jnk90
(Jnk90)
28 Luty 2009 12:44
#1
Proszę o sprawdzenie loga. Naprawiam nie swój komputer, więc nie mam pewności co jest oprogramowaniem, a co może być przyczyną jego złej pracy. Komputer wolno chodzi, a internet się zwiesza. Nie mogłem włączyć opcji pokazywania ukrytych plików więc prawdopodobnie była to wina jakiegoś trojana, problem ten rozwiązał skan programem Flash Disinfector.
Logfile of HijackThis v1.99.1 Scan saved at 13:31:16, on 2009-02-28 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\DAEMON Tools Lite\daemon.exe C:\WINDOWS\system32\WgaTray.exe C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\WINDOWS\explorer.exe C:\Program Files\Mozilla Firefox\firefox.exe H:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: x-stacja toolbar - {5b5d0432-c18e-463f-ba04-61b776995d33} - C:\Program Files\x-stacja\tbx-s1.dll O4 - HKLM…\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM…\Run: [sSBkgdUpdate] “C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” -Embedding -boot O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe” O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto O4 - HKCU…\Run: [Gadu-Gadu] “C:\Documents and Settings\Admin.JUSTYNA\Gadu-Gadu\Justyna\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf (file missing) O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Venturi2 Client (Venturi2) - Unknown owner - C:\Program Files\Venturi2\Client\ventc.exe (file missing)
mackobdg
(Mackobdg29)
28 Luty 2009 13:14
#2
uruchom hijackthis
zaznacz:
O3 - Toolbar: x-stacja toolbar - {5b5d0432-c18e-463f-ba04-61b776995d33} - C:\Program Files\x-stacja\tbx-s1.dll
usuń fix checked
podaj log z combofixa http://www.instalki.pl/programy/downloa … mboFix.php
instrukcja: viewtopic.php?f=16&t=36654
na czas pobierania i skanowania wyłącz zapory i antywirusa
logi wklej na www.wklej.org lub www.wklejto.pl w poście daj tylko link
jessica
(jessica)
28 Luty 2009 13:15
#3
Przy infekcji z pendrive’a log z Hijacka jest w ogóle nieprzydatny.
Do tego potrzebny jest log np. z ComboFix
Nowsza instrukcja obsługi ComboFixa >http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix
jessi
jnk90
(Jnk90)
28 Luty 2009 13:28
#4
Pamiętam że u siebie miałem infekcje wirusa który infekował wszystkie pliki exe, nie pamiętam jego nazwy, wiem że 3 dni skanowania G datą mi zajęło pozbycie się go. Wirus namieszał coś w dyskach i nie mogłem wejść na nie w sposób normalny tylko prawy>otwórz (komunikat o błędzie z RECYCLER) no i nie mogłerm również plików ukrytych zobaczyć, wtedy mi pomogł na to flash disinfector. Dzięki za szybką odpowiedź zaraz będe działać z combofix.
jessica
(jessica)
28 Luty 2009 13:42
#5
To były typowe objawy infekcji “pendrivowej”, a nie wirusa zarażającego \ *.exe !
Czekamy w takim razie na log z ComboFixa.
jessi
jnk90
(Jnk90)
28 Luty 2009 14:33
#6
Ok wklejam log z Combofix
Jessi infekcje u mnie prawdopodobnie miałem przez dysk flash (zgrywałem nagrania znajomego z mp3). Ogółem po kilku dniach pozbyłem się masy wirusów z tego co przypominam sobie glownym problemem był win32/parite.B jeśli chodzi o pliki exe. Nie żebym się sprzeczał bo moja wiedza jest niewielka jeśli chodzi o wirusy. Dziękuje za pomoc, przy okazji się nauczyłem czegoś.
jessica
(jessica)
28 Luty 2009 15:00
#7
Nieporozumienie - ja wcale nie twierdziłam, że nie miałeś tego wirusa, twierdziłam tylko, że opisane objawy były spowodowane przez infekcję z pendrive’a. Czyli miałeś dwie infekcje: wirusa i Robaka.
Wklej do Notatnika :
File::
C:\2.com
C:\tvlx2fg.exe
C:\f9cvum.exe
C:\yftvl.com
C:\32agsg.exe
C:\windows\system32\optyhww1.dll
D:\2.com
D:\tvlx2fg.exe
D:\f9cvum.exe
D:\yftvl.com
D:\32agsg.exe
E:\2.com
E:\tvlx2fg.exe
E:\f9cvum.exe
E:\yftvl.com
E:\32agsg.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e37bdfa-fc3f-11dd-ba5e-00a1b0a2c495}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
jessi
jnk90
(Jnk90)
28 Luty 2009 15:21
#8
Ok wklejam log z tym skryptem.
jessica
(jessica)
28 Luty 2009 15:25
#9
Ten log jest już czysty.
Usuń ręcznie folder C:* * Qoobox**.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
Przejrzyj dolną część tego tematu:
>http://www.searchengines.pl/Infekcje-z-pen…ych-t94761.html
jessi
jnk90
(Jnk90)
28 Luty 2009 15:30
#10
Ok Dziękuje Ci za pomoc i poświecenie czasu, komputer ma się lepiej