Zainfekowany komputer (trojany, virusy) - log


(Rapciorek) #1

Na moim komputerze dzisiaj zaczeły pojawiać sie trojany i inne virusy, proszę więc o sprawzenie loga.

Logfile of HijackThis v1.99.1

Scan saved at 11:02:10, on 2006-07-25

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

C:\WINDOWS\win32host.exe

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4gui.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\mssvcc.exe

C:\WINDOWS\System32\rwqn.exe

C:\WINDOWS\System32\winsystems.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\DOCUME~1\Jaco\USTAWI~1\Temp\Rar$EX00.125\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [msconfig38] mssvcc.exe

O4 - HKLM\..\Run: [secures23] mssecure.exe

O4 - HKLM\..\Run: [Windows ASN4 Services] rwqn.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [winsystems25] winsystems.exe

O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe

O4 - HKLM\..\RunServices: [secures23] mssecure.exe

O4 - HKLM\..\RunServices: [Windows ASN4 Services] rwqn.exe

O4 - HKLM\..\RunServices: [winsystems25] winsystems.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) - 

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe (file missing)

O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe

(Bbieniol) #2

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (jeżeli jakieś znaczki są żółte, to niech takie zostaną). Po użyciu tego narzędzia wymagany jest reset sysa.

Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe Win32 Kernel Update

Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz Win32Kernel i ok

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku (w razie problemów z usuwaniem plików użyj narzędzia KillBox):

Po zabiegach nowy log z Hijacka + log z Silent Runners


(Rapciorek) #3

Mam 3 znaczki zielone i 2 czerowne x to co mam zrobic?:frowning:


(Bbieniol) #4

Zmień czerwone na zielone :slight_smile: I zrestartuj komputer :slight_smile:


(squeet) #5

Użyj przycisku icon_edit.gif


(Rapciorek) #6

"Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe Win32 Kernel Update " Mozesz napisac co mam pokoleji zrobic? iknonka zatrzymaj jest nieaktywna wiec neiwiem co mam zrobic :frowning:


(Bbieniol) #7

Możesz to zrobić poprzez: Start --> uruchom --> cmd i wpisać:

sc stop Win32Kernel

sc delete Win32Kernel


(Rapciorek) #8

Prosze o szybką pomoc gdyż sam probuje sie mi wylonczyc kompter i wyskakuje duzo stron z reklamami :confused:


(Gutek) #9

daj log z Silenta - http://forum.dobreprogramy.pl/viewtopic.php?t=36654


(Rapciorek) #10

" Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz Win32Kernel i ok " Wyskakuje mi " Unable to delete service Win32Kernel. Make sure the name is correct and the service is not runing"

Zaraz dam loga z silenta.


(Bbieniol) #11

Log jest urwany

Poczekaj na komunikat, że log skończony - dopiero wtedy wklej go na forum :slight_smile:

Wczesniej wykonaj moje powyższe polecenia :slight_smile:


(Rapciorek) #12

Niemoge tego zrobic gdyż Wyskakuje mi " Unable to delete service Win32Kernel. Make sure the name is correct and the service is not runing"

Zedytowalem i dalem nowego calego loga.

Proszę o dalsze instrukcje.

Złączono Posta : 24.06.2006 (Sob) 12:41

Prosze o pomoc :frowning: wyskakuje mi coraz wiecej nieznanych mi ikonek :expressionless: nieiwem co mam robic. :confused:

Złączono Posta : 24.06.2006 (Sob) 12:44

Prosze o pomoc :frowning: wyskakuje mi coraz wiecej nieznanych mi ikonek :expressionless: nieiwem co mam robic. :confused:


(Miśq) #13

Jeśli masz możliwość, to ściągnij EWIDO!!


(Bbieniol) #14

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (jeżeli jakieś znaczki są żółte, to niech takie zostaną). Po użyciu tego narzędzia wymagany jest reset sysa.

Otwórz notatnik i wklej w nim to:

Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.REG

Uruchamiasz tryb awaryjny --> Start --> uruchom --> cmd i wpisujesz:

sc stop Win32Kernel

sc delete Win32Kernel

Usuwasz ręcznie z dysku foldery:

C:\PROGRA~1\COMMON~1\ fori

C:\Program Files\Common Files\ svchostsys

Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot i All Files , w polu full path of file wklej ścieżkę:

C:\WINDOWS\system32\mfxmlr.dll

C:\WINDOWS\system32\agmeter.dll

C:\PROGRA~1\COMMON~1\STEM~1\dexplore.exe

C:\WINDOWS\System32\mssvcc.exe

C:\WINDOWS\System32\rwqn.exe

C:\WINDOWS\System32\winsystems.exe

C:\WINDOWS\System32\win32update.exe

c:\dfndra_1.exe

c:\kybrd_1.exe

Klikasz X i restart kompa

W trybie awaryjnym odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa :slight_smile:

Po zabiegach nowe logi :slight_smile: