janta
13 Październik 2007 17:49
#1
nie wiem co zrobiłam ale mam pełno smieci i to nie dobrych w komputerze,objawy:czerwony monitor z jakimś robaczkiem,włanczają mi sie same i wyłanczaja programy,samo sie cos pobiera z netu,mam rozrastajacy sie stale plik Temp i nie moge wywalic wiele rzeczy z kompa wklejam loga prosze o sprawdzenie
Logfile of HijackThis v1.99.1 Scan saved at 19:44:28, on 2007-10-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\brss01a.exe C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe C:\Program Files\Eset\nod32krn.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Program Files\YourPrivacyGuard\UGDCcw.exe C:\Program Files\Common Files\YourPrivacyGuard\mc.exe C:\Program Files\YourPrivacyGuard\GDC.exe C:\WINDOWS\explorer.exe C:\Documents and Settings\ania\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: MSVPS System - {15272B08-F6FE-4E71-B2BD-A59AD23EBE3C} - C:\WINDOWS\bndsrmnf.dll O3 - Toolbar: The netadv - {D1413F77-5B69-4562-84E1-78F997794E9D} - C:\WINDOWS\netadv.dll O4 - HKLM…\Run: [sSBkgdUpdate] “C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” -Embedding -boot O4 - HKLM…\Run: [indexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe O4 - HKLM…\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe O4 - HKLM…\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [YourPrivacyGuard] “C:\Program Files\YourPrivacyGuard\GDC.exe” O4 - HKLM…\Run: [ugdccw] “C:\PROGRA~1\YOURPR~1\UGDCcw.exe” -start O4 - HKLM…\Run: [salestart] “C:\Program Files\Common Files\YourPrivacyGuard\mc.exe” dm=http://yourprivacyguard.com;’>http://yourprivacyguard.com ; ad=http://yourprivacyguard.com O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [speedX] C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe O4 - HKCU…\Run: [uTorrent] “C:\Program Files\uTorrent\uTorrent.exe” O4 - HKCU…\Run: [YourPrivacyGuard] C:\Program Files\YourPrivacyGuard\GDC.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O21 - SSODL: msvb - {8BD0E016-927F-409C-9733-DD4E745DF688} - C:\WINDOWS\msvb.dll O21 - SSODL: sysdx - {1AFDB322-C844-47CF-BC53-04C119165B87} - C:\WINDOWS\sysdx.dll (file missing) O21 - SSODL: msmhost - {0409A7E4-431B-4BA2-B603-EBE01D686E66} - C:\WINDOWS\msmhost.dll (file missing) O21 - SSODL: msmdev - {B42D2311-53A0-4188-8866-D6B9320311D6} - C:\WINDOWS\msmdev.dll (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
jessica
13 Październik 2007 19:10
#2
Na “dobry początek”:
Użyj -->SmitfraudFix
Użyj go z opcji “Clean”, czyli wpisz 2 i naciśnij ENTER.
Po jego użyciu może zajść potrzeba ustawiania od nowa tapety (czyli prawoklik na ekranie>>właściwości, itd. )
Daj z niego raport z C:\SmitfraudFix.txt
Instrukcja obsługi: 1. Zastartuj komputer do trybu awaryjnego co jest opisane TUTAJ. (można spróbować najpierw usuwać w Trybie Normalnym -często to się udaje) 2.Uruchom SmitfraudFix.exe ( podwójnie go kliknij) 3. Zainicjuje się linia komend i dostaniesz pierwszy z ekranów z prośbą o “wciśniecie jakiegokolwiek klawisza by kontynuować” więc z klawiatury ENTER: 4. Dostaniesz menu wyboru opcji na niebieskim ekranie: wpisz 2 i naciśnij ENTER 5. Zostanie uruchomione czyszczenie właściwe rozpoczęte od zabicia procesu explorer.exe (zniknie Pulpit i pasek zadań). Następnie padnie pytanie Do you want to clean the registry? - wpisz z klawiatury Y i ENTER, co zainicjuje usuwania kluczyków i restrykcji tapetek. 6.W dalszej kolejności narzędzie sprawdzi czy plik wininet.dll jest zainfekowany a jeśli tak, to może paść pytanie o podmianę pliku, o ile czystą kopię znaleziono: Replace infected file? = Y i ENTER. Jeśli „wininet” nie jest zarażony, to to zostanie pominięte. 7.Finalnie może być wymagany restart komputera by ukończyć usuwanie.
Potem:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2 O2 - BHO: MSVPS System - {15272B08-F6FE-4E71-B2BD-A59AD23EBE3C} - C:\WINDOWS\bndsrmnf.dll O3 - Toolbar: The netadv - {D1413F77-5B69-4562-84E1-78F997794E9D} - C:\WINDOWS\netadv.dll O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [YourPrivacyGuard] “C:\Program Files\YourPrivacyGuard\GDC.exe” O4 - HKLM…\Run: [ugdccw] “C:\PROGRA~1\YOURPR~1\UGDCcw.exe” -start O4 - HKLM…\Run: [salestart] “C:\Program Files\Common Files\YourPrivacyGuard\mc.exe” dm=http://yourprivacyguard.com;’>http://yourprivacyguard.com ; ad=http://yourprivacyguard.com O4 - HKCU…\Run: [YourPrivacyGuard] C:\Program Files\YourPrivacyGuard\GDC.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O21 - SSODL: msvb - {8BD0E016-927F-409C-9733-DD4E745DF688} - C:\WINDOWS\msvb.dll O21 - SSODL: sysdx - {1AFDB322-C844-47CF-BC53-04C119165B87} - C:\WINDOWS\sysdx.dll (file missing) O21 - SSODL: msmhost - {0409A7E4-431B-4BA2-B603-EBE01D686E66} - C:\WINDOWS\msmhost.dll (file missing) O21 - SSODL: msmdev - {B42D2311-53A0-4188-8866-D6B9320311D6} - C:\WINDOWS\msmdev.dll (file missing)
Te w/w wpisy sfiksuj w Hijacku (jeśli jeszcze będą):
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Potem ściągnij -->ComboFix
Wklej do Notatnika :
File::
C:\WINDOWS\bndsrmnf.dll
C:\Program Files\YourPrivacyGuard\UGDCcw.exe
C:\Program Files\Common Files\YourPrivacyGuard\mc.exe
C:\Program Files\YourPrivacyGuard\GDC.exe
Folder::
C:\Program Files\YourPrivacyGuard
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Potem daj tu:
raport SmitfraudFixa
Log z ComboFixa
Log wklej na http://wklej.org/
jessi
janta
13 Październik 2007 20:02
#3
komouter pracuje gorzej niż źle,ale biore sie do pracy,dzieki za pomoc odezwe sie po pracy mam nadzieje ze udanej
Złączono Posta : 14.10.2007 (Nie) 12:55
No już zrobiłam wczoraj cos mi nie chciał ComboFix zrobić raportu,rano mks-online wyrzucił mi dwa wirusy i jednego szpiega,ale nie skanuje do konca komputera zawiesza sie ,pewnie jeszcze cos tu jest
loga z Combo i raport z SmitfraudFiksa wykonałam i wkleiłam
http://wklej.org/id/c2e1840856
czekam na wskazówki,dzieki
Złączono Posta : 14.10.2007 (Nie) 13:13
aha to może być istotne,podczas pracy ComboFixa wyskakuje mi okienko,z napisem ze '‘wystąpił problem z aplikacją sed.cfexe i zostanie ona zamknięta’'i musze poruszyc myszką a czytałam ze przy pracy Combo nie powinno sie wogóle ruszać myszką
jessica
14 Październik 2007 15:19
#4
Twój log z Hijacka jest tu: http://wklej.org/id/0029f19935
Po obejrzeniu logów i raportu mogę powiedzieć: “wiem, że nic nie wiem”.
Ani w raporcie SmitfraudFixa, ani w logu ComboFixa, nie ma śladów usuwania.
Z drugiej jednak strony nie ma też tego, co miało być usuwane.
Prawdopodobnie więc ten raport i log są zafałszowane, powtórkowe.
Spróbuj jeszcze usunąć ręcznie te zaznaczone na czerwono foldery.
Poza tym nic więcej podejrzanego nie widzę.
jessi
janta
14 Październik 2007 17:15
#5
ja też nie wiem o co chodzi,zaznaczone foldery usunęłam ręcznie i zrobiłam nowe logi są tu: http://www.wklej.org/id/f12ca86ea8
jessica
14 Październik 2007 17:30
#6
Piszesz, że usunęłaś te foldery ręcznie, ale ja widzę, że w logu dalej są.
Wklej do Notatnika :
Folder::
C:\Documents and Settings\ania\Dane aplikacji\YourPrivacyGuard
C:\Documents and Settings\ania\Dane aplikacji\YourPrivacyGuard
C:\Documents and Settings\ania\Dane aplikacji\YourPrivacyGuard
C:\Program Files\Common Files\YourPrivacyGuard
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Sprawdź sama, czy w logu nie ma już tych folderów na poprzednim miejscu.
Jeśli dalej będą, to:
Jeśli nie masz jakiegoś narzędzia usuwającego, to ściągnij OTMoveIt
Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:
Następnie wciśnij przycisk MoveIt !
Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes .
Po restarcie usuń ręcznie folder C:* * _OTMoveIt** (Prawoklik Usuń Opróżnij Kosz).
I daj log z ComboFixa do kontroli.
jessi
janta
14 Październik 2007 20:00
#7
zrobiłam wszystko wg opisu katalog Qoobox. po skasowaniu powraca na swoje miejsce,combo Fix nie wykonuje raportu,nie wiem co mam robic
jessica
14 Październik 2007 20:09
#8
Sprawdź, czy na *C:* nie ma tego ostatniego logu ComboFixa.
jessi
janta
14 Październik 2007 22:03
#9
no właśnie nie ma,ja nie wiem co się dzieje ten komputer sam sobie pracuje cos nim steruje ale na pewno nie ja
jessica
15 Październik 2007 08:39
#10
No to rzeczywiście dzieje się coś dziwnego.
W takim razie:
przeskanuj system przy pomocy AVG (widzę, że masz) i raport daj tu (na wklej.org )
spróbuj jeszcze raz zrobić log z ComboFixa i dać go tu
jeśli się nie uda z ComboFixa, to daj log z DeckardsSS
Log wklej na http://wklej.org/
jessi
janta
15 Październik 2007 15:41
#11
ok,nie mam AVG widocznie nie był cały odinstalowany zrobiłam skan w NOD32.wkleje wszystko na
http://wklej.org/id/ff6615ce83
tzn:skan NOD-em,log z ComboFix i log z DeckardsSS
