Wyskakuje,że komputer jest zainfekowany, proszę o pomoc

Ardrian · 18 Maj 2006 14:14

Podaję Log. Bardzo prosze o pomoc w tej kwestii. Jest czarna tapeta i dymek, że komputer jest zainfekowany. Z góry dziękuję.

Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Logitech\Video\LogiTray.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\kernels8.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe C:\Windows\xpupdate.exe C:\WINDOWS\system32\taskdir.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\LVComS.exe C:\Program Files\Logitech\Video\LowLight.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\dlh9jkdq2.exe C:\WINDOWS\system32\vxgamet4.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\inet20026\services.exe C:\WINDOWS\inet20026\mm6.exe C:\WINDOWS\inet20026\socks.exe C:\WINDOWS\system32\dllcache\IExplore.exe C:\Documents and Settings\Beata\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F3 - REG:win.ini: run=C:\WINDOWS\inet20026\services.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20026\3.03.00.dll O2 - BHO: (no name) - {78364D99-A240-4dff-B11A-67E448373045} - C:\WINDOWS\system32\ipv4mons.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: IExplorerHelper Class - {E89097ED-3400-411D-9647-D368C3311C98} - C:\WINDOWS\system32\IeHelperVY.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM…\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe O4 - HKLM…\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [ABBYY Community Agent] C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe O4 - HKLM…\Run: [system] C:\WINDOWS\system32\kernels8.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [31] C:\DOCUME~1\Beata\USTAWI~1\Temp\31.exe O4 - HKLM…\Run: [34] C:\DOCUME~1\Beata\USTAWI~1\Temp\34.exe O4 - HKLM…\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe O4 - HKLM…\Run: [rpcc] rpcc.exe O4 - HKLM…\Run: [xp_system] C:\WINDOWS\inet20026\services.exe O4 - HKLM…\Run: [Microsoft standard protector] C:\WINDOWS\inet20026\socks.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [PowerBar] “C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe” /AtBootTime O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU…\Run: [WinMedia] C:\WINDOWS\system32\vx O4 - HKCU…\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe O4 - HKCU…\Run: [xp_system] C:\WINDOWS\inet20026\services.exe O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe O4 - Global Startup: ATI CATALYST – pasek zadań.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip…{4BF4AC49-6FD2-4EC9-B53E-889B8E22EF8E}: NameServer = 213.25.43.3,194.204.159.1 O20 - Winlogon Notify: 20242402reg - C:\Documents and Settings\All Users\Dokumenty\Settings\20242402.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

====================================

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

Log jest obciety, bez nagłówka, nie rób tak wiecej i wklejaj zawsze całego loga

Pozdrawiam kuz5

Bieniol · 18 Maj 2006 14:22

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.

Wyłączasz przywracanie systemu:

Włączasz tryb awaryjny:

Odpalasz Hijacka --> do a system scan only i zaznaczasz wpisy:

F3 - REG:win.ini: run=C:\WINDOWS\inet20026\services.exe O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20026\3.03.00.dll O2 - BHO: (no name) - {78364D99-A240-4dff-B11A-67E448373045} - C:\WINDOWS\system32\ipv4mons.dll O2 - BHO: IExplorerHelper Class - {E89097ED-3400-411D-9647-D368C3311C98} - C:\WINDOWS\system32\IeHelperVY.dll O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM…\Run: [system] C:\WINDOWS\system32\kernels8.exe O4 - HKLM…\Run: [31] C:\DOCUME~1\Beata\USTAWI~1\Temp\31.exe O4 - HKLM…\Run: [34] C:\DOCUME~1\Beata\USTAWI~1\Temp\34.exe O4 - HKLM…\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe O4 - HKLM…\Run: [rpcc] rpcc.exe O4 - HKLM…\Run: [xp_system] C:\WINDOWS\inet20026\services.exe O4 - HKLM…\Run: [Microsoft standard protector] C:\WINDOWS\inet20026\socks.exe O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU…\Run: [WinMedia] C:\WINDOWS\system32\vx O4 - HKCU…\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe O4 - HKCU…\Run: [xp_system] C:\WINDOWS\inet20026\services.exe O20 - Winlogon Notify: 20242402reg - C:\Documents and Settings\All Users\Dokumenty\Settings\20242402.dll

I klikasz na dole “fix checked”

Usuwasz ręcznie z dysku folder:

C:\WINDOWS\ inet20026

Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\Documents and Settings\All Users\Dokumenty\Settings\20242402.dll

C:\WINDOWS\system32\taskdir.exe

C:\Windows\xpupdate.exe

C:\WINDOWS\system32\rpcc.exe

C:\WINDOWS\system32\spoolsvv.exe

C:\DOCUME~1\Beata\USTAWI~1\Temp\34.exe

C:\DOCUME~1\Beata\USTAWI~1\Temp\31.ex

C:\WINDOWS\system32\kernels8.exe

C:\WINDOWS\system32\IeHelperVY.dll

C:\WINDOWS\system32\ipv4mons.dll

C:\WINDOWS\system32\ALCMTR.EXE

C:\WINDOWS\system32\dlh9jkdq2.exe

C:\WINDOWS\system32\vxgamet4.exe

Klikasz X i restart kompa (restart dopiero po usunięciu ostatniego pliku)

Skan EWIDO po update

Wyczyść folder TEMP (również w awaryjnym), czyli Start --> uruchom --> cmd i wpisujesz:

Po zabiegach nowy log z Hijacka + log z Silent Runners

kuz5 · 18 Maj 2006 14:28

Daruj sobie takie sprawdzanie :?

I przestań pisać bzdury, chciałes skasować prawidłowy wpis od nero :evil:

master_zonk6 · 18 Maj 2006 16:07

a po wał mu ma komputer wolniej pracować .

O ile wiem wcześniej czytając niektóre posty widziałem jak MODERATORZY radzili by usunąć ten wpis z autostartu.

Nero Check to niepotrzebny program.

Bieniol · 18 Maj 2006 16:09

Takie rzeczy po pierwsze załatwia się na końcu, a po drugie robi się to poprzez odznaczenie tego wpisu w msconfig

kuz5 · 18 Maj 2006 16:26

Ty kazałes skasować a my odchaczyć z autostaru poprzez msconfig a to jest wielka różnica :?

Koniec dyskusji, bo widze że prowadzi ona do nikąd