magura
(Info)
23 Lipiec 2007 13:53
#1
Witam powrócił do mnie problem z masowym wysyłanim maili z mojego komputera . W pasku ciągle mam ikone avasta informującą o skanowaniu poczty. Mógłby ktoś zobaczyć co jest nie tak :
Logfile of HijackThis v1.99.1 Scan saved at 15:47:27, on 2007-07-23 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\Program Files\Winamp\winampa.exe C:\WINDOWS\PowerS.exe C:\Program Files\Lexmark 2400 Series\lxcrmon.exe C:\Program Files\Lexmark 2400 Series\ezprint.exe D:\Program Files\CA\CA Internet Security Suite\cctray\cctray.exe D:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe c:\progra~1\intern~1\iexplore.exe C:\Program Files\Prolink\PlayTV Pro\TVRMVCR.EXE C:\Program Files\Prolink\PlayTV Pro\TVSCHL.EXE C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe D:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\cisvc.exe C:\Program Files\Common Files\MicroWorld\Agent\MWASER.EXE C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\System32\lxcrcoms.exe D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\wuauclt.exe D:\Program Files\Opera\Opera.exe C:\WINDOWS\system32\cidaemon.exe D:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Maniek\USTAWI~1\Temp\Rar$EX00.967\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O1 - Hosts: 66.98.148.65 auto.search.msn.com O1 - Hosts: 66.98.148.65 auto.search.msn.es O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Lexmark Pasek narzędzi - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: Lexmark Pasek narzędzi - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll O4 - HKLM…\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [PowerS] C:\WINDOWS\PowerS.exe O4 - HKLM…\Run: [lxcrmon.exe] “C:\Program Files\Lexmark 2400 Series\lxcrmon.exe” O4 - HKLM…\Run: [EzPrint] “C:\Program Files\Lexmark 2400 Series\ezprint.exe” O4 - HKLM…\Run: [FaxCenterServer] “C:\Program Files\Lexmark Fax Solutions\fm3032.exe” /s O4 - HKLM…\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16 O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “D:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [DAEMON Tools] “D:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM…\Run: [TkBellExe] “D:\Program Files\K-Lite Codec Pack\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [cctray] “D:\Program Files\CA\CA Internet Security Suite\cctray\cctray.exe” O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [incrediMail] D:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKCU…\Run: [RocketDock] “C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe” O4 - HKCU…\Run: [fastenc] C:\DOCUME~1\Maniek\DANEAP~1\ARMYME~1\OOZE VC AUDIO.exe O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\UberIcon\UberIcon Manager.exe O4 - Startup: Y’z Shadow.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe O4 - Startup: Y’z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Remote Controller.lnk = C:\Program Files\Prolink\PlayTV Pro\TVRMVCR.EXE O4 - Global Startup: TVSCHL.lnk = C:\Program Files\Prolink\PlayTV Pro\TVSCHL.EXE O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra ‘Tools’ menuitem: Create Mobile Favorite… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - D:\PROGRA~1\MICROS~2\INetRepl.dll O9 - Extra button: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - D:\Program Files\WINnerTweak3\PopUp Blocker.exe O9 - Extra ‘Tools’ menuitem: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - D:\Program Files\WINnerTweak3\PopUp Blocker.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: CaCCProvSP - CA, Inc. - D:\Program Files\CA\CA Internet Security Suite\ccprovsp.exe O23 - Service: lxcr_device - - C:\WINDOWS\System32\lxcrcoms.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Program Files\Common Files\MicroWorld\Agent\MWASER.EXE
Dzieki i pozdrawiam
jessica
(jessica)
23 Lipiec 2007 14:15
#2
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Masz chyba infekcję “LOP” .
Żeby zobaczyć jej pozosrałe elementy potrzebny jest log z Combo ** Fix** .
Opis użycia ComboFix jest na tej stronie z linku.
Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/ , a tu daj tylko link.
.
magura
(Info)
23 Lipiec 2007 14:33
#3
Link z logiem
http://wklej.org/id/be228f12d7
Po usunięciu tych wpisów komunikat o wysylaniu maili zniknal ciekawe na jak długo
jessica
(jessica)
23 Lipiec 2007 14:49
#4
Czy znasz te powyższe?
Bo jakoś nic mi w tym logu nie pasuje do infekcji “LOP” widzianej w Hijacku, a nie bardzo chce mi się wierzyć, by u Ciebie był tylko jeden element tej infekcji, bo zazwyczaj składa się z trzech lub czterech elementów.
Napisz, czy znasz te powyższe.
Widzę, że miałeś nawet trzy Rootkity: “koos”, “poof” i “wincom32”.
Niezła kolekcja. Usunął je samoczynnie ComboFix (patrz: sekcja “Other Deletions” i sekcja “Drivers/services” w logu).
.
magura
(Info)
23 Lipiec 2007 14:52
#5
Nie mam pojęcia skąd się wziął ten folden :? tylko że on jest pusty
jessica
(jessica)
23 Lipiec 2007 14:58
#6
Usuń go ręcznie i po sprawie, bo ja tu nic innego, szkodliwego nie widzę.
.
Nie napisałeś, czy znasz te “Army…”
.
jessica
(jessica)
23 Lipiec 2007 15:27
#8
Jeśli nie znasz, to pewnie to są właśnie te brakujące elementy infekcji “LOP”, która zawsze stara się upodobnić do prawidłowych programów, gier, itp.
Oczywiście usuń !
.