Prosze o sprawdzenie logów z Hijack i ComboFix


(Adsar30) #1

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:51:05, on 2009-02-04

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Matinsoft\GoldTach\GoldTach.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TrueCrypt\TrueCrypt.exe

C:\WINDOWS\system32\igfxext.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\DOCUME~1\adam\USTAWI~1\Temp\RtkBtMnt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

O4 - HKLM..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM..\Run: [GoldTach] C:\Program Files\Matinsoft\GoldTach\GoldTach.exe

O4 - HKLM..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKCU..\Run: [TrueCrypt] "C:\Program Files\TrueCrypt\TrueCrypt.exe" /q preferences

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

--

End of file - 5846 bytes


Od kilku dni komp przeraźliwie zwalnia,muli nawet na najprostszych operacjach. Mam stale aktualizowanego Spybota, antywir, czyszczę rejestr ze śmieci,a jednak...

Z góry dziękuję za wskazówki


(Leon$) #2

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 uruchom dwuklikiem pokaż log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

:slight_smile:


(Adsar30) #3

ComboFix:

ComboFix 09-02-04.01 - adam 2009-02-04 20:32:08.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.2038.1528 [GMT 1:00]

Uruchomiony z: c:\documents and settings\adam\Pulpit\ComboFix.exe

AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)

FW: Kaspersky Internet Security *disabled*

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

.

((((((((((((((((((((((((( Pliki utworzone od 2009-01-04 do 2009-02-04 )))))))))))))))))))))))))))))))

.

2009-02-04 19:48 . 2009-02-04 19:48

2009-01-30 19:03 . 2009-02-04 20:28

2009-01-30 18:39 . 2009-02-04 20:15

2009-01-30 18:39 . 2009-01-30 18:39

2009-01-30 18:39 . 2009-01-30 18:39

2009-01-28 19:15 . 2009-01-28 19:15

2009-01-26 13:13 . 2009-01-26 13:13

2009-01-26 13:12 . 2007-05-16 16:45 3,497,832 --a------ c:\windows\system32\d3dx9_34.dll

2009-01-26 12:52 . 2005-05-26 15:34 2,297,552 --a------ c:\windows\system32\d3dx9_26.dll

2009-01-26 11:21 . 2001-10-26 16:57 12,160 --a------ c:\windows\system32\drivers\mouhid.sys

2009-01-26 11:21 . 2008-04-14 00:15 10,368 --a------ c:\windows\system32\drivers\hidusb.sys

2009-01-24 21:11 . 2009-01-24 21:11

2009-01-24 00:25 . 2009-01-24 00:33

2009-01-23 22:47 . 2009-02-04 20:20

2009-01-23 20:28 . 2009-02-04 20:18

2009-01-23 18:53 . 2009-01-23 18:53

2009-01-23 18:26 . 2009-01-23 18:26 108 --a------ c:\windows\VplayerINI.vpl

2009-01-23 18:21 . 2009-01-23 18:26 2,300 --a------ c:\windows\VPlayer.INI

2009-01-23 16:23 . 2009-01-23 16:23

2009-01-23 16:21 . 2009-01-23 16:21

2009-01-23 13:46 . 2009-01-23 13:46 421 --a------ c:\windows\ODBC.INI

2009-01-23 13:44 . 2009-01-23 13:45

2009-01-23 00:18 . 2009-01-23 00:18

2009-01-22 23:57 . 2009-02-04 20:24

2009-01-22 23:44 . 2009-02-04 20:18

2009-01-22 23:34 . 2009-01-22 23:34

2009-01-22 23:34 . 2003-03-19 04:14 499,712 --a------ c:\windows\system32\msvcp71.dll

2009-01-22 23:33 . 2009-01-22 23:33

2009-01-22 23:27 . 2009-01-22 23:27

2009-01-22 23:15 . 2009-01-22 23:15

2009-01-22 23:14 . 2009-01-22 23:14

2009-01-22 23:14 . 2009-01-22 23:15

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-04 17:08 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Spybot - Search Destroy

2009-02-04 16:04 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab

2009-02-04 16:02 3,876 --sha-w c:\windows\system32\drivers\fidbox2.idx

2009-02-04 16:02 204,832 --sha-w c:\windows\system32\drivers\fidbox2.dat

2009-02-04 16:02 12,332 --sha-w c:\windows\system32\drivers\fidbox.idx

2009-02-04 16:02 1,172,000 --sha-w c:\windows\system32\drivers\fidbox.dat

2009-02-04 14:30 33,808 ----a-w c:\windows\system32\drivers\klbg.sys

2009-02-03 17:25 89,601 ----a-w c:\windows\system32\drivers\klick.dat

2009-02-03 17:25 101,287 ----a-w c:\windows\system32\drivers\klin.dat

2009-01-26 12:13 --------- d--h--w c:\program files\InstallShield Installation Information

2009-01-23 18:46 --------- d-----w c:\documents and settings\adam\Dane aplikacji\TrueCrypt

2009-01-22 22:53 --------- d-----w c:\program files\RegCleaner

2009-01-22 22:33 --------- d-----w c:\documents and settings\adam\Dane aplikacji\Winamp

2009-01-22 22:01 --------- d-----w c:\program files\Spybot - Search Destroy

2009-01-22 21:41 410,984 ----a-w c:\windows\system32\deploytk.dll

2009-01-22 21:41 --------- d-----w c:\program files\Java

2009-01-22 21:32 --------- d-----w c:\program files\Winamp

2009-01-22 21:29 --------- d-----w c:\program files\TrueCrypt

2009-01-22 21:11 215,872 ----a-w c:\windows\system32\drivers\truecrypt.sys

2009-01-22 21:10 --------- d-----w c:\program files\ATnotes

2009-01-22 21:09 --------- d-----w c:\program files\FastStone Capture

2009-01-22 21:09 --------- d-----w c:\program files\Astonsoft

2009-01-22 21:09 --------- d-----w c:\documents and settings\adam\Dane aplikacji\FastStone

2009-01-22 21:07 --------- d-----w c:\program files\Vplayer

2009-01-22 21:02 --------- d-----w c:\program files\Kaspersky Lab

2009-01-22 21:01 --------- d-----w c:\program files\CCleaner

2009-01-22 21:01 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files

2009-01-22 20:59 38,599 ----a-w c:\windows\system32\drivers\tsmali.sys

2009-01-22 20:59 --------- d-----w c:\program files\Matinsoft

2009-01-22 20:51 --------- d-----w c:\program files\Realtek

2009-01-22 20:51 --------- d-----w c:\program files\Common Files\InstallShield

2009-01-22 20:49 --------- d-----w c:\program files\Synaptics

2009-01-22 20:37 --------- d-----w c:\program files\Intel

2009-01-22 20:36 --------- d-----w c:\program files\Launch Manager

2009-01-22 20:24 --------- d-----w c:\program files\Usługi online

2009-01-22 20:21 --------- d-----w c:\program files\Windows Media Connect 2

2008-12-11 00:33 86,016 ----a-w c:\windows\system32\dpl100.dll

2008-12-08 11:53 57,344 ----a-w c:\windows\system32\ff_vfw.dll

2008-12-07 18:08 795,648 ----a-w c:\windows\system32\xvidcore.dll

2008-12-07 18:08 130,048 ----a-w c:\windows\system32\xvidvfw.dll

2008-11-06 16:37 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll

2008-11-06 16:33 684,032 ----a-w c:\windows\system32\divx.dll

.

------- Sigcheck -------

2008-05-02 07:48 361344 8e036eec565910417ea020ce0962aa24 c:\windows\system32\drivers\tcpip.sys

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TrueCrypt"="c:\program files\TrueCrypt\TrueCrypt.exe" [2009-01-22 1353408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LManager"="c:\progra~1\LAUNCH~1\QtZgAcer.EXE" [2007-07-09 471040]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2007-07-09 94208]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-07-09 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2007-07-09 118784]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-29 766041]

"GoldTach"="c:\program files\Matinsoft\GoldTach\GoldTach.exe" [2006-04-27 233472]

"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-02-04 201992]

"RTHDCPL"="RTHDCPL.EXE" [2007-07-09 c:\windows\RTHDCPL.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2008-03-01 c:\windows\system32\advpack.dll]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\Network Diagnostic\xpnetdiag.exe"=

"%windir%\system32\sessmgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]

R1 Tahi;Tahi;c:\windows\system32\drivers\Tahi.sys [2006-04-25 36262]

R1 TsMali;TsMali;c:\windows\system32\drivers\tsmali.sys [2009-01-22 38599]

R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-03-25 24592]

.

.

------- Skan uzupełniający -------

.

uStart Page = about:blank

IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

LSP: tasp.dll

FF - ProfilePath - c:\documents and settings\adam\Dane aplikacji\Mozilla\Firefox\Profiles\cmnm3rie.default\

FF - prefs.js: browser.search.selectedEngine - Wikipedia (pl)

FF - prefs.js: browser.startup.homepage - www.onet.pl

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-04 20:33:20

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

  • 'winlogon.exe'(1164)

c:\windows\system32\klogon.dll

.

Czas ukończenia: 2009-02-04 20:34:59

ComboFix-quarantined-files.txt 2009-02-04 19:34:56

Przed: 17 116 794 880 bajtów wolnych

Po: 17,108,000,768 bajtów wolnych

156


(Leon$) #4

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

lub

Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2 ... It!+4.44.5

:slight_smile:


(Adsar30) #5

Zmiana w rejestrze wprowadzona. Skaner niczego nie znalazł. Cleanera systematycznie używam.

Optymalizacji przez msconfig nie zrobię,bo nie uruchamia mi się polecenie...

Zobaczymy jak dalej będzie, póki co dzięki wielkie za zerknięcie na logi :smiley:


(JNJN) #6

Proszę zmienić temat na konkretny, opcja EDYTUJ i popraw.JNJN

Zasady wklejania logów, poczytaj.

viewtopic.php?f=16&t=253052