Zainfekowany PC,otwierający się IE,reklamy


(Dxpx) #1

Witam. Coś złapało mój komputer.Jestem laikiem i prawdopdobnie nie dam sobie z tym rady.Objawy są następujące:

-na samym początku był w trayu komunikat"Windows security center"

-co jakiś czas IE próbuje się łączyć ze stroną "mediasmegaportal.com" (w tej chwili IE jest zablokowany przez firewall)-normalnie używam tylko Opery.

-przedtem jeszcze wyskakiwał komunikat(dokładnie nie pamiętam) " Securepccleaner...itd." oraz na pulpit wskakiwała czerwona tapeta informująca o niebezpieczeństwie.

Po przeczytaniu kilkunastu tematów na tan tamat zastosowałem programy:

Fixwareout oraz SmitfraudFix oraz skan komputera Spybotem.

Zdaje się że robiłem to od końca bo w takich przypadkach chyba powinno się zacząć od HijackThis.

Każdy przypadek omawiany na forach jest inny więc ja nie jestem w stanie sam sobie poradzić.

Bardzo proszę o pomoc.Będę bardzo wdzięczny.

Na początek zamieszczam log HJT (robię to pierwszy raz na forum więc proszę o wyrozumiałość w razie wpadek

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:42:38, on 2007-12-29

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\PC Tools Firewall Plus\FWService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\cFosSpeed\cFosSpeed.exe

C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe

C:\Program Files\Creative\Fatal1ty 1010 Mouse\CTPoint.exe

C:\WINDOWS\CTHELPER.EXE

C:\WINDOWS\system32\CTXFIHLP.EXE

C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe

C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\SysInfoMyWork.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\SYSTEM32\CTXFISPI.EXE

C:\Program Files\cFosSpeed\spd.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Opera\Opera.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: BDEX System - {C4248759-304D-477D-A1B3-F706CF99756D} - C:\WINDOWS\domnftwlvq.dll

O3 - Toolbar: The emlkdvo - {DCDC837F-EC7C-4E37-A549-A719A08E06CF} - (no file)

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe

O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Creative Fatal1ty 1010 Mouse] C:\Program Files\Creative\Fatal1ty 1010 Mouse\CTPoint.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r

O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: SysInfoMyWork.exe

O4 - Global Startup: cfosspeed.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15033/CTPID.cab

O20 - AppInit_DLLs:  

O21 - SSODL: bvtqfvx - {8ABD4B77-1188-48B3-8871-5B046DAC68C7} - (no file)

O21 - SSODL: alxvdvm - {E9268EA2-CA52-4C70-AE07-3FE7E3D2FB64} - C:\WINDOWS\alxvdvm.dll

O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe


--

End of file - 5215 bytes

(Gutek) #2

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym - Daj log z ComboFix


(Dxpx) #3

Sorry.

Temat poprawiłem.

PC przeskanowałem SmitfraudFix

Daję loga z ComboFix

Pozdrawiam i dziękuję za zainteresowanie.

ComboFix 07-12-21.4 - Darek 2007-12-30 7:33:46.1 - [color=red][b]FAT32[/b][/color]x86

(Gutek) #4

Wklej do Notatnika:

File::

C:\WINDOWS\system32\SET47.tmp

C:\WINDOWS\system32\SET49.tmp

C:\WINDOWS\alxvdvm.dll

C:\WINDOWS\domnftwlvq.dll

C:\WINDOWS\fvkwdrt.exe

C:\WINDOWS\system32\180.tmp


Driver::

MEMSWEEP2


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C4248759-304D-477D-A1B3-F706CF99756D}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"alxvdvm"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Dxpx) #5

Witam.

Daję drugi log z ComboFix według powyższych zaleceń.

Dzięki i pozdrawiam.

ComboFix 07-12-21.4 - Darek 2007-12-30 17:56:42.3 - [color=red][b]FAT32[/b][/color]x86

(Gutek) #6

Na koniec Optymalizacja autostartu: http://www.bezpieczenstwosystemow.pl/in ... opic=116.0

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177

możesz rejestr przelecieć albo

jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509

Opis RegCleaner - http://www.agavk.p9.pl/strony/progra_regcleaner.php

Zobacz - Obsługa jv16 PowerTools


(Dxpx) #7

Dzięki za pomoc.

Narazie wszystko jest OK.Komputer sie uspokoił.

Autostart ustawiam programem TuneUp Utilities.

Czyszczenie rejestru i jego defragmentacja - także.

Autostart sprawdziłem też przez "msconfig".Są tam tylko znane mi programy.

Jeszcze raz ogromnie dziękuję za pomoc i w Nowym Roku życzę wszystkiego dobrego.

Pozdrawiam.