Prosze o sprawdzenie loga z hijackthis, nieznany wirus

vokal · 21 Wrzesień 2007 22:29

Prosze o sprawdzenie loga z hijackthis i z combofix

Logfile of HijackThis v1.99.1

Scan saved at 00:25:01, on 2007-09-22

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Eset\nod32krn.exe

F:\GRY\airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\internet explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\PROGRAMY\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\Programy\FlashGet\getflash.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - E:\PROGRAMY\FlashGet\jc_link.htm

O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - E:\PROGRAMY\FlashGet\jc_all.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pobierz z &BitSpirit - E:\Program Files\BitSpirit\bsurl.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Programy\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Programy\FlashGet\FlashGet.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://linktrader.cyberspacehq.com

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CFA0EE6E-F07B-46CF-81A2-80167A50DC67} (SarunasSoftwareSupportAccesser Control) - http://sarunasoftware.com/system/HWKSupportAccesser.ocx

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - F:\GRY\airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe

O23 - Service: Centrum zabezpieczeń (wscsvc) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

i tutaj link do loga z combofix

KLIK

Gutek · 21 Wrzesień 2007 22:31

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Daj log z ComboFix

jessica · 21 Wrzesień 2007 23:11

@vokal -

Wklej do Notatnika :

File::

C:\WINDOWS\Tasks\At1.job 

C:\WINDOWS\system32\P08be548.exe 

C:\WINDOWS\Tasks\At10.job 

C:\WINDOWS\Tasks\At11.job

C:\WINDOWS\Tasks\At12.job 

C:\WINDOWS\Tasks\At13.job 

C:\WINDOWS\Tasks\At14.job 

C:\WINDOWS\Tasks\At15.job 

C:\WINDOWS\Tasks\At16.job 

C:\WINDOWS\Tasks\At17.job 

C:\WINDOWS\Tasks\At18.job 

C:\WINDOWS\Tasks\At19.job 

C:\WINDOWS\Tasks\At2.job 

C:\WINDOWS\Tasks\At20.job 

C:\WINDOWS\Tasks\At21.job 

C:\WINDOWS\Tasks\At22.job 

C:\WINDOWS\Tasks\At23.job 

C:\WINDOWS\Tasks\At24.job 

C:\WINDOWS\Tasks\At25.job 

C:\WINDOWS\system32\AoVtA015.exe 

C:\WINDOWS\Tasks\At26.job 

C:\WINDOWS\Tasks\At27.job 

C:\WINDOWS\Tasks\At28.job 

C:\WINDOWS\Tasks\At29.job 

C:\WINDOWS\Tasks\At3.job 

C:\WINDOWS\Tasks\At30.job 

C:\WINDOWS\Tasks\At31.job 

C:\WINDOWS\Tasks\At32.job 

C:\WINDOWS\Tasks\At33.job 

C:\WINDOWS\Tasks\At34.job 

C:\WINDOWS\Tasks\At35.job 

C:\WINDOWS\Tasks\At36.job 

C:\WINDOWS\Tasks\At37.job 

C:\WINDOWS\Tasks\At38.job 

C:\WINDOWS\Tasks\At39.job 

C:\WINDOWS\Tasks\At4.job 

C:\WINDOWS\Tasks\At40.job 

C:\WINDOWS\Tasks\At41.job 

C:\WINDOWS\Tasks\At42.job 

C:\WINDOWS\Tasks\At43.job 

C:\WINDOWS\Tasks\At44.job 

C:\WINDOWS\Tasks\At45.job 

C:\WINDOWS\Tasks\At46.job 

C:\WINDOWS\Tasks\At47.job 

C:\WINDOWS\Tasks\At48.job 

C:\WINDOWS\Tasks\At5.job

C:\WINDOWS\Tasks\At6.job 

C:\WINDOWS\Tasks\At7.job 

C:\WINDOWS\Tasks\At8.job

C:\WINDOWS\Tasks\At9.job

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )– podobnie jak na tym obrazku –> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj nowy log z ComboFixa.

jessi

vokal · 21 Wrzesień 2007 23:27

Tutaj log z combofix

KLIK

Mam jeszcze taki problem, w system32 mam plik svchost.exe ktory dodal sie o 23:30 21 wrzesnia, niestety nie da sie go usunac.

jessica · 22 Wrzesień 2007 06:41

Log wygląda na czysty.

No tak, widać tego “svchosta”, problem w tym, że jego nazwa jest identyczna, jak prawidłowego pliku , lokalizacja też jest identyczna, jak prawidłowego pliku.

Czy masz tam dwa pliki o nazwie “svchost.exe” ?

Jeśli jest tylko jeden, to jest to prawidłowy plik.

Modyfikacja jego mogła nastąpić w związku z poniższym wpisem w Hijacku:

Na wszelki wypadek:

Użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

W jego raporcie powinno być widać, czy coś się “podczepiło” pod “svchost.exe”.

jessi