Proszę o sprawdzenie loga Hijackthis


(Enrike08101993) #1

Proszę o sprawdzenie loga Hijackthis, gdyż podejrzewam, że mój komputer został zaatakowany przez wirusy.


(Spandau) #2

Log HJT jest OK

Jeśli podejrzewasz infekcje to

Pobierz Malwarebytes' Anti-Malware Instrukcja i program tutaj http://cybertrash.pl/Tata/MBAM/Malwareb ... lware.html przeskanuj wszystkie dyski, usuń wszystko co znajdzie i daj log na forum


(Enrike08101993) #3

Dodatkowo to Log z Combofix:

ComboFix 08-11-11.01 - ERYKGABRYS 2008-11-12 14:47:42.2 - NTFSx86

(Spandau) #4

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Enrike08101993) #5

Oto log z Combofixa:

ComboFix 08-11-11.01 - ERYKGABRYS 2008-11-12 15:14:52.3 - NTFSx86

(Enrike08101993) #6

Jeszcze log z Malwarebytes' anti-malware:

Malwarebytes' Anti-Malware 1.30

Wersja bazy definicji: 1388

Windows 5.1.2600 Dodatek Service Pack 3


2008-11-12 15:39:19

mbam-log-2008-11-12 (15-39-19).txt


Typ skanowania: Szybkie skanowanie

Przeskanowane obiekty: 47830

Upłynęło: 10 minute(s), 52 second(s)


Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 10

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 1

Zainfekowane foldery: 3

Zainfekowane pliki: 5


Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)


Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)


Zainfekowane klucze rejestru:

HKEY_CLASSES_ROOT\ewrssvw.bfso (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\ewrssvw.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{393bafe7-a7a4-4cb1-b605-83078bc1f518} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{7182dc0a-b8db-4ca4-9110-3082b6a3ae83} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{ccc3d092-d909-4a79-a6d7-c6183d693f4a} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{5b141eaa-d024-405b-bf23-586adc666707} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{e0884e4b-367e-4a5c-8487-d16bc0b793f5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\AllFilesystemObjects\shellex\ContextMenuHandlers\pcsd (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\ContextMenuHandlers\pcsd (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\PC-Cleaner (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.


Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)


Zainfekowane pliki rejestru:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.


Zainfekowane foldery:

C:\Documents and Settings\ERYKGABRYS\Dane aplikacji\TrustedAntivirus (Rogue.TrustedAntivirus) -> Quarantined and deleted successfully.

C:\Documents and Settings\ERYKGABRYS\Dane aplikacji\TrustedAntivirus\Logs (Rogue.TrustedAntivirus) -> Quarantined and deleted successfully.

C:\Documents and Settings\ERYKGABRYS\Dane aplikacji\PC-Cleaner (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.


Zainfekowane pliki:

C:\Documents and Settings\ERYKGABRYS\Dane aplikacji\TrustedAntivirus\PGE.dat (Rogue.TrustedAntivirus) -> Quarantined and deleted successfully.

C:\Documents and Settings\ERYKGABRYS\Dane aplikacji\TrustedAntivirus\Logs\threats.log (Rogue.TrustedAntivirus) -> Quarantined and deleted successfully.

C:\Documents and Settings\ERYKGABRYS\Dane aplikacji\TrustedAntivirus\Logs\update.log (Rogue.TrustedAntivirus) -> Quarantined and deleted successfully.

C:\Documents and Settings\ERYKGABRYS\Dane aplikacji\PC-Cleaner\log.dat (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.

C:\Documents and Settings\ERYKGABRYS\Dane aplikacji\PC-Cleaner\settings.dat (Rogue.PC-Cleaner) -> Quarantined and deleted successfully.

:slight_smile: Dałem Usuń Wszystko i Wyskoczył komunikat o pomyślnym usunięciu zaznaczonych plików :slight_smile:


(Brasil) #7

Witam wszystkich użytkowników,

Proszę ...zgodnie z tematem o sprawdzenie loga... Jestem żółtodziobem i liczę na wiedzę kolegów z niniejszego forum.

Objawy:

Komp (laptop) zaczął wolno chodzić, głównie przy otwieraniu programów typu Mozilla, Explorer, Winamp.

Kolejny objaw to fakt, że czasami nie chce się uruchomić i należy od kilkunastu razy wciskać przycisk zasilania- wtedy odpala. Bateria sys. zmieniona, choć stara nie wykazywała śladów wyładowania (ale to sprawdzone dopiero po wyjęciu). Laptop jest dość leciwy ale dotąd nieźle się sprawował (MAXDATA Pro 7100X).

Wklejam świeżutki log z Hijackthis. Proszę o konsultacje w tym temacie i z góry dziękuję za pomoc.

Pozdrawiam.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:42:27, on 2008-11-12

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\LTSMMSG.exe

C:\WINDOWS\system32\EM9STA.EXE

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Microsoft ActiveSync\Wcescomm.exe

C:\PROGRA~1\MICROS~2\rapimgr.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\DNA\btdna.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\BitTorrent\bittorrent.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM..\Run: [EM9STA.EXE] EM9STA.EXE

O4 - HKLM..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\Wcescomm.exe"

O4 - HKCU..\Run: [bitTorrent DNA] "C:\Program Files\DNA\btdna.exe"

O4 - HKUS\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll

O9 - Extra 'Tools' menuitem: Utwórz Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/f ... wflash.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Usługa bramy warstwy aplikacji (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 5265 bytes


(Enrike08101993) #8

Brasil Nie podpinaj się do czyjegoś tematu, ponieważ zrobi się zamieszanie i jest to niezgodne z regulaminem. Załóż Własny temat. :slight_smile:


(Leon$) #9

Kosah dziwię się dla czego nie dokończyłeś tego tematu http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=285802&p=1906121#p1906121

a rozpocząłeś nowy

dopóki nie wyleczysz do końca kompa i dysków przenośnych zawsze będziesz miał problemy

w poprzednim temacie prosiłem o log z usuwania Combofixem i kilka innych działań ty ładnie podziękowałeś

a dzień później w innym temacie dajesz

choć o to nikt cię nie prosił

miałeś co innego zrobić

[-X


(Gutek) #10

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052