.exe Dummy: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: Trojan Files Found: C:\9R2H2Z~1.EXE - Deleted C:\Program Files\Common Files\Carlson\carlton - Deleted C:\WINDOWS\system32\5_exception.nls - Deleted C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted C:\WINDOWS\VTTray.exe - Deleted Could Not Remove C:\WINDOWS\Temp\startdrv.exe Folder C:\Program Files\Common Files\Carlson - Removed Removing Temp Files… ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Rootkit runtime2 Found, Use a Rootkit scanner ! Authorized Application Key Export: Remaining Files: --------------- C:\WINDOWS\Temp\startdrv.exe Found File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes: Sun 26 Nov 2006 4,348 …SH. — “C:\Documents and Settings\All Users\DRM\DRMv1.bak” Wed 6 Dec 2006 401 …SH. — “C:\Documents and Settings\All Users\DRM\DRMv15.bak” Wed 6 Dec 2006 48 …SH. — “C:\Documents and Settings\All Users\DRM\v2ks.sec.bak” Wed 6 Dec 2006 400 …SH. — “C:\Documents and Settings\All Users\DRM\v2ks.bla.bak” Mon 13 Nov 2006 319,456 A…H. — “C:\Program Files\Common Files\Motorola Shared\MotPCSDrivers\difxapi.dll” Finished!
asterisk
(Asterisk)
27 Październik 2007 13:21
#4
Proszę zastosować się do tego Tematu i zmienić
tytuł tematu na konkretny - inaczej KOSZ
jessica
(jessica)
27 Październik 2007 13:36
#6
Nie wiem, dlaczego w logu ComboFixa jest znów " VTTray.exe ", skoro wcześniej usunął go SDFix. Czyżby powrócił?
Wklej do Notatnika :
File::
C:\WINDOWS\VTTray.exe
C:\WINDOWS\system32\fjx.exe
C:\FOUND.043
C:\FOUND.042
Folder::
C:\FOUND.043
C:\FOUND.042
C:\FOUND.* *
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj ten log.
jessi