Rozsyłam spam

wkizet · 4 Listopad 2008 17:21

Witam wszystkich.

Załapałem coś, jakiegoś wirusa. Avast pokazuje mi, że rozsyłam jakąś pocztę, prawdopodobnie spam.

Na ikonce w pasku mam komunikat: avast! scaner poczty (winlogon.exe -> jakis adres, co chwile inny).

Przeskanowalem komputer avastem, ale nic nie znalazl, tzn. w tej chwili, wczesniej znalazl, ale usunal niby i nie pamietam jakie to byly robaki.

Bardzo proszę o przypatrzenie się moim logom, może coś znajdziecie.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:39:29, on 2008-11-04

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

D:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Messenger\msmsgs.exe

D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

D:\Program Files\DAEMON Tools Lite\daemon.exe

D:\Program Files\poleng\Translatica 4\Translatica Integration\bin\win\int\ms-oe\t4oetray.exe

C:\DOCUME~1\wkizet\USTAWI~1\Temp\winlogon.exe

C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe

C:\WINDOWS\system32\nvsvc32.exe

D:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe

D:\Program Files\Stardock\ObjectDock\ObjectDock.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://iglaki.agrosan.pl/fram.htm

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - D:\Program Files\ivo\Expressivo\integr\ih-iexplorer\IH_iexplorer.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_2_0.dll

O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - D:\Program Files\Save Flash\SaveFlash.dll

O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - D:\Program Files\ivo\Expressivo\integr\ih-iexplorer\IH_iexplorer.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [t4oetray] D:\Program Files\poleng\Translatica 4\Translatica Integration\bin\win\int\ms-oe\t4oetray.exe

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\wkizet\USTAWI~1\Temp\winlogon.exe

O4 - Startup: Rejestrowanie produktów Corela.lnk = D:\Program Files\Corel\Graphics9\Register\Remind32.exe

O4 - Startup: Stardock ObjectDock.lnk = D:\Program Files\Stardock\ObjectDock\ObjectDock.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: NaturalColorLoad.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Wybierz kierunek tłumaczenia - {CCCE5D70-9AA2-40F1-9C6B-12A255F08500} - D:\Program Files\poleng\Translatica 4\Translatica Integration\bin\win\int\browser\iepolengextension.dll (HKCU)

O9 - Extra 'Tools' menuitem: Wybierz kierunek tłumaczenia - {CCCE5D70-9AA2-40F1-9C6B-12A255F08500} - D:\Program Files\poleng\Translatica 4\Translatica Integration\bin\win\int\browser\iepolengextension.dll (HKCU)

O9 - Extra button: Tłumacz - {CCCE5D71-9AA2-40F1-9C6B-12A255F08500} - D:\Program Files\poleng\Translatica 4\Translatica Integration\bin\win\int\browser\iepolengextension.dll (HKCU)

O9 - Extra 'Tools' menuitem: Tłumacz - {CCCE5D71-9AA2-40F1-9C6B-12A255F08500} - D:\Program Files\poleng\Translatica 4\Translatica Integration\bin\win\int\browser\iepolengextension.dll (HKCU)

O9 - Extra button: Zachowaj przetłumaczoną stronę - {CCCE5D72-9AA2-40F1-9C6B-12A255F08500} - D:\Program Files\poleng\Translatica 4\Translatica Integration\bin\win\int\browser\iepolengextension.dll (HKCU)

O9 - Extra 'Tools' menuitem: Zachowaj przetłumaczoną stronę - {CCCE5D72-9AA2-40F1-9C6B-12A255F08500} - D:\Program Files\poleng\Translatica 4\Translatica Integration\bin\win\int\browser\iepolengextension.dll (HKCU)

O9 - Extra button: Opcje - {CCCE5D73-9AA2-40F1-9C6B-12A255F08500} - D:\Program Files\poleng\Translatica 4\Translatica Integration\bin\win\int\browser\iepolengextension.dll (HKCU)

O9 - Extra 'Tools' menuitem: Opcje - {CCCE5D73-9AA2-40F1-9C6B-12A255F08500} - D:\Program Files\poleng\Translatica 4\Translatica Integration\bin\win\int\browser\iepolengextension.dll (HKCU)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Diskeeper - Diskeeper Corporation - D:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ScsiAccess - Unknown owner - D:\Program Files\Photodex\ProShowProducer\ScsiAccess.exe

Gutek · 4 Listopad 2008 18:33

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\wkizet\USTAWI~1\Temp\winlogon.exe

usuń wpis HJT

Daj log z ComboFix

wkizet · 4 Listopad 2008 19:09

Oto log

ComboFix 08-11-03.06 - wkizet 2008-11-04 20:03:20.1 - NTFSx86

Gutek · 4 Listopad 2008 19:20

Wklej do Notatnika:

File::

c:\windows\system32\stus.exe

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html

wkizet · 4 Listopad 2008 20:06

Log

ComboFix 08-11-03.06 - wkizet 2008-11-04 20:45:33.2 - NTFSx86

Gutek · 4 Listopad 2008 20:11

Wlejaj logi wg zasady - viewtopic.php?f=16&t=253052

Proszę pobrać i użyć Malwarebytes’ Anti-Malware

Wciskamy Skanuj , wybieramy dyski do skanowania i Rozpoczynamy skanowanie , na końcu wciskamy Usuń zaznaczone jak będą i Ok

wkizet · 4 Listopad 2008 20:38

Serdeczne dzieki za pomoc, walka do końca, nie format to jest to.

Pozdrawiam.

Gutek · 4 Listopad 2008 20:44

Było coś, czy o zagrożeń?

wkizet · 5 Listopad 2008 05:38

Jakis trojan-agent. Tylko on.

Gutek · 5 Listopad 2008 10:22

Powinno w takim układzie już być Ok