arawis
(Katie 85)
20 Październik 2007 14:35
#1
Witam wszystkich
Problem ten już był tutaj opisywany. Otóż polega on na tym, że strona startowa w IE jest ustawiona na:
C:\WINDOWS\system32\spywarewarning.mht
a w prawym rogu na dole co jakiś czas wyskakują mi komunikaty o tym, że mój komputer został zaatakowany przez programy szpiegowskie.
Załączam log z HijackThis (wersja 2.0.2) i proszę, doradźcie, co tam jest nie tak.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:21:24, on 2007-10-20 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Vtune\TBPanel.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\WINDOWS\svc.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\svhoster.exe C:\WINDOWS\runsql.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\adsndsm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O4 - HKLM…\Run: [Gainward] C:\Program Files\Vtune\TBPanel.exe /A O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [avgnt] “C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe” /min O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause O4 - HKLM…\Run: [NI.UERSL_9999_N91S2209] “c:\documents and settings\administrator\dane aplikacji\errorsafeswedishnewreleaseinstall[2].exe” -nag O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [net64] C:\WINDOWS\svhoster.exe O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [netzip] C:\WINDOWS\svzip.exe O4 - HKLM…\Run: [runsql] C:\WINDOWS\runsql.exe O4 - HKLM…\Run: [netsv32] C:\WINDOWS\sv.exe O4 - HKLM…\Run: [netc] C:\WINDOWS\svc.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [AQQ] C:\PROGRA~1\Wapster\AQQ\AQQ.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab O17 - HKLM\System\CCS\Services\Tcpip…{C3BEC9ED-4A74-4711-8F6A-1A4868EC1508}: NameServer = 91.189.140.254 O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ClipBook ClipSrvhelpsvc (ClipSrvhelpsvc) - Unknown owner - C:\WINDOWS\system32\adsndsm.exe O23 - Service: ClipBook ClipSrvSysmonLog (ClipSrvSysmonLog) - Unknown owner - C:\WINDOWS\system32\activedsd.exe O23 - Service: Klient DHCP DhcpAppMgmt (DhcpAppMgmt) - Unknown owner - C:\WINDOWS\system32\amcompatt.exe (file missing) O23 - Service: Klient DHCP DhcpAppMgmt DhcpAppMgmtShellHWDetectionNVSvc (DhcpAppMgmtShellHWDetectionNVSvc) - Unknown owner - C:\WINDOWS\system32\advapi32f.exe (file missing) O23 - Service: Klient DHCP DhcpWmi (DhcpWmi) - Unknown owner - C:\WINDOWS\system32\1033t.exe (file missing) O23 - Service: HTTP SSL HTTPFilterNetlogon (HTTPFilterNetlogon) - Unknown owner - C:\WINDOWS\system32\1760907725hj.exe (file missing) O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Wykrywanie sprzętu powłoki ShellHWDetectionNetDDEdsdm (ShellHWDetectionNetDDEdsdm) - Unknown owner - C:\WINDOWS\system32\aaaamonp.exe (file missing) O23 - Service: Wykrywanie sprzętu powłoki ShellHWDetectionNVSvc (ShellHWDetectionNVSvc) - Unknown owner - C:\WINDOWS\system32\1760907725h.exe (file missing) O23 - Service: Telefonia TapiSrvPolicyAgent (TapiSrvPolicyAgent) - Unknown owner - C:\WINDOWS\system32\acleditz.exe (file missing) O23 - Service: Usługa dostarczania sieci xmlprovSysmonLog (xmlprovSysmonLog) - Unknown owner - C:\WINDOWS\system32\1041d.exe (file missing) – End of file - 6782 bytes
jessica
(jessica)
20 Październik 2007 16:37
#2
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Potem ściągnij -->ComboFix .
Wklej do Notatnika :
File::
C:\WINDOWS\svc.exe
C:\WINDOWS\svhoster.exe
C:\WINDOWS\runsql.exe
C:\WINDOWS\system32\adsndsm.exe
C:\WINDOWS\system32\spywarewarning.mht
C:\documents and settings\administrator\dane aplikacji\errorsafeswedishnewreleaseinstall[2].exe
C:\documents and settings\administrator\dane aplikacji\errorsafeswedishnewreleaseinstall.exe
C:\WINDOWS\svzip.exe
C:\WINDOWS\sv.exe
C:\WINDOWS\system32\activedsd.exe
C:\WINDOWS\system32\amcompatt.exe
C:\WINDOWS\system32\advapi32f.exe
C:\WINDOWS\system32\1033t.exe
C:\WINDOWS\system32\1760907725hj.exe
C:\WINDOWS\system32\aaaamonp.exe
C:\WINDOWS\system32\1760907725h.exe
C:\WINDOWS\system32\acleditz.exe
C:\WINDOWS\system32\1041d.exe
Driver::
ClipSrvhelpsvc
ClipSrvSysmonLog
DhcpAppMgmt
DhcpAppMgmtShellHWDetectionNVSvc
DhcpWmi
HTTPFilterNetlogon
ShellHWDetectionNetDDEdsdm
ShellHWDetectionNVSvc
TapiSrvPolicyAgent
xmlprovSysmonLog
Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NI.UERSL_9999_N91S2209"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"net64"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"netzip"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"runsql"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"netsv32"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"netc"=-
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj log z Hijacka i log z ComboFixa.
Log wklej na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów).
jessi
arawis
(Katie 85)
20 Październik 2007 17:38
#3
Zrobiłam tak i wszystko już działa jak powinno
Tu jest log z HijackThis:
http://wklej.org/id/c389efe399
A tu z Combofix (ten, który powstał po usunięciu śmieci)
http://wklej.org/id/3b94f15875
Dzięki
jessica
(jessica)
20 Październik 2007 17:54
#4
Wklej do Notatnika :
File::
C:\WINDOWS\system32\wqjevkyn.fsu
Driver::
WQJEVKYN
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
– podobnie jak na tym obrazku –>
Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Log do kontroli.
jessi
arawis
(Katie 85)
21 Październik 2007 08:08
#5