Prosze o sprawdzenie loga

nowy2 · 5 Listopad 2007 16:35

Logfile of HijackThis v1.99.1 Scan saved at 17:33:06, on 2007-11-05 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system\msnrav.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\eXtream.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE D:\Gadu-Gadu\gg.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\cmd.exe C:\Documents and Settings\Tomek\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [st4rbukcs] C:\WINDOWS\System32\CCCZ\BABA.exe O4 - HKLM…\Run: [MicroSoft ssadsadas3s1] eXtream.exe O4 - HKLM…\RunServices: [MicroSoft ssadsadas3s1] eXtream.exe O4 - HKLM…\RunOnce: [MicroSoft ssadsadas3s1] eXtream.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU…\Run: [Gadu-Gadu] “D:\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [MicroSoft ssadsadas3s1] eXtream.exe O4 - HKCU…\RunOnce: [MicroSoft ssadsadas3s1] eXtream.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows … 4260740539 O17 - HKLM\System\CCS\Services\Tcpip…{E7B72FC5-5089-4AA8-B23B-E85B24ACDE70}: NameServer = 83.238.255.76 213.241.79.37 O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

jessica · 5 Listopad 2007 16:49

Po co zakładasz nowy temat, skoro nie zrobiłeś tego, co zaleciłam w Twoim poprzednim temacie (http://forum.dobreprogramy.pl/viewtopic.php?t=198783 ?

jessi

nowy2 · 5 Listopad 2007 17:29

zrobilem tylko ciagle mi wyskakuja plansze ze sa wirusy prosze sprawdz tego nowego loga bo mi to wszystko kiepsko idzie

jessica · 5 Listopad 2007 17:39

Jakoś nie widzę tego raportu SDFix i logu ComboFix…

jessi

nowy2 · 5 Listopad 2007 18:59

http://wklej.org/id/04a29db334 tu jest raport i log

jessica · 5 Listopad 2007 19:53

Chyba się pogubiłam w kolejności zdarzeń, bo SDFix usunął, al w logach dalej jest.

Wklej do Notatnika :

File::

C:\WINDOWS\system\msnrav.exe

C:\Documents and Settings\Tomek\ddhdggaaa.exe

C:\WINDOWS\system32\eXtream.exe

C:\WINDOWS\System32\wbem\scrcons32.exe

C:\WINDOWS\System32\CCCZ\BABA.exe


Folder::

C:\WINDOWS\system32\CCCZ


Driver::

"MSN RAV"


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

st4rbukcs"=-

"MicroSoft ssadsadas3s1"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MicroSoft ssadsadas3s1"=-

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce] 

"MicroSoft ssadsadas3s1"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce] 

"MicroSoft ssadsadas3s1"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] 

"MicroSoft ssadsadas3s1"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce] 

"MicroSoft ssadsadas3s1"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]

"WMI Standard Event Consumer - Scripting"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run] 

"WMI Standard Event Consumer - Scripting"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run] 

"Windows Service Agccnt"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run] 

"MicroSoft ssadsadas3s1"=-

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] 

"WMI Standard Event Consumer - Scripting"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj ten log i log z Hijacka.

Czy Twój ComboFix jest z tej nowej wersji?

Pytam, bo nie widzę w logu żadnych usług.

jessi

Agaton · 5 Listopad 2007 20:12

nowy2

Ważny komunikat dotyczący tytułowania tematów

Przeczytaj wskazany temat omawiający zasady zakładania tamatów w tym dziale i popraw tytuł tematu na konkretny, mówiący o problemie.

Przedstaw w opisie również sam problem.

W tym celu proszę użyć przycisku

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

nowy2 · 5 Listopad 2007 21:32

ComboFix pobieralem dzisiaj to chyba jest nowy.

Logfile of HijackThis v1.99.1 Scan saved at 22:24:38, on 2007-11-05 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\dllcache\mravsc32.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\phhiezjjw.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE D:\Gadu-Gadu\gg.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\eXtream.exe C:\WINDOWS\system\msnrav.exe C:\Documents and Settings\Tomek\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [st4rbukcs] C:\WINDOWS\System32\CCCZ\BABA.exe O4 - HKLM…\Run: [sDFix] C:\SDFix\RunThis.bat /second O4 - HKLM…\Run: [Windows Service Ag3nt] phhiezjjw.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” O4 - HKLM…\Run: [MicroSoft ssadsadas3s1] eXtream.exe O4 - HKLM…\RunServices: [Windows Service Ag3nt] phhiezjjw.exe O4 - HKLM…\RunServices: [MicroSoft ssadsadas3s1] eXtream.exe O4 - HKLM…\RunOnce: [MicroSoft ssadsadas3s1] eXtream.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU…\Run: [Gadu-Gadu] “D:\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Windows Service Ag3nt] phhiezjjw.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows … 4260740539 O17 - HKLM\System\CCS\Services\Tcpip…{E7B72FC5-5089-4AA8-B23B-E85B24ACDE70}: NameServer = 83.238.255.76 213.241.79.37 O23 - Service: Distributed Allocated Memory Unit - Unknown owner - C:\WINDOWS\system32\dllcache\mravsc32.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

ComboFix 07-11-01.1** - Tomek 2007-11-05 22:15:39.4 - NTFSx86

Running from: C:\Documents and Settings\Tomek\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Tomek\Pulpit\CFScript.txt.txt

FILE::

C:\Documents and Settings\Tomek\ddhdggaaa.exe

C:\WINDOWS\system\msnrav.exe

C:\WINDOWS\System32\CCCZ\BABA.exe

C:\WINDOWS\system32\eXtream.exe

C:\WINDOWS\System32\wbem\scrcons32.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\CCCZ

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\LEGACY_MSN_RAV

-------\MSN RAV

((((((((((((((((((((((((( Files Created from 2007-10-05 to 2007-11-05 )))))))))))))))))))))))))))))))

.

2007-11-05 20:12

2007-11-05 20:10

2007-11-05 19:21 374,784 -r-hsc— C:\WINDOWS\system32\dllcache\mravsc32.exe

2007-11-05 19:16 394,240 --a------ C:\WINDOWS\system32\fu1.exe

2007-11-05 18:16 462,848 --a------ C:\WINDOWS\system32\G0ahic.exe

2007-11-05 15:49 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-11-05 15:20 552,960 --a------ C:\WINDOWS\system32\eXtream.exe

2007-11-05 15:18 394,240 -r-hs---- C:\WINDOWS\system\msnrav.exe

2007-11-05 14:54

2007-11-05 14:36

2007-11-05 14:36 298,496 --a------ C:\WINDOWS\unin0415.exe

2007-11-05 12:51 1,156 --a------ C:\WINDOWS\mozver.dat

2007-11-05 12:32

2007-11-05 12:32 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2007-11-05 12:31

2007-11-05 12:28 360,448 --a–c— C:\WINDOWS\system32\dllcache\qmgr.dll

2007-11-05 12:28 331,776 --a------ C:\WINDOWS\system32\winhttp.dll

2007-11-05 12:28 331,776 --a–c— C:\WINDOWS\system32\dllcache\winhttp.dll

2007-11-05 12:28 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll

2007-11-05 12:28 17,408 --a–c— C:\WINDOWS\system32\dllcache\qmgrprxy.dll

2007-11-05 12:28 7,680 -----c— C:\WINDOWS\system32\dllcache\bitsprx2.dll

2007-11-05 12:28 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll

2007-11-05 12:28 7,168 -----c— C:\WINDOWS\system32\dllcache\bitsprx3.dll

2007-11-05 12:28 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll

2007-11-05 12:13

2007-11-05 12:09 549,720 --a------ C:\WINDOWS\system32\wuapi.dll

2007-11-05 12:09 325,976 --a------ C:\WINDOWS\system32\wucltui.dll

2007-11-05 12:09 43,352 --a------ C:\WINDOWS\system32\wups2.dll

2007-11-05 12:09 33,624 --a------ C:\WINDOWS\system32\wups.dll

2007-11-05 12:05

2007-11-05 12:03

2007-11-05 12:02

2007-11-05 11:07 0 --a------ C:\WINDOWS\nsreg.dat

2007-11-05 11:00

2007-11-05 09:56 57,856 --a------ C:\WINDOWS\system32\drivers\redbook.sys

2007-11-05 09:56 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2007-11-05 09:56 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys

2007-11-05 09:55 70,144 --a------ C:\WINDOWS\system32\usbui.dll

2007-11-05 09:55 26,112 --a------ C:\WINDOWS\system32\drivers\SISAGP.SYS

2007-11-05 09:54

2007-11-05 09:53

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-11-05 09:29 32 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg

2007-11-05 09:27 --------- d–h--w C:\Program Files\InstallShield Installation Information

2007-11-05 09:27 --------- d-----w C:\Program Files\SAGEM

2007-11-05 09:27 --------- d-----w C:\Documents and Settings\Tomek\Dane aplikacji\InstallShield

2007-11-05 09:17 502,368 ----a-w C:\WINDOWS\system32\drivers\amon.sys

2007-11-05 09:17 274,432 ----a-w C:\WINDOWS\system32\imon.dll

2007-11-05 09:10 --------- d-----w C:\Program Files\microsoft frontpage

2007-11-05 09:08 --------- d-----w C:\Program Files\Usługi online

2002-09-20 18:05:24 496,640 --sh–r C:\WINDOWS\system32\phhiezjjw.exe

.

((((((((((((((((((((((((((((( snapshot@2007-11-05_22.08.26.37 )))))))))))))))))))))))))))))))))))))))))

.

2007-03-13 09:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2007-11-05 10:17]

“Cmaudio”=“cmicnfg.cpl” []

“NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2003-10-06 15:16]

“nwiz”=“nwiz.exe” [2003-10-06 15:16 C:\WINDOWS\system32\nwiz.exe]

“st4rbukcs”=“C:\WINDOWS\System32\CCCZ\BABA.exe” []

“SDFix”=“C:\SDFix\RunThis.bat /second” []

“Windows Service Ag3nt”=“phhiezjjw.exe” [2002-09-20 19:05 C:\WINDOWS\system32\phhiezjjw.exe]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 01:11]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-09-20 19:05]

“NvMediaCenter”=“C:\WINDOWS\System32\NVMCTRAY.DLL” [2003-10-06 15:16]

“Gadu-Gadu”=“D:\Gadu-Gadu\gg.exe” [2007-07-09 08:39]

“Windows Service Ag3nt”=“phhiezjjw.exe” [2002-09-20 19:05 C:\WINDOWS\system32\phhiezjjw.exe]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]

“Windows Service Ag3nt”=phhiezjjw.exe

[HKEY_USERS.default\software\microsoft\windows\currentversion\runonce]

“HOT FIX”=G0ahic.exe

[HKEY_USERS.default\software\microsoft\windows\currentversion\run]

“HOT FIX”=G0ahic.exe

“Windows Service Ag3nt”=phhiezjjw.exe

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2007-11-05 10:27:56]

R2 Distributed Allocated Memory Unit;Distributed Allocated Memory Unit;“C:\WINDOWS\system32\dllcache\mravsc32.exe”

R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINDOWS\System32\DRIVERS\e4usbaw.sys

S2 E4LOADER;General Purpose USB Driver (e4ldr.sys);C:\WINDOWS\System32\Drivers\e4ldr.sys

.

**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-05 22:18:01

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2007-11-05 22:18:41 - machine was rebooted

C:\ComboFix2.txt … 2007-11-05 22:08

.

— E O F —

Gutek · 5 Listopad 2007 22:23

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Najpierw auto mat później reszta

Pobierz program SDFix