Windows 7 sam "przeładowuje"


(Ermacx) #1

Tak jak w temacie. log z Hijack:

Logfile of HijackThis v1.99.1

Scan saved at 23:15:45, on 2011-12-10

Platform: Unknown Windows (WinNT 6.01.3505 SP1)

MSIE: Internet Explorer v8.00 (8.00.7601.17514)


Running processes:

C:\Windows\system32\taskhost.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Fraps\fraps.exe

C:\Windows\system32\Dwm.exe

C:\Users\ErmacX\AppData\Roaming\BC867\A3CBA.exe

C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe

C:\Program Files\Logitech\Gaming Software\LWEMon.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program Files\Microsoft IntelliType Pro\itype.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

C:\Program Files\LP\BAFB\129.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\Tlen.pl\tlen.exe

C:\Program Files\FlashMute\flashmute.exe

C:\Program Files\Pando Networks\Media Booster\PMB.exe

C:\Users\ErmacX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Updater.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Windows\explorer.exe

C:\Program Files\67520\lvvm.exe

C:\Program Files\Opera\opera.exe

C:\Program Files\Winamp\winamp.exe

C:\Windows\system32\wuauclt.exe

D:\! Programy !\Bezpieczeństwo\HijackThis.exe

C:\Windows\system32\SearchFilterHost.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://battlelog.battlefield.com/bf3/pl/servers/?filtered=1&expand=1&gameexpansions=&q=&regions=EU&gamepresets=infantry&ranked=&punkbuster=&mapRotation=&modeRotation=&password=&gameSize=&slots=1&gamemodes=&maps=MP_001&settings=#!/bf3/pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:60242

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

F3 - REG:win.ini: load=C:\Users\ErmacX\AppData\Roaming\67520\lvvm.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui

O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"

O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [LogMeIn Hamachi Ui] "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start

O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s

O4 - HKLM\..\Run: [129.exe] C:\Program Files\LP\BAFB\129.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program Files\Alcohol Soft\Alcohol 52\AxAutoMntSrv.exe" -automount

O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKCU\..\Run: [FlashMute] C:\Program Files\FlashMute\FlashMute.exe

O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files\Pando Networks\Media Booster\PMB.exe

O4 - HKCU\..\Run: [129.exe] C:\Users\ErmacX\AppData\Roaming\Microsoft\BAFB\129.exe

O4 - Startup: Windows Updater.exe

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\windows\system32\nlaapi.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\napinsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O11 - Options group: [INTERNATIONAL] International

O13 - Gopher Prefix: 

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe

O23 - Service: Usługa Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Usługa Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: LogMeIn Hamachi Tunneling Engine (Hamachi2Svc) - Unknown owner - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe" -s (file missing)

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)

O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe (file missing)[/code]

Proszę o pomoc!

Pozdrawiam!


(Qba Lukaszczyk) #2

Wiesz co tutejsi bywalcy sądzą o ludziach nonstop wklejających logi z HijackThis?

Przeczytaj przyklejone w tym dziale. Zainteresuj się logami OTL.

"Przeładowywanie" Windows nic mi nie mówi. Może jaśniej?


(Ermacx) #3

Nie mam pojęcia. Zarejestrowałem się kilkanaście minut temu, ponieważ znalazłem przez google podobny temat na tym forum, który został rozwiązany. Dotyczył jednak Windows'a XP.

Nie wiem jak inaczej to nazwać. Po prostu co jakiś czas znika wszystko z pulpitu, zamykają się foldery, znika wszystko z traya, po czym ikony i tray wraca. Czyli, jak dobrze myślę, restartuje się explorer.exe. Ja się na tym za bardzo nie znam, dlatego proszę o pomoc...

Pozdrawiam!


(Qba Lukaszczyk) #4

Lektura dla Ciebie na dobranoc - otl-gmer-rsit-dss-inne-instrukcje-t370405.html.


(system) #5

Za bardzo to tu tego nie wyjaśniłeś,ale może na początek przeskanuj system

http://www.dobreprogramy.pl/Malwarebyte ... 13117.html


(Ermacx) #6

Po skanowaniu:

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org


Wersja bazy: 8351


Windows 6.1.7601 Service Pack 1

Internet Explorer 8.0.7601.17514


2011-12-11 13:42:22

mbam-log-2011-12-11 (13-42-22).txt


Typ skanowania: Szybkie skanowanie

Przeskanowano obiektów: 162244

Upłynęło: 2 minut(y), 48 sekund(y)


Zainfekowanych procesów w pamięci: 1

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 0

Zainfekowanych wartości rejestru: 5

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 15


Zainfekowanych procesów w pamięci:

c:\program files\LP\BAFB\129.exe (Malware.Packer) -> 3420 -> Unloaded process successfully.


Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)


Zainfekowanych kluczy rejestru:

(Nie znaleziono zagrożeń)


Zainfekowanych wartości rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\129.exe (Malware.Packer) -> Value: 129.exe -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\129.exe (Trojan.Dropper) -> Value: 129.exe -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.CycBot) -> Value: Load -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.


Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)


Zainfekowanych folderów:

(Nie znaleziono zagrożeń)


Zainfekowanych plików:

c:\program files\LP\BAFB\129.exe (Malware.Packer) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Roaming\microsoft\BAFB\129.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Roaming\wmplayer.exe (Malware.Packer) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Local\Temp\15DE.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Local\Temp\7DC7.exe (Malware.Packer) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Local\Temp\7E8E.exe (Malware.Packer) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Local\Temp\8809.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Local\Temp\6360.exe (Malware.Packer) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Local\Temp\775C.exe (Malware.Packer) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Local\Temp\B567.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Local\Temp\2F41.exe (Malware.Packer) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Local\Temp\342A.exe (Malware.Packer) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Local\Temp\34D.exe (Malware.Packer) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Local\Temp\9094.exe (Malware.Packer) -> Quarantined and deleted successfully.

c:\Users\ErmacX\AppData\Local\Temp\9431.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Zobaczę, może to pomogło.

@sunbeam96

Może trochę źle zacząłem, dzisiaj poczytam to co mi podesłałeś. Po prostu gorączka mi tego nie ułatwia, a komputer jest mi potrzebny do pracy nad projektem...

Pozdrawiam!