HijackThis log i combofix...prosze o pomoc :/
Oto moj log :/ widze, że coś jest nie tak ale nie wiem dokładnie co i jak usunąć, a nie chciałbym sam czegos przez przypadek namieszać. Wczoraj sprawdzalem system Combofixem i usunal dwa pliki. Pod logiem z hijack this zamieszczam tez loga z combofixa. Naprawde prosiłbym o pomoc.
Logfile of HijackThis v1.99.1
Scan saved at 11:41:14, on 2008-05-03
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\mIRC\mirc.exe
D:\z 40\E\Instalki\hijackthis\HijackThis.exe
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Codec pack - {b448d946-3623-42ab-ba32-c08651e36980} - C:\Program Files\Common Files\System\sys_vd4.dat
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\System32\drivers\svchost.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: update.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun ? Java ????E - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {E0BE586C-7C66-4909-94D6-D18BBBDD6373} (????????????E) - http://app.filebank.co.jp/setup/win/fbx2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B12FDBA3-2BE9-411E-82DC-C85FCD511D58}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7AAD124-8760-4D2A-A52F-2AE4251CF921}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE65C06E-B6F5-4DAB-89A8-EEAABAEEFE1F}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2205054-254A-48C5-B73F-5B202CF22373}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Uiserver - Unknown owner - C:\Program Files\DefWatch.exe
------------------------------------
"Bellevar" - 2008-05-03 3:27:06 - ComboFix 07-07-14.6 - Dodatek Service Pack. 1 NTFS
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\kdgip.exe
((((((((((((((((((((((((( Files Created from 2008-04-03 to 2008-05-03 )))))))))))))))))))))))))))))))
2008-05-01 16:17 81,920 --a------ C:\WINDOWS\uninst194.exe
2008-05-01 16:17 53,248 --a------ C:\WINDOWS\PSEXESVC.EXE
2008-04-14 12:42 46,592 --a------ C:\WINDOWS\system32\uidll.dll
2008-04-11 18:14 60,460 -r-hs---- C:\Program Files\DefWatch.exe
2008-04-05 21:17 d-------- C:\Program Files\SopCast
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2008-05-03 01:34:54 4,406 ----a-w C:\WINDOWS\system32\dmsydths.dat
2008-05-03 01:34:54 2,065 ----a-w C:\WINDOWS\system32\nvwrsok.dat
2008-05-03 01:34:54 0 ----a-w C:\WINDOWS\system32\ole2nlx.dat
2008-05-03 01:34:54 0 ----a-w C:\WINDOWS\system32\comptbj.dat
2008-05-03 01:26:14 13,473 ----a-w C:\WINDOWS\system32\kbdlp.dat
2008-05-03 01:26:14 0 ----a-w C:\WINDOWS\system32\vgak.dat
2008-05-03 01:24:50 557 ----a-w C:\WINDOWS\system32\ctl3ov2c.dat
2008-05-03 01:22:59 11,297 ----a-w C:\WINDOWS\system32\wiavuud.dat
2008-05-03 01:22:11 0 ----a-w C:\WINDOWS\system32\vga2s6v.dat
2008-05-02 17:33:35 -------- d-----w C:\Program Files\mIRC
2008-05-02 16:17:25 -------- d-----w C:\Program Files\eMule
2008-05-02 15:55:39 -------- d-----w C:\DOCUME~1\Bellevar\DANEAP~1\Azureus
2008-05-02 15:55:19 -------- d-----w C:\Program Files\Warcraft III
2008-05-02 12:17:14 -------- d-----w C:\Program Files\FlashGet
2008-05-01 21:21:44 -------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-01 10:05:11 -------- d-----w C:\DOCUME~1\Bellevar\DANEAP~1\Skype
2008-04-17 13:51:37 -------- d-----w C:\Program Files\Azureus
2008-03-30 11:38:39 49,376 ----a-w C:\WINDOWS\system32\perfc015.dat
2008-03-30 11:38:39 355,152 ----a-w C:\WINDOWS\system32\perfh015.dat
2008-03-29 19:25:06 -------- d-----w C:\Program Files\ConGo
2008-03-29 12:02:40 40,846 ----a-w C:\NTDET.EXE
2008-02-25 19:25:24 25,600 ----a-w C:\WINDOWS\system32\winhoq32.dll
2008-02-25 19:25:20 25,600 ----a-w C:\WINDOWS\system32\winepi32.dll
1999-01-01 00:01:14 40,960 --sh--r C:\WINDOWS\system32\krnj32drv.dll
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}]
2006-05-16 15:19 81920 --a------ C:\PROGRA~1\FlashGet\jccatch.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2007-09-25 02:11 501136 --a------ C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b448d946-3623-42ab-ba32-c08651e36980}]
2008-03-29 14:02 0 -r-hs---- C:\Program Files\Common Files\System\sys_vd4.dat
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 15:42 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-06-15 11:20 C:\WINDOWS\system32\nwiz.exe]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-09-14 22:09]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-06-15 11:20]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-20 19:05]
"DAEMON Tools Pro Agent"="C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" [2007-09-06 15:08]
"SVCHOST.EXE"="C:\WINDOWS\System32\drivers\svchost.exe" []
[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"RunNarrator"=Narrator.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"=0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Bellevar^Menu Start^Programy^Autostart^WinMySQLadmin.lnk]
path=C:\Documents and Settings\Bellevar\Menu Start\Programy\Autostart\WinMySQLadmin.lnk
backup=C:\WINDOWS\pss\WinMySQLadmin.lnkStartup
**************************************************************************
catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 03:35:03
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mysql]
"ImagePath"="C:\xampp\mysql\bin\mysqld-nt.exe --defaults-file=c:\xampp\mysql\bin\my.cnf mysql"
Completion time: 2008-05-03 3:35:48 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2008-05-03 03:35
C:\ComboFix2.txt ... 2008-03-26 16:30
C:\ComboFix3.txt ... 2008-03-21 14:34
--- E O F ---
Odpowiedzi: 9
[quote]C:\WINDOWS\uninst194.exe
C:\WINDOWS\PSEXESVC.EXE
C:\WINDOWS\system32\uidll.dll[/quote]
Te oczywiście usuń.
[quote]C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Update.exe
O4 - Global Startup: update.exe [/quote]
To jest to samo, więc nie rozumiem: piszesz, że nie matego pliku, ale jednocześnie jest w użyciu?
W każdym razie usuń Kilboxem C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Update.exe
[quote]O23 - Service: Uiserver - Unknown owner - C:\Program Files\DefWatch.exe[/quote]
Jeśli rzeczywiście nie miałeś nic od Symanteca, to też usuń.
To jest usługa, więc:
>>Start >>> Uruchom >>> wybierz (lub wpisz) [b]cmd[/b]>> zastosuj te komendy (po każdej wciśnij "ENTER"):
[quote][b]SC STOP Uiserver
SC DELETE Uiserver
DEL C:\Program Files\DefWatch.exe[/b][/quote]
.
C:\WINDOWS\system32\krnj32drv.dll - ten plik juz wczesniej zostal usuniety
C:\WINDOWS\uninst194.exe - ten ma status infected/malware wedlug jotti
C:\WINDOWS\PSEXESVC.EXE - ten plik tak samo
C:\WINDOWS\system32\uidll.dll - jak wyzej
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Update.exe - a tego pliku tez nie moge sprawdzic bo go tam nie ma...
O4 - Global Startup: update.exe - nie moge tego zafixowac w HijackThis poniewaz niby ten plik jest aktualnie w uzyciu mialem sprawdzic w menegerze zadan ale nic tam nie widze podobnego co bym mogl zakonczyc proces.
I jeszcze nie wiem co z tym?
O23 - Service: Uiserver - Unknown owner - C:\Program Files\DefWatch.exe
bo wczesniej tego nie mialem a nie przypominam sobie zebym mial jakiego Nortona chocby przez chwile...
Nie napisałeś nic o wynikach sprawdzania na JOTTI/VIRUSTOTAL.
Tak, podane pliki możesz usuwać Killboxem - nie ma żadnych przeciwskazań.
[quote]O2 - BHO: Codec pack - {b448d946-3623-42ab-ba32-c08651e36980} - C:\Program Files\Common Files\System\sys_vd4.dat
O4 - Global Startup: update.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\System32\drivers\svchost.exe[/quote]
Tak, te wpisy możesz sfiksować w Hijacku ("O2" dopiero po usunięciu pliku!):
>>Hijack>>scan(Do a system scan only)>>zaznacz je >>[b]Fix checked[/b].
.
Log z FixWareout:
Username "Bellevar" - 2008-05-03 22:10:50 [Fixwareout edited 9/01/2007]
~~~~~ Prerun check
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
"nameserver"="85.255.116.40 85.255.112.101"
Masz ukraińską infekcję czyli Rootkit "Windows Security Center".
Użyj [url=http://www.searchengines.pl/Kolekcja-narzedzi-usuwajacych-!-t31936.html][b][color=blue][u]FixWareout[/u][/color][/b][/url].
Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.
[url=http://www.searchengines.pl/Zainfekowane-DNS-t47691.html][b][color=blue][u]jak przywrócić prawidłowe DNS[/u][/color][/b][/url]
Potem:
[quote]O17 - HKLM\System\CCS\Services\Tcpip\..\{B12FDBA3-2BE9-411E-82DC-C85FCD511D58}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7AAD124-8760-4D2A-A52F-2AE4251CF921}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE65C06E-B6F5-4DAB-89A8-EEAABAEEFE1F}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2205054-254A-48C5-B73F-5B202CF22373}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101[/quote]
Te w/w wpisy sfiksuj w Hijacku (jeśli jeszcze będą):
>>Hijack>>scan(Do a system scan only)>>zaznacz je >>[b]Fix checked[/b].
Potem:
[quote]C:\WINDOWS\system32\[b]krnj32drv.dll[/b]
C:\WINDOWS\[color=orange][b]uninst194.exe[/b][/color]
C:\WINDOWS\[b]PSEXESVC.EXE[/b]
C:\WINDOWS\system32\[color=orange][b]uidll.dll[/b][/color]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\[color=red][b]Update.exe[/b][/color][/quote]
Sprawdź je na --> [url=http://virusscan.jotti.org/][b][color=blue][u]http://virusscan.jotti.org/[/u][/color][/b][/url]
albo na [url=http://www.virustotal.com/en/indexf.html][b][color=blue][u]http://www.virustotal.com/en/indexf.html[/u][/color][/b][/url].
Jeśli któryś będzie "zły", to dopisz go do Scriptu (pod "File::)
Wklej do [b]Notatnika[/b]:
[CODE]
File::
C:\WINDOWS\system32\winhoq32.dll
C:\WINDOWS\system32\winepi32.dll
C:\Program Files\Common Files\System\sys_vd4.dat
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{b448d946-3623-42ab-ba32-c08651e36980}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SVCHOST.EXE"=-
[/code]
[b]>>Plik>>Zapisz jako... >>> [color=red]CFScript[/color][/b]
Przeciągnij i upuść plik [color=red][b]CFScript.txt[/b][/color] na plik [b]ComboFix.exe[/b]
[b][color=blue]-->[/color][/b] [img]http://img.wklej.org/images/88953CFScript-createdbyMiekiemoes.gif[/img]
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: [b]Po restarcie[/b] usuń ręcznie folder [b]C:\[color=red]Qoobox[/color][/b].
Daj też raport z C:\Fixwareout.txt.
.
Ale zaspamowałeś...
Mówiłem żeby tego svchosta.exe usunąć w awaryjnym potem sfixować o ile jeszcze będzie na liście.
DefWatch.exe to proces Nortona może kiedyś miałeś i plik został
o tym nie mam pojęcia O4 - Global Startup: update.exe może to być wszystko...
to
O2 - BHO: Codec pack - {b448d946-3623-42ab-ba32-c08651e36980} - C:\Program Files\Common Files\System\sys_vd4.dat ja bym wywalił bo jakaś pozostałość pewnie tylko.
Reszte najlepiej sfixuj, bo nie mam zielonego pojęcia co jest, możliwe że jakieś gry online albo coś tego urzywa, ale ogólnie długo miałeś trojana to nie wiadomo co wpuścił...
Przepraszam za post pod postem ale naprawde zalezy mi zeby ktos mi pomogl...
Zrobilem skana antywirem i to co znalazlo powywalalem albo dalem do kwarantanny.
W tej chwili log z HiJackThis wyglada tak(szczerze mowiac to chyba sie nic nie rozni:/ )
Logfile of HijackThis v1.99.1
Scan saved at 15:19:48, on 2008-05-03
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\internet explorer\iexplore.exe
D:\z 40\E\Instalki\hijackthis\HijackThis.exe
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Codec pack - {b448d946-3623-42ab-ba32-c08651e36980} - C:\Program Files\Common Files\System\sys_vd4.dat
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\System32\drivers\svchost.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: update.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun ? Java ????E - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {E0BE586C-7C66-4909-94D6-D18BBBDD6373} (????????????E) - http://app.filebank.co.jp/setup/win/fbx2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B12FDBA3-2BE9-411E-82DC-C85FCD511D58}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7AAD124-8760-4D2A-A52F-2AE4251CF921}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE65C06E-B6F5-4DAB-89A8-EEAABAEEFE1F}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2205054-254A-48C5-B73F-5B202CF22373}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: mysql - Unknown owner - C:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
O23 - Service: Uiserver - Unknown owner - C:\Program Files\DefWatch.exe
Moze mi ktos pomoc? Martwia mnie te wpisy szczegolnie bo wygladaja na jakies cholerstwa:
O2 - BHO: Codec pack - {b448d946-3623-42ab-ba32-c08651e36980} - C:\Program Files\Common Files\System\sys_vd4.dat
O4 - Global Startup: update.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\System32\drivers\svchost.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B12FDBA3-2BE9-411E-82DC-C85FCD511D58}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7AAD124-8760-4D2A-A52F-2AE4251CF921}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE65C06E-B6F5-4DAB-89A8-EEAABAEEFE1F}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2205054-254A-48C5-B73F-5B202CF22373}: NameServer = 85.255.116.40,85.255.112.101
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.40 85.255.112.101
O23 - Service: Uiserver - Unknown owner - C:\Program Files\DefWatch.exe
to ostatnie tez nie wiem skad sie wzielo...
jak sie tego wszystkiego pozbyc?
Combofix usunal tylko dwa pliki w tym ten svchost.exe ale hijackthis go ciagle widzi i nie wiem czy moge to sfixowac tak po prostu...skan antywirem jak widac tez na wiele sie nie zdal...:/
Z gory dziekuje za pomoc.
Tego pliku nie widze bo go usunal juz wczoraj Combofix tylko w takim razie nie wiem dlaczego HiJack This go jeszcze widzi skoro log byl generowany dzisiaj. Czy to na pewno znaczy ze moge go spokojnie sfixowac?
odrobacz się pożądnie, widać że masz Avasta i nie wykrywa wirusów on??
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\System32\drivers\svchost.exe trojan
innych nie jestem pewien, ale po usunięciu tego pliku z trybu awaryjnego, potem sfixowaniu wpisu hijackiem, i przeskanowaniu kompa jakimś online antywirem powinno być ok.
http://www.hijackthis.de/ tutaj strona do sprawdzania logów jakbyś nie znał
Strona 1 / 1