Wlaczam jakis program wyskakuje okno cmd


(Buls64) #1

http://www.fotosik.pl/pokaz_obrazek/pelny/09963b5fc0302b8c.html

daje skan programem HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:08:44, on 2008-12-21

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\mspaint.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKCU..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/ ... leId=26688

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe

--

End of file - 3901 bytes


(Leon$) #2

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 ale nie włączaj.

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Buls64) #3

ComboFix 08-12-21.01 - cycu 2008-12-21 21:33:03.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.2047.1637 [GMT 1:00]

Uruchomiony z: c:\documents and settings\cycu\Pulpit\ComboFix.exe

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\svchost.exe

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_POWERMANAGER

-------\Service_PowerManager

((((((((((((((((((((((((( Pliki utworzone od 2008-11-21 do 2008-12-21 )))))))))))))))))))))))))))))))

.

2008-12-21 20:56 . 2008-12-21 20:57

2008-12-21 20:55 . 2008-12-21 20:56

2008-12-21 20:47 . 2008-12-21 20:47

2008-12-21 20:06 . 2008-12-21 20:06

2008-12-21 19:59 . 2008-12-21 19:59

2008-12-21 19:59 . 2008-12-21 19:59

2008-12-21 19:48 . 2008-12-21 19:51

2008-12-21 18:14 . 2008-12-21 18:14

2008-12-21 18:13 . 2008-12-21 18:13

2008-12-21 07:13 . 2008-12-21 07:13

2008-12-21 06:14 . 2008-12-21 06:14

2008-12-21 06:14 . 2003-03-19 04:14 499,712 --a------ c:\windows\system32\msvcp71.dll

2008-12-21 06:10 . 2008-12-21 06:10 280 --a------ c:\windows\game.ini

2008-12-21 06:02 . 2008-12-21 06:02

2008-12-21 05:55 . 2008-12-21 05:55

2008-12-21 04:47 . 2008-12-21 04:47

2008-12-20 19:22 . 2008-12-20 19:22

2008-12-20 19:22 . 2004-01-11 23:00 348,160 --a------ c:\windows\system32\msvcr71.dll

2008-12-20 19:22 . 2007-09-04 17:56 164,352 --a------ c:\windows\system32\unrar.dll

2008-12-20 17:08 . 2008-12-20 17:08

2008-12-20 16:57 . 2008-12-20 16:59

2008-12-20 16:57 . 2006-05-03 11:57 697,824 --------- c:\windows\system32\ati2sgag.exe

2008-12-20 16:56 . 2008-12-20 16:56

2008-12-20 16:19 . 2008-12-20 16:19

2008-12-20 16:19 . 2008-12-20 16:19

2008-12-20 16:07 . 2008-12-20 16:07

2008-12-20 16:04 . 2000-08-19 19:29 268,048 --a------ c:\windows\system32\dxtmeta2.dll

2008-12-20 16:03 . 2004-08-04 00:44 221,184 --a------ c:\windows\system32\wmpns.dll

2008-12-20 04:52 . 2008-12-21 06:10

2008-12-20 04:51 . 2008-12-20 16:58

2008-12-20 03:52 . 2008-12-20 03:52

2008-12-20 03:07 . 2008-12-20 03:08

2008-12-20 03:03 . 2008-12-20 03:15

2008-12-20 01:34 . 2008-12-20 01:38

2008-12-20 00:37 . 2008-12-20 00:37

2008-12-20 00:36 . 2008-12-20 00:36

2008-12-20 00:36 . 2008-12-20 00:36 410,984 --a------ c:\windows\system32\deploytk.dll

2008-12-20 00:36 . 2008-12-20 00:36 73,728 --a------ c:\windows\system32\javacpl.cpl

2008-12-20 00:23 . 2008-12-20 00:23

2008-12-20 00:23 . 2008-12-21 16:52

2008-12-20 00:06 . 2008-12-20 00:06

2008-12-19 23:08 . 2008-12-21 21:18

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-21 05:15 163,644 ----a-w c:\windows\system32\drivers\secdrv.sys

2008-12-19 21:21 --------- d-----w c:\documents and settings\cycu\Dane aplikacji\DAEMON Tools Pro

2008-12-19 21:21 --------- d-----w c:\documents and settings\cycu\Dane aplikacji\DAEMON Tools Lite

2008-12-19 21:21 --------- d-----w c:\documents and settings\cycu\Dane aplikacji\DAEMON Tools

2008-12-19 21:20 --------- d-----w c:\program files\DAEMON Tools Toolbar

2008-12-19 21:20 --------- d-----w c:\program files\DAEMON Tools Lite

2008-12-19 21:20 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\DAEMON Tools Lite

2008-12-19 21:18 717,296 ----a-w c:\windows\system32\drivers\sptd.sys

2008-12-19 21:17 --------- d-----w c:\documents and settings\cycu\Dane aplikacji\Gadu-Gadu

2008-12-19 21:16 --------- d-----w c:\program files\Gadu-Gadu

2008-12-19 21:04 --------- d-----w c:\program files\microsoft frontpage

2008-12-19 21:01 --------- d-----w c:\program files\Usługi online

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-12-10 216520]

"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-20 314332]

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 159744]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"c:\Program Files\DC++\DCPlusPlus.exe"=

"c:\Program Files\uTorrent\uTorrent.exe"=

"c:\Program Files\Gadu-Gadu\gg.exe"=

"c:\Program Files\Activision\Call of Duty 2\CoD2MP_s.exe"=

"c:\Documents and Settings\cycu\Pulpit\mój otsik\server.exe"=

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.pl/

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-21 21:36:48

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

  • > 'winlogon.exe'(244)

c:\windows\system32\Ati2evxx.dll

.

Czas ukończenia: 2008-12-21 21:38:24 - komputer został uruchomiony ponownie [cycu]

ComboFix-quarantined-files.txt 2008-12-21 20:38:21

Przed: 3,790,258,176 bajtów wolnych

Po: 6,042,505,216 bajtów wolnych

120


(huber2t) #4

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Buls64) #5

robilem to


(huber2t) #6

Skanowałeś komputerem skanerem online?


(Buls64) #7

tak ale usunelem loga zrobie jeszcze raz ale niewiem jak to zrobic Wykonaj optymalizację autostartu


(huber2t) #8

Na tej stronie są wypisane zbędne elementy uruchamiania systemu jeśli jakiś jest u ciebie to możesz go smiało usunać


(Buls64) #9

przed formatem mialem to samo teraz sformatowalem wszystkie dyski i dalej to