Anselmo
(M Makowski)
2 Sierpień 2009 08:51
#1
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:38:43, on 2009-08-02
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
c:\program files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.comodo.com/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\2.bin\A2SRCHAS.DLL
R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\2.bin\A2SRCHAS.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\2.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\2.bin\ASKSBAR.DLL
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll
O3 - Toolbar: Copernic Desktop Search - Home Toolbar - {4A1C6093-14F9-44D7-860E-5D265CFCA9D9} - C:\Program Files\Copernic Desktop Search - Home\Toolbar\ToolbarContainer101000311.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKCU\..\Run: [Copernic Desktop Search - Home] "C:\Program Files\Copernic Desktop Search - Home\DesktopSearchService.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
–
End of file - 4300 bytes
ciemnowidz
(Henio Mazurek)
2 Sierpień 2009 08:54
#2
Aleś wylewny. Kilka zbędnych toolbarów + infekcja, ale pokaż logi z OTL i GMER
Logi wklej na wklej.org a tutaj tylko link do wklejki, nie wklejaj przez code.
Anselmo
(M Makowski)
2 Sierpień 2009 09:27
#3
Załączam linki. Z objawów to nie można odtworzyć dysku, tylko przez eksplorera.
http://www.wklej.org/id/129318/
http://wklej.org/id/129320/
GMER w toku :o
ciemnowidz
(Henio Mazurek)
2 Sierpień 2009 09:38
#4
Na przyszłość zwracaj uwagę co instalujesz. W OTL wklej
:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) IE - URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net \tbfre1.dll (Conduit Ltd.) O2 - BHO: (Ask Search Assistant BHO) - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Program Files\AskSBar\SrchAstt\2.bin\A2SRCHAS.DLL (Ask.com ) O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net \tbfre1.dll (Conduit Ltd.) O2 - BHO: (Ask Toolbar BHO) - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\2.bin\ASKSBAR.DLL (Ask.com ) O3 - HKLM…\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net \tbfre1.dll (Conduit Ltd.) 03 - HKLM…\Toolbar: (Ask Toolbar) - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\2.bin\ASKSBAR.DLL (Ask.com ) O3 - HKU\S-1-5-21-1343024091-1682526488-839522115-1004…\Toolbar\ShellBrowser: (Ask Toolbar) - {F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\2.bin\ASKSBAR.DLL (Ask.com ) O3 - HKU\S-1-5-21-1343024091-1682526488-839522115-1004…\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net \tbfre1.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-1343024091-1682526488-839522115-1004…\Toolbar\WebBrowser: (Ask Toolbar) - {F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA} - C:\Program Files\AskSBar\bar\2.bin\ASKSBAR.DLL (Ask.com ) O4 - HKU\S-1-5-21-1343024091-1682526488-839522115-1004…\Run: [cdoosoft] C:\WINDOWS\System32\olhrwef.exe File not found O32 - AutoRun File - [2009-06-07 00:11:21 | 00,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-06-07 00:11:21 | 00,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] O33 - MountPoints2{4f545c25-e628-11dc-9583-806d6172696f}\Shell\AutoRun\command - “” = sm.exe O33 - MountPoints2{4f545c25-e628-11dc-9583-806d6172696f}\Shell\open\Command - “” = sm.exe :Files C:\Program Files\free-downloads.net C:\Program Files\mozilla firefox\plugins\NPAskSBr.dll C:\Program Files\AskSBar :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]
Klikasz Run Fix. Po restarcie klikasz Run Scan i wklejasz log.
Anselmo
(M Makowski)
2 Sierpień 2009 09:47
#5
Trochę nie kumam. W OTL - okno custom sacnas/fixes nam wkleić ten Twój log a potem fix, a potem restart i jeszcze raz scan ?
ciemnowidz
(Henio Mazurek)
2 Sierpień 2009 09:52
#6
Tak, w dolne białe okienko programu wklejasz ten skrypt, potem klikasz Run Fix. Po restarcie, bo program go zażąda, w OTL klikasz Run Scan i wklejasz powstały log.
Anselmo
(M Makowski)
2 Sierpień 2009 09:58
#7
Dzięki, jestem zielony, więc się dopytuje :roll: Rozumiem, że scan GMER mogę wyłączyć ? Ten nowy log po restarcie też do diagnozy na wklej.org ? Mówisz, że coś zassałem ?
ciemnowidz
(Henio Mazurek)
2 Sierpień 2009 10:35
#8
Poczekaj aż gmer skończy skanować i wklej log, choć pewnie nic nie będzie.
Log co powstanie też dajesz na wklej.org a tu link do niego.
Anselmo
(M Makowski)
2 Sierpień 2009 10:46
#9
Ok, link do loga utowrzonego automatycznie po restarcie/ uruchomieniu OTL. Dyski otwierają się normalnie
– Dodane 02.08.2009 (N) 12:48 –
http://wklej.org/id/129362/
ciemnowidz
(Henio Mazurek)
2 Sierpień 2009 10:56
#10
W OTL klikasz Run Scan i wklejasz nowy log.
Anselmo
(M Makowski)
2 Sierpień 2009 11:20
#11
ciemnowidz
(Henio Mazurek)
2 Sierpień 2009 11:25
#12
Nic już tutaj nie ma. W OTL klikasz CleanUp.
Wyłącz na chwilę przywracanie systemu - XP /Vista
Wykonaj pełny skan Malwarebytes Anti-Malware , jeśli coś znajdzie - usuń i wklej log.
Przeczyść dysk i rejestr CCleaner’em .
Podepnij pamięci przenośne i zastosuj FlashDisinfector
Anselmo
(M Makowski)
2 Sierpień 2009 11:35
#13
Wielkie dzięki =D> Rozumiem, że wszystie zabiegi w podanej kolejności ? Po tym coś zmieniać w zabezpieczeniach. teraz to avira, windows defender ?
ciemnowidz
(Henio Mazurek)
2 Sierpień 2009 11:42
#14
Tak będzie najlepiej.
Nie wiem dokładnie jak działa Windows Defender, ale jako, że masz Avirę, powinno wystarczyć. Dobrze by było też posiadać firewall. Zobacz coś z tych
http://www.searchengines.pl/Zapory-siec … 38712.html
http://www.searchengines.pl/Comodo-Inte … 14012.html