Wolne działanie przeglądarki/wystapil problem z expoler.exe


(Togier) #1
[size=85]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:13:03, on 2009-11-11

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AskBarDis\bar\bin\AskService.exe

C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe

C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe

C:\Program Files\LogMeIn Hamachi\hamachi-2.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\photo_id.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\MaZZy\photo_id.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe

C:\Documents and Settings\MaZZy\Menu Start\Programy\Autostart\ord32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\opeia.exe

C:\WINDOWS\TEMP\VRT1E.tmp

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\Rundll32.exe

C:\WINDOWS\system32\36.tmp

C:\WINDOWS\System32\reader_s.exe

C:\WINDOWS\system32\39.tmp

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Xfire\Xfire.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\FastNetSrv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\MaZZy\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\Documents and Settings\MaZZy\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\MaZZy\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\MaZZy\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\MaZZy\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Documents and Settings\MaZZy\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\MaZZy\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

C:\WINDOWS\system32\lsm32.sys


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=10615&gct=&gc=1&q=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files\XfireXO\tbXfir.dll

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O2 - BHO: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files\XfireXO\tbXfir.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: XfireXO Toolbar - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files\XfireXO\tbXfir.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [31721] C:\WINDOWS\system32\3C.tmp.exe

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\Run: [ter8m] RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w

O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKCU\..\Run: [qaswww] C:\WINDOWS\system32\perrdlm.exe

O4 - HKCU\..\Run: [shccde] C:\WINDOWS\system32\ipismd.exe

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [opqlsys] C:\WINDOWS\system32\velplsme.exe

O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "I:\Program Files\Nowe Gadu-Gadu\gg.exe"

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\MaZZy\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [crsmons] C:\WINDOWS\system32\iomssls.exe

O4 - HKCU\..\Run: [photo_id] C:\Documents and Settings\MaZZy\photo_id.exe

O4 - HKCU\..\Run: [cximddl] C:\WINDOWS\system32\qpwosl.exe

O4 - HKCU\..\Run: [cdmmslpo] C:\WINDOWS\system32\klpllsm.exe

O4 - HKCU\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [photo_id] .\39.tmp (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [photo_id] .\39.tmp (User 'Default user')

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [userini] C:\WINDOWS\system32\userini.exe (User 'Default user')

O4 - Startup: ord32.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\DSLMON.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{9E32D1D4-5871-4AE5-A3BE-C7CD70A0BE93}: NameServer = 213.241.79.37 83.238.255.76

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: ASKService - Unknown owner - C:\Program Files\AskBarDis\bar\bin\AskService.exe

O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe

O23 - Service: Aplikacja systemowa modelu COM+ (COMSysApp) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing)

O23 - Service: fastnetsrv Service (fastnetsrv) - Netopsystems A - C:\WINDOWS\system32\FastNetSrv.exe

O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: MS Software Shadow Copy Provider (SwPrv) - Unknown owner - C:\WINDOWS\system32\dllhost.exe (file missing)

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe[/size]

Jakieś pomysły ?No i podejrzani duzo svhostow


(Spandau) #2

Sytuacja wygląda tragicznie podejrzewam wirusa infekującego pliki exe

Pobierz i wykonaj pełne skanowanie Dr.WEB CureIt! Już w trakcie pobierania zmień mu nazwę np 123.com rozszerzenie com nie exe Wylecz wszystko co się da co się nie da usuń. Daj raport na forum lub napisz co znalazł skaner

Następnie pobierz Combofix Przed uruchomieniem programu przeczytaj instrukcje


(Togier) #3

Nie moge uruchomić strony do ściągania :

Strona http://www.freedrweb.pl/cureit.php może tymczasowo nie działać lub została przeniesiona pod nowy adres internetowy.

To też chyba dzielo wirusa.

Poszukam alternatywnego zrodla.

Odistalowywuje gry aby mi nie ukradlo kluczy.


(Spandau) #4

To sprawka wirusa Jeśli nic nie znajdziesz postaram się przehostować plik na rapida Edytuje posta i podam Ci link


(Togier) #5

A jednak nie.


(Spandau) #6

Proszę szybko uruchomić może się uda wykonać pełne skanowanie. Lecz co się da co nie usuwasz


(Togier) #7

Hmm , jednak nie do konca sie pobralo , a teraz pobiera sie z predkoscia 200 b/s ...


(Spandau) #8

Proszę http://rapidshare.com/files/305590388/123.com.html nazwa specjalnie zmieniona Jeśli się nie uda to zobacz tutaj jak jeszcze można walczyć z Virutem http://www.searchengines.pl/Infekcje-pl ... 22692.html zobacz także sekcje Usuwanie infekcji plików wykonywalnych bez formatu


(Togier) #9

Przepraszam za double post ale sytuacja wydaję się być skrajnie krytyczna.Po reboocie wyskakuje mi okienko instrukcja spod numer odwoluje sie do pamieci pod adresem numer.Pamięć nie może być read.

Kliknij ok aby przerwac dzialanie aplikacji (wylcza komputer)

kliknij anuluj aby rozpoczac debugowanie

Jestem 1 tydzien po wymianie dysku , i niem mam tu za duzo programow.Mysle ze najlepszym rozwiazanie bedzie format.Tylko ze nie wiem jak sformatowac dysk.Z pod windowsa oczywiście się nie da , a jesli chodzi o biosa jestem nieco zielony.Nie ma sensu ratowac paru kilkunastomegowych programow i patchy.

-- Dodane 11.11.2009 (Śr) 19:34 --

W32.Splendor to jest akurat moja przypadlosc.

Mam na dysku niezaifekowany (zapasowy) plik ndis.Tylko nie wiem za bardzo co z nim z robic?Uruchomic czy wrzucic do folderu.


(Spandau) #10

Zobacz http://tibia.net.pl/poradniki-pozostale ... ws-xp.html Format wszystkich partycji bez wyjątku


(Togier) #11

Z tego co przeczytalem na tym wlozyc plytke systemowa.I to samo co robilem tydzien temu po podlaczaniu nowego dysku =) First boot device mam dobrze ustawione.Czy da sie przeniesc aktualizacje do gier bez infekowania pendriva/plyty ?


(Spandau) #12

Z tym przenoszeniem to uważaj bo widzę że już raz coś źle zrobiłeś i efekt jest taki jak widzisz W linku który podałem masz wyraźnie napisane jakiego rodzaju pliki możesz przenieś


(Togier) #13

No właśnie dlatego się pytam.Czyli (raczej) nie bo mogą być problemy.

Napiszę po formacie...