SaveSurf i win32

matiko1212 · 9 Październik 2010 10:47

Siema od niedawna avast wykrywa mi wirusa w pliku savesurf przy starcie kompa od razu się pojawia i nie da się tego wyłączyć ani wykasować powiedzie co robić od razu mówię że jestem zielony w takich sprawach ale mogę dać logi z hijackthis

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 12:42:44, on 2010-10-09

Platform: Windows Vista SP2 (WinNT 6.00.1906)

MSIE: Internet Explorer v7.00 (7.00.6002.18005)

Boot mode: Normal

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\explorer.exe

C:\Program Files\Windows User\winlogon.exe

C:\Program Files\Alwil Software\Avast5\AvastUI.exe

D:\Program Files\DAEMON Tools Lite\DTLite.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Program Files\Mozilla Firefox\plugin-container.exe

D:\stalker\The.Wolfman.2010.PL.DVDRip.XviD-CineBay\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll

R3 - URLSearchHook: Sigma Team Toolbar - {5a089bcd-c7f1-4064-8702-f58d8bd5d61f} - C:\Program Files\Sigma_Team\tbSig0.dll

R3 - URLSearchHook: Softonic-Polska Toolbar - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Config\csrss.exe

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Sigma Team Toolbar - {5a089bcd-c7f1-4064-8702-f58d8bd5d61f} - C:\Program Files\Sigma_Team\tbSig0.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll

O2 - BHO: Softonic-Polska Toolbar - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10_userdata\ggbho.2.dll (file missing)

O3 - Toolbar: Sigma Team Toolbar - {5a089bcd-c7f1-4064-8702-f58d8bd5d61f} - C:\Program Files\Sigma_Team\tbSig0.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: Softonic-Polska Toolbar - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM…\Run: [winlogon] C:\Program Files\Windows User\winlogon.exe

O4 - HKLM…\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui

O4 - HKLM…\Run: [jsafesurf] C:\Windows\System32\drivers\safesurf.exe

O4 - HKCU…\Run: [svchsts] C:\Users\Mateusz\AppData\Local\Temp\svchsts.exe

O4 - HKCU…\Run: [DAEMON Tools Lite] “D:\Program Files\DAEMON Tools Lite\DTLite.exe” -autorun

O4 - HKUS\S-1-5-18…\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -update plugin (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\RunOnce: [FlashPlayerUpdate] C:\Windows\system32\Macromed\Flash\FlashUtil10h_Plugin.exe -update plugin (User ‘Default user’)

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Funkcja Google Sidewiki - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll

O23 - Service: Application Driver Auto Removal Service (01) (appdrvrem01) - Protection Technology - C:\Windows\System32\appdrvrem01.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

O23 - Service: Folding Service #01 (FAH-01) - Stanford University - C:\Program Files\Folding@Home #01\Folding@Home #01\FAH-Console.exe

O23 - Service: Folding Service #02 (FAH-02) - Stanford University - C:\Program Files\Folding@Home #01\Folding@Home #02\FAH-Console.exe

O23 - Service: Usługa Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - E:\Program Files\LogMeIn Hamachi\hamachi-2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe

O23 - Service: NBService - Nero AG - D:\NERO\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

O23 - Service: Windows Updater (Win_Updater) - Micro Software © - C:\Windows\system32\system\svchost.exe

–

End of file - 7503 bytes

spandaupol · 9 Październik 2010 11:18

Podaj log OTL bo infekcja jest i to duża Instrukcja i program tutaj otl-gmer-rsit-dss-inne-instrukcje-t370405.html

Loga wklej na http://www.wklej.org/ a w poście daj tylko linka

matiko1212 · 9 Październik 2010 12:26

Logi z OTL proszę http://www.wklej.org/id/399105/ napiszcie co robić ale tak na zielono xD

spandaupol · 9 Październik 2010 12:48

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - [2010-10-07 18:33:30 | 000,211,968 | ---- | M] (JetSwap) – C:\Windows\System32\drivers\safesurf.exe PRC - [2010-10-07 18:33:30 | 000,019,456 | ---- | M] (JetSwap) – C:\Windows\System32\drivers\surfguard.exe PRC - [2010-08-23 20:41:53 | 001,402,880 | ---- | M] (Micro Software ©) – C:\Windows\System32\system\svchost.exe PRC - [2009-11-04 11:04:40 | 000,335,872 | ---- | M] (Microsoft Corporation) – C:\Program Files\Windows User\winlogon.exe SRV - [2010-08-23 20:41:53 | 001,402,880 | ---- | M] (Micro Software ©) [Auto | Running] – C:\Windows\System32\system\svchost.exe – (Win_Updater) IE - HKU\S-1-5-21-2690211736-1798592647-613442367-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage IE - HKU\S-1-5-21-2690211736-1798592647-613442367-1000…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Ask.com” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…browser.search.selectedEngine: “Ask.com” FF - prefs.js…extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.3.3.123 [2010-07-12 01:32:29 | 000,000,000 | —D | M] – C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\Profiles\krrqugz7.default\extensions\DTToolbar@toolbarnet.com [2010-10-08 17:17:07 | 000,002,557 | ---- | M] () – C:\Users\Mateusz\AppData\Roaming\Mozilla\FireFox\Profiles\krrqugz7.default\searchplugins\askcom.xml [2010-06-16 14:50:05 | 000,002,059 | ---- | M] () – C:\Users\Mateusz\AppData\Roaming\Mozilla\FireFox\Profiles\krrqugz7.default\searchplugins\daemon-search.xml O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-2690211736-1798592647-613442367-1000…\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-F7ED0776FB27} - No CLSID value found. O3 - HKU\S-1-5-21-2690211736-1798592647-613442367-1000…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-2690211736-1798592647-613442367-1000…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM…\Run: [jsafesurf] C:\Windows\System32\drivers\safesurf.exe (JetSwap) O4 - HKLM…\Run: [winlogon] C:\Program Files\Windows User\winlogon.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-2690211736-1798592647-613442367-1000…\Run: [svchsts] C:\Users\Mateusz\AppData\Local\Temp\svchsts.exe File not found O20 - HKLM Winlogon: Shell - (C:\WINDOWS\Config\csrss.exe) - C:\WINDOWS\Config\csrss.exe File not found @Alternate Data Stream - 64 bytes -> C:\Users\Mateusz\Dokumenty\zabjebioza !.mp3:TOC.WMV @Alternate Data Stream - 64 bytes -> C:\Users\Mateusz\Dokumenty\Gothic 4 Arcania MUZYKA___.mp3:TOC.WMV @Alternate Data Stream - 24 bytes -> C:\Windows:B08E26A2EE21E1EB :Files C:\Users\Mateusz\AppData\Local\Temp*.html C:\rvp.exe C:\Windows\System32\system\svchost.exe C:\Windows\System32\drivers\safesurf.exe C:\Windows\System32\drivers\surfguard.exe C:\Program Files\Windows User\winlogon.exe C:\Program Files\Ask.com C:\Program Files\DAEMON Tools Toolbar C:\Program Files\Windows User :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

matiko1212 · 9 Październik 2010 13:07

gdzie jest log z usuwania ?

spandaupol · 9 Październik 2010 13:08

No powinien pojawić się po restarcie komputera chyba że coś źle wkleiłeś zaznaczasz tekst od :OTL kopiujesz i wklejasz w OTL

matiko1212 · 9 Październik 2010 13:12

wszystko wklejłem komp sie zrestartował ale nic się nie pojawiło tylko na pulpicie jakies deskop.ini

– Dodane 09.10.2010 (So) 15:23 –

POMOCY PANOWIE BO MNIE WYKOŃCZY TEN AVAST !

spandaupol · 9 Październik 2010 14:57

Sprawdź czy nie ma go w katalogu C:_OTL\MovedFiles

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

matiko1212 · 9 Październik 2010 15:03

ok zaraz napiszę nie ma sa wpradzie inne foldery ale w nich tez nic nie ma wkleje ci ten log po skasowaniu

– Dodane 09.10.2010 (So) 17:08 –

http://www.wklej.org/id/399187/ proszę logi po skasowaniu

spandaupol · 9 Październik 2010 15:11

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania Avengerem drugi z nowego skanowania po usuwaniu.

matiko1212 · 9 Październik 2010 15:29

log avanger http://www.wklej.org/id/399196/

log OTL http://www.wklej.org/id/399199/

spandaupol · 9 Październik 2010 15:36

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) SRV - File not found [Auto | Stopped] – C:\Windows\System32\system\svchost.exe – (Win_Updater) FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Ask.com” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…browser.search.selectedEngine: “Ask.com” FF - prefs.js…keyword.URL: “http://websearch.ask.com/redirect?client=ff&src=kw&tb=CPUID&o=14654&locale=en_US&apn_uid=53A12855-74AA-46C6-A5B7-9603C23F4475&apn_ptnrs=CV&apn_sauid=E9FE4838-C2EA-4C37-AC0D-AD4DE46CAC63&apn_dtid=&q=” O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKCU…\Toolbar\WebBrowser: (no name) - {00000000-5736-4205-0008-F7ED0776FB27} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O4 - HKLM…\Run: [jsafesurf] C:\Windows\System32\drivers\safesurf.exe File not found O4 - HKLM…\Run: [winlogon] C:\Program Files\Windows User\winlogon.exe File not found O4 - HKCU…\Run: [svchsts] C:\Users\Mateusz\AppData\Local\Temp\svchsts.exe File not found O20 - HKLM Winlogon: Shell - (C:\WINDOWS\Config\csrss.exe) - C:\WINDOWS\Config\csrss.exe File not found @Alternate Data Stream - 64 bytes -> C:\Users\Mateusz\Dokumenty\zabjebioza !.mp3:TOC.WMV @Alternate Data Stream - 64 bytes -> C:\Users\Mateusz\Dokumenty\Gothic 4 Arcania MUZYKA___.mp3:TOC.WMV @Alternate Data Stream - 24 bytes -> C:\Windows:B08E26A2EE21E1EB :Files C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\Profiles\krrqugz7.default\extensions\DTToolbar@toolbarnet.com C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\Profiles\krrqugz7.default\extensions\toolbar@ask.com C:\Users\Mateusz\AppData\Roaming\Mozilla\FireFox\Profiles\krrqugz7.default\searchplugins\askcom.xml C:\Users\Mateusz\AppData\Roaming\Mozilla\FireFox\Profiles\krrqugz7.default\searchplugins\daemon-search.xml C:\Windows\System32\drivers\up.exe C:\Users\Mateusz\AppData\Local\Temp*.html :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

matiko1212 · 9 Październik 2010 15:54

LOG po wykasowaniu http://www.wklej.org/id/399211/

LOG po skanowaniu po wykasowaniu http://www.wklej.org/id/399214/

spandaupol · 9 Październik 2010 16:00

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt.

Uruchom OTL klikasz Sprzątanie

Pobierz Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html Wykonaj pełne skanowanie Pokaż log na forum

spandaupol · 9 Październik 2010 16:19

Dodatkowo przed skanowaniem Wyłacz przywracanie systemu na wszystkich dyskach http://www.vista.pl/artykuly/11250_przy … vista.html

matiko1212 · 9 Październik 2010 17:35

Fajne #-o zobacz sobie to http://www.wklej.org/id/399289/ da się to jakoś usunąć ?

spandaupol · 10 Październik 2010 07:56

Oczywiście. Po skanowaniu klikasz Usuń zaznaczone

matiko1212 · 10 Październik 2010 07:57

zrobiłem tak

spandaupol · 10 Październik 2010 07:58

Powinien powstać nowy log Przejdź do zakładki logi i zobacz czy tam jest

matiko1212 · 10 Październik 2010 07:58

są dwa dlatego że na początku robiłem szybki skan a potem pełny