log z hijackthis - prosze o sprawdzenie
witam!
wklejam tutaj loga z hjt i prosilbym azeby ktos mi go sprawdzil.. Zrobilem 2skany avastem i nic nie wykryl ale mam wrazenie ze cos siedzi mi w kompie:) wyskakuje mi co chwile jakas stronka - zupelnie nie proszona - poprostu sama sie otwiera. komputer zaczyna mi sie ciac. i czasami chwyta lagi na jakies 5min. co wczesniej sie nie zdarzalo. dodam - bo to wg istotne - ze wczoraj walczylem z rootki'em. sciagnalem gmera bo wyczytalem ze to dobry program to tego rodzaju robakow. no i wydawalo mi sie wszystko jest ok poniewaz avast nie sygnalizowal wiecej robali a komputer dzialal jak nalezy. az do dzisiaj. za kazdym razem jak odpale ie wyskakuje mi kolejna z jakas inna stronka a do tego komputer chodzi nadzwyczaj wolno. nie chcialbym sie odwolywac do radykalnych sposobow typu format dlatego prosze was o pomoc :)
oto log:
[quote]Logfile of HijackThis v1.99.1
Scan saved at 12:51:07, on 2008-04-27
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\AutoConnect\AutoConnect.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\explorer.exe
C:\Program Files\WapSter\AQQ\AQQ.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\WOJTEK\USTAWI~1\Temp\Rar$EX00.208\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sciaga.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [d095ab65] rundll32.exe "C:\WINDOWS\system32\hawkxvwv.dll",b
O4 - HKLM\..\Run: [BMd3a698f9] Rundll32.exe "C:\WINDOWS\system32\cijvjxay.dll",s
O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Link to &MidpX - E:\Program Files\MidpX\JadInvoker\Extent\jad_wrap.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{50D55A91-4782-493E-84B9-EDF0035C2C1C}: NameServer = 194.204.159.1 217.98.63.164
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
[/quote]
najardziej martwi mnie te linijki[quote]C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
[/quote] chociaz patrzac na inne logi widze to samo
prosze o mozliwie najszybsza pomoc :)
pozdrawiam!
Odpowiedzi: 3
To jest infekcja "VUNDO", a więc najprawdopodobniej w logu Hijacka jest widoczny tylko wierzchołek tej góry - na pewno jest więcej plików do usunięcia. Radzę użyć [url=http://www.searchengines.pl/phpbb203/index.php?showtopic=86306][b][color=blue][u]ComboFix[/u][/color][/b][/url].
Opis użycia ComboFix jest na dole tej strony z linku. Daj z niego log.
Log wklej na [url=http://wklej.org/][b][color=blue]http://wklej.org/[/color][/b][/url], a tu daj tylko link.
.
O4 - HKLM\..\Run: [d095ab65] rundll32.exe "C:\WINDOWS\system32\hawkxvwv.dll",b
O4 - HKLM\..\Run: [BMd3a698f9] Rundll32.exe "C:\WINDOWS\system32\cijvjxay.dll",s
usuń w trybie awaryjnym te pliki, restart, potem sfixuj w trybie awaryjnym/normalnym.
juz nie powinno być malware.
pzdr
http://hijackthis.de/ masz tu stronę do sprawdzenia logu wklej loga i daj analize - a masz tam nieprawidłowości a twoje podejrzenia są niewłaściwe. Powodzenia
Strona 1 / 1