system
(system)
22 Luty 2009 21:18
#1
witam. zachciało mi sie szukać po sieci jakiegoś programu by oglądać rozdawanie oscarów i coś sciągnąłem… zaraz po tym jakieś ikonki chyba 7 pojawiło się na moim pulpicie oraz w starcie gdy chce otworzyc moj komputer wyskakuje coś takiego:
niestety potem juz sie moj komputer nie otwiera
oto log z HijackThis:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:04:35, on 2009-02-22 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Nowe Gadu-Gadu\gg.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\PROGRA~1\AVG\AVG8\avgnsx.exe C:\Program Files\AVG\AVG8\avgcsrvx.exe C:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exe C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe C:\Documents and Settings\Patryk\Ustawienia lokalne\Dane aplikacji\Screamer Radio\screamer.exe C:\Program Files\AVG\AVG8\avgscanx.exe C:\Program Files\AVG\AVG8\avgcsrvx.exe C:\Program Files\Opera\opera.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: AVSys32 - {DDFEEE23-CDFE-4ED9-B0BE-22A18F307BB3} - C:\WINDOWS\system32\fejokt.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM…\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\winampa.exe” O4 - HKLM…\Run: [updReg] C:\WINDOWS\Updreg.exe O4 - HKLM…\Run: [AHQInit] C:\Program Files\Creative\SBLive\Program\AHQInit.exe O4 - HKLM…\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe” O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe O4 - HKCU…\Run: [Nowe Gadu-Gadu] “C:\Program Files\Nowe Gadu-Gadu\gg.exe” O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe” O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe – End of file - 5012 bytes
Z góry dziekuje za jakąkolwiek pomoc
huber2t
(huber2t)
23 Luty 2009 04:46
#2
Infekcja
Podaj log z Combofix
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
system
(system)
23 Luty 2009 07:30
#3
Witam oto log z ComboFix’a
http://www.wklejto.pl/27208
Log wygląda na czysty.
usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.
Przeczyść system oraz rejestr CCleaner
Wykonaj optymalizacje Autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum
lub Dr.WEB CureIt!
system
(system)
23 Luty 2009 21:41
#5
witam oto raport z Kaspersky’ego:
RAPORT KASPERSKY ONLINE SCANNER 7.0
poniedziałek, 23 luty 2009
System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Monday, February 23, 2009 17:57:05
Liczba wpisów: 1835349
Ustawienia skanowania
Typ bazy danych użytej do skanowania rozszerzona
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Obszar skanowania Mój komputer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
Statystyki skanowania
Przeskanowanych plików 29859
Nazwa zagrożenia 0
Zainfekowanych obiektów 0
Podejrzanych obiektów 0
Czas skanowania 02:53:42
Nie wykryto zagrożeń. Obszar skanowania jest czysty.
Wybrany obszar został przeskanowany.
system
(system)
24 Luty 2009 20:22
#7
wykonałem jeszcze skan programem Dr.Web Curelt! Wyszedł taki wynik:
A0000003.exe/data002\32788R22FWJFW\c.bat C:\System Volume Information_restore{81462931-372A-4EFA BF62-00876FD23893}\RP1\A0000003.exe/data002 Prawdopodobnie BATCH.Virus
A0000003.exe/data002\32788R22FWJFW\psexec.cfexe C:\System Volume Information_restore{81462931-372A-4EFA-BF62-00876FD23893}\RP1\A0000003.exe/data002 Program.PsExec.171
data002 C:\System Volume Information_restore{81462931-372A-4EFA-BF62-00876FD23893}\RP1 Archiwum zawierające zainfekowane obiekty
A0000003.exe C:\System Volume Information_restore{81462931-372A-4EFA-BF62-00876FD23893}\RP1 Kontener zawiera zainfekowane obiekty Przeniesiony.
Czy coś tu jest jeszcze nie tak?
Leon1
(Leon$)
24 Luty 2009 20:37
#8
wyłącz i włącz przywracanie systemu