Sprawdzenie logów, komputer duzo wysyla (spam?) HELP!

Dla specjalistów Bezpieczeństwo
#1

oto log, bardzo proszę o pomoc:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 23:41:51, on 2010-05-02

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\ArcaBit\Common\ArcaBit.Core.Configurator2.exe

D:\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe

D:\ArcaBit\Common\ArcaTasksService.exe

D:\ArcaBit\ArcaUpdate\update.exe

C:\Program Files\cFosSpeed\spd.exe

C:\Program Files\Common Files\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe

C:\Program Files\Common Files\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe

C:\Program Files\LogMeIn Hamachi\hamachi-2.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

C:\Program Files\NETGATE\Spy Emergency\SpyEmergencySrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Pen_Tablet.exe

C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

D:\ArcaBit\ArcaVir\ArcaMainSV.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe

C:\WINDOWS\system32\WTablet\Pen_TabletUser.exe

C:\WINDOWS\system32\Pen_Tablet.exe

D:\ArcaBit\ArcaVir\AVMenu.exe

C:\WINDOWS\system32\systray32.exe

C:\WINDOWS\system32\ctfmon.exe

D:\ArcaBit\ArcaVir\arcavir.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=Explorer.exe svchîst.exe

O1 - Hosts: 89.74.73.238 l2authd.lineage2.com

O1 - Hosts: 89.74.73.238 l2testauthd.lineage2.com

O1 - Hosts: 216.107.250.194 nprotect.lineage2.com

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\Snagit 9\SnagitBHO.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Tomasz\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll

O2 - BHO: SMTTB2009 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\HyperCam Toolbar\tbcore3.dll

O3 - Toolbar: Snagit - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\Snagit 9\SnagitIEAddin.dll

O3 - Toolbar: HyperCam Toolbar - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\HyperCam Toolbar\tbcore3.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O4 - HKLM\..\Run: [12488] C:\DOCUME~1\Henryk\USTAWI~1\Temp\nrktcvy.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AvMenu] D:\ArcaBit\ArcaVir\AVMenu.exe

O4 - HKLM\..\Run: [ABRegmon] D:\ArcaBit\ArcaVir\abregmon.exe

O4 - HKCU\..\Run: [systray] C:\WINDOWS\system32\systray32.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Policies\Explorer\Run: [s8g3] C:\DOCUME~1\Henryk\USTAWI~1\Temp\qhj0.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - D:\ArcaBit\WebExtensions\ie\ArcaIEExt.dll

O9 - Extra 'Tools' menuitem: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - D:\ArcaBit\WebExtensions\ie\ArcaIEExt.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{DF484EE4-50C8-4533-8106-8599050CD148}: NameServer = 83.238.76.38,213.241.79.37

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: fccddaWP - fccddaWP.dll (file missing)

O20 - Winlogon Notify: kbupdate - kbupdate.dll (file missing)

O20 - Winlogon Notify: mlJBQGyw - mlJBQGyw.dll (file missing)

O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: ArcaBit Main Service (ABMainSV) - ArcaBit - D:\ArcaBit\ArcaVir\ArcaMainSV.exe

O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe

O23 - Service: ArcaBit.Core.Configurator - ArcaBit - D:\ArcaBit\Common\ArcaBit.Core.Configurator2.exe

O23 - Service: ArcaBit.Core.LoggingService - ArcaBit - D:\ArcaBit\Common\ArcaBit.Core.LoggingService.exe

O23 - Service: ArcaBit Control (ArcaRemoteService) - Unknown owner - D:\ArcaBit\ArcaAgent\ArcaRemoteSvc.exe

O23 - Service: ArcaBit Tasks Service (AVTasks2) - ArcaBit - D:\ArcaBit\Common\ArcaTasksService.exe

O23 - Service: ArcaBit Update Service (AVUpdate) - ArcaBit - D:\ArcaBit\ArcaUpdate\update.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe

O23 - Service: Emma Device Management (EmmaDevMgmtSvc) - Sony Ericsson Mobile Communications - C:\Program Files\Common Files\Sony Ericsson\Emma Core\Services\EmmaDeviceMgmt.exe

O23 - Service: Emma Update Management (EmmaUpdMgmtSvc) - Sony Ericsson Mobile Communications - C:\Program Files\Common Files\Sony Ericsson\Emma Core\Services\EmmaUpdateMgmt.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Menedżer Google Desktop 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sony Ericsson OMSI download service (OMSI download service) - Unknown owner - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

O23 - Service: Spy Emergency Engine Service (SpyEmrgSrv) - NETGATE Technologies s.r.o. - C:\Program Files\NETGATE\Spy Emergency\SpyEmergencySrv.exe

O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\WINDOWS\system32\Pen_Tablet.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe

O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe


--

End of file - 11830 bytes
#2

Zawartość logów wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Jest infekcja, ale HijackThis jej nie usunie.

Przed uruchomieniem poniższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Pokaż logi z narzędzi OTL + GMER.

OTL ustawiasz jak na tym obrazku.

Klikasz Run Scan.

Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt

#3

Niestety, Windows XP się nie odpala po tym, gdy GMER się zaciął, mam jeszcze WIN7, pod którą robię GMER’a (zaznaczam tam dysk z xp’kiem), gdyż OTL przeskanowałby tylko WIn7.

Teraz widzę, że nie wykrywa tych samych błędów :confused: Mam tam straszliwie ważne pliki, które opalę tylko pod XP, proszę, pomóżcie.

Lada moment dam skana GMER’a robionego pod 7-ką.

EDIT: Jak opalić windę XP w trybie awaryjnym? Mam “wybierajkę” systemu i tryb awaryjny jest dostępny tylko w przypadku win7 a w przypadku “wcześniejszej wersji systemu windows” już nie.

Edit2: http://wklej.to/Y26i - nie wykrywa nic co wykrył w xp’ku - tam był ogrom błędów.

#4

Jak to się nie odpala? Co się dzieje przy próbie uruchomienia systemu?

Możesz przejść do trybu awaryjnego? http://technet.microsoft.com/pl-pl/libr … 10%29.aspx

To też nie zadziała, gdyż GMER musi być uruchamiany w działającym, zainfekowanym systemie.

#5

a więc tak, przechodzę do trybu awaryjnego i nie ładują się składniki systemu.

Mam filmik tym co widać na ekranie gdy sie ładowanie trybu awaryjnego ładuje.

Ściągnąłem AVG Rescue CD, którym chcę przeskanować system, co robić?

#6

Próbowałeś jeszcze skorzystać z opcji Ostatnia dobra konfiguracja??

Czasami się zdarza, że GMER potrafi wywołać poważny błąd powodujący pojawienie się bluescreenu, ale rzadko kiedy to powoduje całkowite unieruchomienie systemu…

#7

Zaraz sprawdzę, bluescreena nie było, see you za 5 minut…

Dodane 03.05.2010 (Pn) 14:05

To samo, black screen.

Na pw zaraz wyślę filmy z tego co mi się pojawia przy wyborze.

Dodane 03.05.2010 (Pn) 14:35

Co mogę z tym zrobić?

#8

Niestety ale to wygląda dosyć poważnie. Albo tutaj winny jest uszkodzony dysk dysk, albo ten cały TuneUp Backup (to jest tworzone przez znany program TuneUp).

Na początek proponuję uruchomić Konsolę Odzyskiwania i wykonać spod niej polecenie: chkdsk /r

#9

Muszę mieć płytę z xp’kiem?

#10

Tak.

#11

To już sciągam, nie chce mi sie szukać i biegać po sąsiadach, jak zrobię wyślę Ci pw :wink:

#12

A co to ma być? Skąd ty masz system skoro nie z płyty?

#13

Do komputera miałem oryginalnie dołączony system Windows XP, lecz nie chce mi się przebierać w płytach, pudełkach, najprawdopodobniej jest w drugim mieszkaniu. :wink:

Wypalę ISO na płytę jako kopia zapasowa :wink:

Dodane 03.05.2010 (Pn) 19:22

Konsola odzyskiwania prosi o dyskietkę?! Skąd mam wziąć dyskietkę, no i gdzie ją wsadzę jak nie mam wejścia?

#14

aksamit , nazwij temat konkretnie i popraw posty z logami, inaczej zostanie usunięty.

zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html