Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:08:06, on 2009-06-26
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - (no file)
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{60DB5FAF-312E-4EC5-AD93-D52E147C9437}: NameServer = 208.67.222.222,208.67.220.220
O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe (file missing)
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
--
End of file - 3408 bytes
Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.
Fix w HiJackThis: ( Do a system scan only -> zaznaczasz pola przy podanych niżej wpisach -> Fix checked )
http://wklej.to/wIYk
http://wklej.to/dkOP
http://wklej.to/533b
W Custom Scans/Fixes w OTL wklej:
:OTL
PRC - [2004-08-04 02:44:20 | 01,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Explorer.EXE
FF - prefs.js..browser.search.defaultenginename: "Ask"
FF - prefs.js..browser.search.order.1: "Ask"
FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q="
:Files
C:\WINDOWS\System32\tmp.reg
C:\WINDOWS\System32\VCCLSID.exe
C:\WINDOWS\System32\SrchSTS.exe
C:\WINDOWS\System32\swreg.exe
C:\WINDOWS\System32\VACFix.exe
C:\WINDOWS\System32\IEDFix.exe
C:\WINDOWS\System32\IEDFix.C.exe
C:\WINDOWS\System32\404Fix.exe
C:\WINDOWS\System32\o4Patch.exe
C:\WINDOWS\System32\swxcacls.exe
C:\WINDOWS\System32\Agent.OMZ.Fix.exe
:\WINDOWS\System32\WS2Fix.exe
C:\WINDOWS\System32\Process.exe
C:\WINDOWS\System32\dumphive.exe
C:\WINDOWS\System32\swsc.exe
C:\WINDOWS\PEV.exe
:Commands
[emptytemp]
[start explorer]
[Reboot]
Klikasz Run Fix. Pokaż log z usuwania oraz nowy log ze skanu OTL.
http://wklej.to/f9gQ
http://wklej.to/9M7a
http://wklej.to/itSA
Nie obejmuj linków do logów w code, bo to jest zbyteczne.
W Custom Scans/Fixes w OTL wklej:
:OTL
PRC - [2001-08-24 20:00:00 | 00,036,352 | --S- | M] (Microsoft Corporation) -- C:\WINDOWS\svchost.exe
PRC - [2004-08-04 02:44:20 | 01,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\Explorer.EXE
:Files
C:\WINDOWS\svchost.exe
Klikasz Run Fix. Pokaż log z usuwania.
Tutaj jest Jeefo.
Pobierz Avenger
http://swandog46.geekstogo.com/avenger.exe
Wklej do niego tekst
Klikasz Execute:
Potem dokładny skan Dr.WEB Cure It, lecz co się da, resztę usuń
http://dobreprogramy.pl/index.php?dz=2& … 00.4.06190
Wklej log z niego.
Usuń kwarantannę Dr.WEB.
Powinno być czysto. Programy z którymi będzie problem przeinstaluj, a widać, że wirus nie próżnował.
Wyłącz na chwilę przywracanie systemu.
Przywracanie miałem już wyłączone. Czysto nie jest ciągle powraca problem z svchost.exe
Pobierz i uruchom ComboFix.
viewtopic.php?p=1170959#p1170959
Wklej z niego log.
Podczas pobierania i skanu wyłącz antywirusa i zapory.
To znaczy jaki? Problem z systemowym czy wirus wraca? Możliwe, że pliki systemowe też zostały uszkodzone w końcu trafiłeś na poważną infekcję.
Niestety to ścierwo nie chce zejść.
Za dużo plików zainfekowanych.
Pozostają Ci metody I i II z tego posta.