Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:03:57, on 2008-12-11
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bezpieczny Internet\Anti-Virus\fsgk32st.exe
C:\Program Files\Bezpieczny Internet\Common\FSMA32.EXE
C:\Program Files\Bezpieczny Internet\Anti-Virus\FSGK32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Bezpieczny Internet\Common\FSMB32.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Bezpieczny Internet\Common\FCH32.EXE
C:\Program Files\Bezpieczny Internet\Common\FAMEH32.EXE
C:\Program Files\Bezpieczny Internet\Anti-Virus\fsqh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Bezpieczny Internet\Common\FSM32.EXE
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\TomTom HOME\TomTomHOME.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Bezpieczny Internet\FSGUI\fsguidll.exe
C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe
C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Program Files\Bezpieczny Internet\FSAUA\program\fsaua.exe
C:\Program Files\Bezpieczny Internet\FWES\Program\fsdfwd.exe
C:\Program Files\Bezpieczny Internet\Anti-Virus\fssm32.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\Bezpieczny Internet\FSAUA\program\fsus.exe
C:\Program Files\Bezpieczny Internet\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Bezpieczny Internet\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Bezpieczny Internet\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME\TomTomHOME.exe" -s
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [adiras] C:\WINDOWS\adiras.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Cyber-shot Viewer Media Check Tool.lnk = C:\Program Files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2313871D-5F74-44F3-8B12-440EED7700C5}: NameServer = 83.238.255.76 213.241.79.37
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Bezpieczny Internet\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Bezpieczny Internet\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Bezpieczny Internet\FWES\Program\fsdfwd.exe
O23 - Service: Agent zarządzania F-Secure (FSMA) - F-Secure Corporation - C:\Program Files\Bezpieczny Internet\Common\FSMA32.EXE
O23 - Service: Usługa iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
--
End of file - 5987 bytes
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport
Zrobiłem wszystko oprócz skanu Kacperskim bo zrywa mi połączenie co min. i nie moge ściągnąć programu,przeskanowałem moim antywirusem i nic.Ale przy włączaniu internetu wyskakuje komunikat ,Kontrola systemu wykryła aplikację próbującą zmodyfikować system-userinit.exe .Jak to wywalić z systemu??
C:/WINDOWS/system32/userinit.exe
Zarówno jak i wirus jak i plik systemowy mają tą samą lokalizację. Spróbuj wyleczyć Dr.WEB CureIt!.
nie usuwaj przypadkiem tego pliku
to plik Windowsa
to czemu ten plik wywala antywirus,jak mam zapobiec zerwaniu połączeń z internetem dodam że miałem prędzej zainstalowany Bonjour service,zainstalował się przy pobieraniu iTunes .Odinstalowałem go przez dodaj usuń programy i prawdopodobnie zostały jakieś jego składniki i to mi wywala internet tak myślę jeszcze raz proszę o pomoc
wynik po skanie cureit dr Web
ComboFix.exe\32788R22FWJFW\psexec.cfexe;C:\Documents and Settings\ja\Pulpit\ComboFix.exe;Program.PsExec.171;;
ComboFix.exe\32788R22FWJFW\C.bat;C:\Documents and Settings\ja\Pulpit\ComboFix.exe;Prawdopodobnie BATCH.Virus;;
ComboFix.exe;C:\Documents and Settings\ja\Pulpit;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
A0000069.exe\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP2\A0000069.exe;Program.PsExec.171;;
A0000069.exe\32788R22FWJFW\C.bat;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP2\A0000069.exe;Prawdopodobnie BATCH.Virus;;
A0000069.exe;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP2;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
A0000070.exe\32788R22FWJFW\C.bat;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP2\A0000070.exe;Prawdopodobnie BATCH.Virus;;
A0000070.exe\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP2\A0000070.exe;Program.PsExec.171;;
A0000070.exe;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP2;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
A0000071.exe\32788R22FWJFW\C.bat;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP2\A0000071.exe;Prawdopodobnie BATCH.Virus;;
A0000071.exe\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP2\A0000071.exe;Program.PsExec.171;;
A0000071.exe;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP2;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
Usuń Combofixa z dysku jeśli jeszcze jest
Usuń folder C:\32788R22FWJFW jeśli jeszcze jest na dysku
Opróżnij kwarantanne DrWeb
Przeskanuj ponownie DrWeb
Usuń folder C:\32788R22FWJFW jeśli jeszcze jest na dysku-gdzie go szukać i jak usunąć?
Ten folder to pozostałość po Combofix No jak to gdzie szukać domyślnie jest on jak podałem C:\32788R22FWJFW jeśli nie ma to jest OK i nic nie robisz, jeśli jest to usuwasz ręcznie
bo może być zarażony ale wtedy nie usuwamy ale musimy podmienić z płyty CD Windowsa
Brak lub uszkodzenie pliku userinit.exe
konsola odzyskiwania
expand X :\i386\userinit.ex_ C :\Windows\sytem32\userinit.exe
x stacja CD
C partycja na której masz system
po drugim skanie Dr Web
A0000112.exe\32788R22FWJFW\C.bat;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP3\A0000112.exe;Prawdopodobnie BATCH.Virus;;
A0000112.exe\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP3\A0000112.exe;Program.PsExec.171;;
A0000112.exe;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP3;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
A0000113.exe\32788R22FWJFW\C.bat;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP3\A0000113.exe;Prawdopodobnie BATCH.Virus;;
A0000113.exe\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP3\A0000113.exe;Program.PsExec.171;;
A0000113.exe;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP3;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
A0000114.exe\32788R22FWJFW\C.bat;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP3\A0000114.exe;Prawdopodobnie BATCH.Virus;;
A0000114.exe\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP3\A0000114.exe;Program.PsExec.171;;
A0000114.exe;C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP3;Archiwum zawierające zainfekowane obiekty;Przeniesiony.;
Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum
kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Raport
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not delete folder "C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP3"
Deletion of folder "C:\System Volume Information\_restore{8AA33CB1-9AA0-4C69-A5E8-10633854E9B4}\RP3" failed!
Status: 0xc0000022 (STATUS_ACCESS_DENIED)
Completed script processing.
*******************
Finished! Terminate.
Folder się nie usunął gdyż go nie ma
Powinno być ok
??
a mi się zdaje że folder jest tylko brak dostępu
diabloo
Przeskanuj jeszcze raz Kaspersky Virus Removal Tool http://www.searchengines.pl/index.php?s … ntry354381
mam go przeskanować tym anty wirem w trybie awaryjnym bo przy inasTowaniu pokazuje żeby zrestartować i F8
Tak