CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo HijackThis log i combofix...prosze o pomoc :/

HijackThis log i combofix...prosze o pomoc :/

Oto moj log :/ widze, że coś jest nie tak ale nie wiem dokładnie co i jak usunąć, a nie chciałbym sam czegos przez przypadek namieszać. Wczoraj sprawdzalem system Combofixem i usunal dwa pliki. Pod logiem z hijack this zamieszczam tez loga z combofixa. Naprawde prosiłbym o pomoc. Logfile of HijackThis v1.99.1 Scan saved at 11:41:14, on 2008-05-03 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\mIRC\mirc.exe D:\z 40\E\Instalki\hijackthis\HijackThis.exe O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Codec pack - {b448d946-3623-42ab-ba32-c08651e36980} - C:\Program Files\Common Files\System\sys_vd4.dat O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\System32\drivers\svchost.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: update.exe O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun ? Java ????E - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {E0BE586C-7C66-4909-94D6-D18BBBDD6373} (????????????E) - http://app.filebank.co.jp/setup/win/fbx2.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B12FDBA3-2BE9-411E-82DC-C85FCD511D58}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{B7AAD124-8760-4D2A-A52F-2AE4251CF921}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{DE65C06E-B6F5-4DAB-89A8-EEAABAEEFE1F}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{F2205054-254A-48C5-B73F-5B202CF22373}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: Uiserver - Unknown owner - C:\Program Files\DefWatch.exe ------------------------------------ "Bellevar" - 2008-05-03 3:27:06 - ComboFix 07-07-14.6 - Dodatek Service Pack. 1 NTFS ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\drivers\svchost.exe C:\WINDOWS\system32\kdgip.exe ((((((((((((((((((((((((( Files Created from 2008-04-03 to 2008-05-03 ))))))))))))))))))))))))))))))) 2008-05-01 16:17 81,920 --a------ C:\WINDOWS\uninst194.exe 2008-05-01 16:17 53,248 --a------ C:\WINDOWS\PSEXESVC.EXE 2008-04-14 12:42 46,592 --a------ C:\WINDOWS\system32\uidll.dll 2008-04-11 18:14 60,460 -r-hs---- C:\Program Files\DefWatch.exe 2008-04-05 21:17 d-------- C:\Program Files\SopCast (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2008-05-03 01:34:54 4,406 ----a-w C:\WINDOWS\system32\dmsydths.dat 2008-05-03 01:34:54 2,065 ----a-w C:\WINDOWS\system32\nvwrsok.dat 2008-05-03 01:34:54 0 ----a-w C:\WINDOWS\system32\ole2nlx.dat 2008-05-03 01:34:54 0 ----a-w C:\WINDOWS\system32\comptbj.dat 2008-05-03 01:26:14 13,473 ----a-w C:\WINDOWS\system32\kbdlp.dat 2008-05-03 01:26:14 0 ----a-w C:\WINDOWS\system32\vgak.dat 2008-05-03 01:24:50 557 ----a-w C:\WINDOWS\system32\ctl3ov2c.dat 2008-05-03 01:22:59 11,297 ----a-w C:\WINDOWS\system32\wiavuud.dat 2008-05-03 01:22:11 0 ----a-w C:\WINDOWS\system32\vga2s6v.dat 2008-05-02 17:33:35 -------- d-----w C:\Program Files\mIRC 2008-05-02 16:17:25 -------- d-----w C:\Program Files\eMule 2008-05-02 15:55:39 -------- d-----w C:\DOCUME~1\Bellevar\DANEAP~1\Azureus 2008-05-02 15:55:19 -------- d-----w C:\Program Files\Warcraft III 2008-05-02 12:17:14 -------- d-----w C:\Program Files\FlashGet 2008-05-01 21:21:44 -------- d--h--w C:\Program Files\InstallShield Installation Information 2008-05-01 10:05:11 -------- d-----w C:\DOCUME~1\Bellevar\DANEAP~1\Skype 2008-04-17 13:51:37 -------- d-----w C:\Program Files\Azureus 2008-03-30 11:38:39 49,376 ----a-w C:\WINDOWS\system32\perfc015.dat 2008-03-30 11:38:39 355,152 ----a-w C:\WINDOWS\system32\perfh015.dat 2008-03-29 19:25:06 -------- d-----w C:\Program Files\ConGo 2008-03-29 12:02:40 40,846 ----a-w C:\NTDET.EXE 2008-02-25 19:25:24 25,600 ----a-w C:\WINDOWS\system32\winhoq32.dll 2008-02-25 19:25:20 25,600 ----a-w C:\WINDOWS\system32\winepi32.dll 1999-01-01 00:01:14 40,960 --sh--r C:\WINDOWS\system32\krnj32drv.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}] 2006-05-16 15:19 81920 --a------ C:\PROGRA~1\FlashGet\jccatch.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] 2007-09-25 02:11 501136 --a------ C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b448d946-3623-42ab-ba32-c08651e36980}] 2008-03-29 14:02 0 -r-hs---- C:\Program Files\Common Files\System\sys_vd4.dat [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2005-06-20 15:42 C:\WINDOWS\SOUNDMAN.EXE] "nwiz"="nwiz.exe" [2005-06-15 11:20 C:\WINDOWS\system32\nwiz.exe] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-09-14 22:09] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11] "NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-06-15 11:20] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-20 19:05] "DAEMON Tools Pro Agent"="C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 15:08] "SVCHOST.EXE"="C:\WINDOWS\System32\drivers\svchost.exe" [] [HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce] "RunNarrator"=Narrator.exe [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"=0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Bellevar^Menu Start^Programy^Autostart^WinMySQLadmin.lnk] path=C:\Documents and Settings\Bellevar\Menu Start\Programy\Autostart\WinMySQLadmin.lnk backup=C:\WINDOWS\pss\WinMySQLadmin.lnkStartup ************************************************************************** catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-03 03:35:03 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mysql] "ImagePath"="C:\xampp\mysql\bin\mysqld-nt.exe --defaults-file=c:\xampp\mysql\bin\my.cnf mysql" Completion time: 2008-05-03 3:35:48 - machine was rebooted C:\ComboFix-quarantined-files.txt ... 2008-05-03 03:35 C:\ComboFix2.txt ... 2008-03-26 16:30 C:\ComboFix3.txt ... 2008-03-21 14:34 --- E O F ---

Odpowiedzi: 9

[quote]C:\WINDOWS\uninst194.exe C:\WINDOWS\PSEXESVC.EXE C:\WINDOWS\system32\uidll.dll[/quote] Te oczywiście usuń. [quote]C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Update.exe O4 - Global Startup: update.exe [/quote] To jest to samo, więc nie rozumiem: piszesz, że nie matego pliku, ale jednocześnie jest w użyciu? W każdym razie usuń Kilboxem C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Update.exe [quote]O23 - Service: Uiserver - Unknown owner - C:\Program Files\DefWatch.exe[/quote] Jeśli rzeczywiście nie miałeś nic od Symanteca, to też usuń. To jest usługa, więc: >>Start >>> Uruchom >>> wybierz (lub wpisz) [b]cmd[/b]>> zastosuj te komendy (po każdej wciśnij "ENTER"): [quote][b]SC STOP Uiserver SC DELETE Uiserver DEL C:\Program Files\DefWatch.exe[/b][/quote] .
morda
Dodano
04.05.2008 23:03:42
C:\WINDOWS\system32\krnj32drv.dll - ten plik juz wczesniej zostal usuniety C:\WINDOWS\uninst194.exe - ten ma status infected/malware wedlug jotti C:\WINDOWS\PSEXESVC.EXE - ten plik tak samo C:\WINDOWS\system32\uidll.dll - jak wyzej C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Update.exe - a tego pliku tez nie moge sprawdzic bo go tam nie ma... O4 - Global Startup: update.exe - nie moge tego zafixowac w HijackThis poniewaz niby ten plik jest aktualnie w uzyciu mialem sprawdzic w menegerze zadan ale nic tam nie widze podobnego co bym mogl zakonczyc proces. I jeszcze nie wiem co z tym? O23 - Service: Uiserver - Unknown owner - C:\Program Files\DefWatch.exe bo wczesniej tego nie mialem a nie przypominam sobie zebym mial jakiego Nortona chocby przez chwile...
Silentaxe
Dodano
04.05.2008 20:18:54
Nie napisałeś nic o wynikach sprawdzania na JOTTI/VIRUSTOTAL. Tak, podane pliki możesz usuwać Killboxem - nie ma żadnych przeciwskazań. [quote]O2 - BHO: Codec pack - {b448d946-3623-42ab-ba32-c08651e36980} - C:\Program Files\Common Files\System\sys_vd4.dat O4 - Global Startup: update.exe O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\System32\drivers\svchost.exe[/quote] Tak, te wpisy możesz sfiksować w Hijacku ("O2" dopiero po usunięciu pliku!): >>Hijack>>scan(Do a system scan only)>>zaznacz je >>[b]Fix checked[/b]. .
morda
Dodano
04.05.2008 08:52:29
Log z FixWareout: Username "Bellevar" - 2008-05-03 22:10:50 [Fixwareout edited 9/01/2007] ~~~~~ Prerun check HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters "nameserver"="85.255.116.40 85.255.112.101"
Silentaxe
Dodano
04.05.2008 00:16:55
Masz ukraińską infekcję czyli Rootkit "Windows Security Center". Użyj [url=http://www.searchengines.pl/Kolekcja-narzedzi-usuwajacych-!-t31936.html][b][color=blue][u]FixWareout[/u][/color][/b][/url]. Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego. [url=http://www.searchengines.pl/Zainfekowane-DNS-t47691.html][b][color=blue][u]jak przywrócić prawidłowe DNS[/u][/color][/b][/url] Potem: [quote]O17 - HKLM\System\CCS\Services\Tcpip\..\{B12FDBA3-2BE9-411E-82DC-C85FCD511D58}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{B7AAD124-8760-4D2A-A52F-2AE4251CF921}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{DE65C06E-B6F5-4DAB-89A8-EEAABAEEFE1F}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{F2205054-254A-48C5-B73F-5B202CF22373}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101[/quote] Te w/w wpisy sfiksuj w Hijacku (jeśli jeszcze będą): >>Hijack>>scan(Do a system scan only)>>zaznacz je >>[b]Fix checked[/b]. Potem: [quote]C:\WINDOWS\system32\[b]krnj32drv.dll[/b] C:\WINDOWS\[color=orange][b]uninst194.exe[/b][/color] C:\WINDOWS\[b]PSEXESVC.EXE[/b] C:\WINDOWS\system32\[color=orange][b]uidll.dll[/b][/color] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\[color=red][b]Update.exe[/b][/color][/quote] Sprawdź je na --> [url=http://virusscan.jotti.org/][b][color=blue][u]http://virusscan.jotti.org/[/u][/color][/b][/url] albo na [url=http://www.virustotal.com/en/indexf.html][b][color=blue][u]http://www.virustotal.com/en/indexf.html[/u][/color][/b][/url]. Jeśli któryś będzie "zły", to dopisz go do Scriptu (pod "File::) Wklej do [b]Notatnika[/b]: [CODE] File:: C:\WINDOWS\system32\winhoq32.dll C:\WINDOWS\system32\winepi32.dll C:\Program Files\Common Files\System\sys_vd4.dat Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b448d946-3623-42ab-ba32-c08651e36980}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SVCHOST.EXE"=- [/code] [b]>>Plik>>Zapisz jako... >>> [color=red]CFScript[/color][/b] Przeciągnij i upuść plik [color=red][b]CFScript.txt[/b][/color] na plik [b]ComboFix.exe[/b] [b][color=blue]-->[/color][/b] [img]http://img.wklej.org/images/88953CFScript-createdbyMiekiemoes.gif[/img] Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania. Jeśli pójdzie dobrze, to: [b]Po restarcie[/b] usuń ręcznie folder [b]C:\[color=red]Qoobox[/color][/b]. Daj też raport z C:\Fixwareout.txt. .
morda
Dodano
03.05.2008 21:08:15
Ale zaspamowałeś... Mówiłem żeby tego svchosta.exe usunąć w awaryjnym potem sfixować o ile jeszcze będzie na liście. DefWatch.exe to proces Nortona może kiedyś miałeś i plik został o tym nie mam pojęcia O4 - Global Startup: update.exe może to być wszystko... to O2 - BHO: Codec pack - {b448d946-3623-42ab-ba32-c08651e36980} - C:\Program Files\Common Files\System\sys_vd4.dat ja bym wywalił bo jakaś pozostałość pewnie tylko. Reszte najlepiej sfixuj, bo nie mam zielonego pojęcia co jest, możliwe że jakieś gry online albo coś tego urzywa, ale ogólnie długo miałeś trojana to nie wiadomo co wpuścił...
Small Mike
Dodano
03.05.2008 20:25:45
Przepraszam za post pod postem ale naprawde zalezy mi zeby ktos mi pomogl... Zrobilem skana antywirem i to co znalazlo powywalalem albo dalem do kwarantanny. W tej chwili log z HiJackThis wyglada tak(szczerze mowiac to chyba sie nic nie rozni:/ ) Logfile of HijackThis v1.99.1 Scan saved at 15:19:48, on 2008-05-03 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\internet explorer\iexplore.exe D:\z 40\E\Instalki\hijackthis\HijackThis.exe O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Codec pack - {b448d946-3623-42ab-ba32-c08651e36980} - C:\Program Files\Common Files\System\sys_vd4.dat O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\System32\drivers\svchost.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: update.exe O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun ? Java ????E - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {E0BE586C-7C66-4909-94D6-D18BBBDD6373} (????????????E) - http://app.filebank.co.jp/setup/win/fbx2.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B12FDBA3-2BE9-411E-82DC-C85FCD511D58}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{B7AAD124-8760-4D2A-A52F-2AE4251CF921}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{DE65C06E-B6F5-4DAB-89A8-EEAABAEEFE1F}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{F2205054-254A-48C5-B73F-5B202CF22373}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: Uiserver - Unknown owner - C:\Program Files\DefWatch.exe Moze mi ktos pomoc? Martwia mnie te wpisy szczegolnie bo wygladaja na jakies cholerstwa: O2 - BHO: Codec pack - {b448d946-3623-42ab-ba32-c08651e36980} - C:\Program Files\Common Files\System\sys_vd4.dat O4 - Global Startup: update.exe O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\System32\drivers\svchost.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B12FDBA3-2BE9-411E-82DC-C85FCD511D58}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{B7AAD124-8760-4D2A-A52F-2AE4251CF921}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{DE65C06E-B6F5-4DAB-89A8-EEAABAEEFE1F}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\..\{F2205054-254A-48C5-B73F-5B202CF22373}: NameServer = 85.255.116.40,85.255.112.101 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101 O23 - Service: Uiserver - Unknown owner - C:\Program Files\DefWatch.exe to ostatnie tez nie wiem skad sie wzielo... jak sie tego wszystkiego pozbyc? Combofix usunal tylko dwa pliki w tym ten svchost.exe ale hijackthis go ciagle widzi i nie wiem czy moge to sfixowac tak po prostu...skan antywirem jak widac tez na wiele sie nie zdal...:/ Z gory dziekuje za pomoc.
Silentaxe
Dodano
03.05.2008 17:26:47
Tego pliku nie widze bo go usunal juz wczoraj Combofix tylko w takim razie nie wiem dlaczego HiJack This go jeszcze widzi skoro log byl generowany dzisiaj. Czy to na pewno znaczy ze moge go spokojnie sfixowac?
Silentaxe
Dodano
03.05.2008 14:55:10
odrobacz się pożądnie, widać że masz Avasta i nie wykrywa wirusów on?? O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\System32\drivers\svchost.exe trojan innych nie jestem pewien, ale po usunięciu tego pliku z trybu awaryjnego, potem sfixowaniu wpisu hijackiem, i przeskanowaniu kompa jakimś online antywirem powinno być ok. http://www.hijackthis.de/ tutaj strona do sprawdzania logów jakbyś nie znał
Small Mike
Dodano
03.05.2008 14:04:17
Silentaxe
Dodano:
03.05.2008 13:54:59
Komentarzy:
9
Strona 1 / 1