Proszę o sprawdzenie loga HijackThis

Witam.

Od mniej więcej tygodnia kilka razy dziennie zamyka się samoczynnie przeglądarka Mozilla Firefox i Internet Explorer.

Co jest nie tak ? Z góry dzięki za info.

Pozdrawiam

Markos_21

markos5@interia.pl

Scan z HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 10:26:09, on 2008-05-04

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\PowerS.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\RALINK\Common\RaUI.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Prolink\PlayTV Pro\TVRMVCR.EXE

C:\Program Files\honestech\TV Plus 2.0\TVR 2.0\ScheduleTV.exe

C:\Program Files\Prolink\PlayTV PVR\TVSCHL.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Spyware Terminator\SpywareTerminator.exe

C:\Program Files\Windows Commander\TOTALCMD.EXE

C:\DOCUME~1\Marcin\USTAWI~1\Temp_tc\HIJACK~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.1121.2472\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [PowerS] C:\WINDOWS\PowerS.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe”

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM…\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM…\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [spywareTerminator] “C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe”

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe

O4 - Global Startup: Remote Controller.lnk = C:\Program Files\Prolink\PlayTV Pro\TVRMVCR.EXE

O4 - Global Startup: Schedule TV.lnk = ?

O4 - Global Startup: TV Scheduler.lnk = C:\Program Files\Prolink\PlayTV PVR\TVSCHL.EXE

O4 - Global Startup: TVSCHL.lnk = C:\Program Files\Prolink\PlayTV Pro\TVSCHL.EXE

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

Log wygląda na czysty

Podaj log z Combofix

Scan z Combo :

http://wklej.org/id/c24f38c601

Zapomniałem dodać że wcześniej za pomocą programu Spyware Terminator znalazłem w systemie amvo0.dll + jeszcze dwa trojany. Po usunięciu dostałem info że amvo0.dll nie da się usunąć.

Problem pozostał. Dalej wywala co jakiś czas przeglądarki internetowe i Mozillę i Explorera.

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\3wcxx91.cmd

C:\WINDOWS\system32\amvo0.dll.ren


Driver::

{DEF85C80-216A-43ab-AF70-1665EDBE2780}


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Log z Combo według ostatnich wskazówek:

http://wklej.org/id/3a1d4162ed


Pozdrawiam

Markos_21

markos5@interia.pl

Log wyglada na czysty

Usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.

Optymalizacja autostartu

Optymalizacja xp

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Scan Kaspersky’ego:

http://wklej.org/id/645fe62b3e


Pozdrawiam

Markos_21

markos5@interia.pl

Komputer nie ma wirusów

:slight_smile:

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

:slight_smile:

Kaspersky Scan Mój komputer:

http://wklej.org/id/2903e6cc03

Usuń te pliki:

Dało radę usunąć wszystko z wyjątkiem:

D:\07.11.2007 z dysku C dane\Documents and Settings\Iza & Markos\Ustawienia lokalne\Temp\MediaBar.exe

D:\07.11.2007 z dysku C dane\Documents and Settings\Iza & Markos\Ustawienia lokalne\Temp\rcuninst.exe

D:\07.11.2007 z dysku C dane\Documents and Settings\Iza & Markos\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K98HIZSH\index_mp[1].php

D:\07.11.2007 z dysku C dane\Documents and Settings\Iza & Markos\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WTINO9AZ\kazaalite[1].html

Dochodzę do miejsca …\IZA & Markos… ustawień lokalnych nie widzi dlatego nie mogę się dobrać do odpowiedniego miejsca. Ewentualnie usunę całość tzn. całe \Documents and Settings\

D:\3wcxx91.cmdvirus:AdWare.Win32.SaveNow.fpominięty

Tego też nie widzi. Nie jestem w stanie tego namierzyć.

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

D:\07.11.2007 z dysku C dane\Documents and Settings\Iza & Markos\Ustawienia lokalne\Temp\MediaBar.exe

D:\07.11.2007 z dysku C dane\Documents and Settings\Iza & Markos\Ustawienia lokalne\Temp\rcuninst.exe

D:\07.11.2007 z dysku C dane\Documents and Settings\Iza & Markos\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K98HIZSH\index_mp[1].php

D:\07.11.2007 z dysku C dane\Documents and Settings\Iza & Markos\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WTINO9AZ\kazaalite[1].html

D:\3wcxx91.cmd

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Nie jestem pewien ale chyba coś poszło nie tak jak trzeba.

Avenger Pre-Processor log

//////////////////////////////////////////

Platform: Windows XP (build 2600, Dodatek Service Pack 2)

Sun May 04 16:10:17 2008

16:10:17: Error: Invalid script. A valid script must begin with a command directive.

Aborting execution!

//////////////////////////////////////////

//////////////////////////////////////////

Avenger Pre-Processor log

//////////////////////////////////////////

Platform: Windows XP (build 2600, Dodatek Service Pack 2)

Sun May 04 16:12:34 2008

16:12:34: Error: Invalid script. A valid script must begin with a command directive.

Aborting execution!

//////////////////////////////////////////

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File “D:\07.11.2007 z dysku C dane\Documents and Settings\Iza & Markos\Ustawienia lokalne\Temp\MediaBar.exe” deleted successfully.

File “D:\07.11.2007 z dysku C dane\Documents and Settings\Iza & Markos\Ustawienia lokalne\Temp\rcuninst.exe” deleted successfully.

File “D:\07.11.2007 z dysku C dane\Documents and Settings\Iza & Markos\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K98HIZSH\index_mp[1].php” deleted successfully.

File “D:\07.11.2007 z dysku C dane\Documents and Settings\Iza & Markos\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WTINO9AZ\kazaalite[1].html” deleted successfully.

File “D:\3wcxx91.cmd” deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Dobrze się usuneło

Powinno być ok

:slight_smile:

Wielkie dzięki.

Mam nadzieję że w końcu będzie OK.

:slight_smile:


Pozdrawiam

Markos_21

markos5@interia.pl