Prosze o sprawdzenie loga :(
Chciałbym prosić o sprawdzenie loga z HijackThis. Od jakiegoś czasu kiedy włączam Internet Explorer to wolno sie uruchamia i komputer w tym czasie zachowuje sie jakby...na moment sie zawieszał własciwie. Nie moge przez moment nic zrobic procz ruszania myszką. Niektore inne programy jak chocby sam HijackThis tez sie wolniej otwieraja. Poza tym kiedy wchodze na strony, obojetnie jakie takie, które mają jakieś reklamy to prawie kazda reklama ze zwyklej czy to jakiejs o dvd z anime czy cos takeigo zamienia się w reklame typu "Congratulations! You've won!" itp. Mam Avasta i kiedy sprawdzam w nim w zakladce oslona www to pojawia sie tam po wczytaniu takiej strony cos takiego:
ostatnie skanowanie: htp://content.yieldmanager.edgersuite.net/atoms/1b/23/i jakies dziwne numerki
albo
ostatnie skanowanie: htp://ad.yieldmanager.net czy cos takiego
Kiedy wczyta sie strona startowa pokazuje sie raz normalnie google.pl a raz coś takiego:
ostatnie skanowanie: htp://194.126.193.155/nrjs/chk/i jakies dziwne numerki
Po otwarciu nie ktorych stron wyskakuje mi błąd Internet Explorera i po nacisnieciu ok oczywiscie strony sie zamykaja. Jest to dosc czeste musze przyznac wczesniej czegos takiego nie mialem wchodzac na strony.
Ponadto w katalogu WINDOWS pojawily mi sie jakies pliki exe z data utworzenia 10 czerwca 2007 badz 16 czerwca 2007 i nie wiem czy moge je tak po prostu usunac bo nie chce nic popsuc a nie chcialbym formatowac:(..oto te pliki:
adtpr.exe
alq.exe
c.exe
fl.exe
fretbd.exe
itcu.exe
kqpluls.exe
p.exe
qapnpbx.exe
qkehr.exe
tsxt.exe
ubocka.exe
yy.exe
Kompletnie nie wiem co sie dzieje. Nie wiem czy tylko niepotrzebnie sie tym martwie. Moglby mi ktos powiedziec co jest nie tak? Bede wdzieczny.
Nizej zamieszczam log z HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 15:23:40, on 2007-07-20
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\eMule\emule.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\z 40\E\Instalki\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: BHOAd - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\xhelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {E0BE586C-7C66-4909-94D6-D18BBBDD6373} (????????????E) - http://app.filebank.co.jp/setup/win/fbx2.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
Odpowiedzi: 7
Z zadaniami - wpisz w start -> uruchom c:\windows\tasks Potem w otwartym oknie sprawdzaj po kolei jaki jest element jest widoczny we własciwości "uruchom" (po dwukrotnym kliknięciu na zadanie).
Co do Silent Runners - sprawdź czy w tym samym wierszu wywala błąd - [url]http://www.silentrunners.org/Silent%20Runners.vbs[/url]
Zapomnialem to sprawdzic jeszcze -_-'. A co do SilentRunners to pisalem o tym juz na forum jakis czas temu tutaj:
http://forum.centrumxp.pl/default.aspx?g=posts&t=83043
Kurcze z tymi zadaniami to ja w ogole juz sie nie lapie. Nie mam o nich pojecia w ogole co to sa za zadania -_-' ale to byly zadania tworzone chyba przez ten plik exe w System32 ktory juz usunalem ten w..cos tam...
W plikach dat spodziewałem sie programów ale myliłem sie. Na mój gust możesz je usunąć.
Masz włączone pokazywanie plików chronionych przez system ?? Jeżeli nie to w opcjach folderów -> widok odznacz "Ukryj chronione pliki ...". Jak to nie przyniesie poprawy (pokazanie plików) to ściągnij Killboxa i wklej mu ścieżki nie zwracając uwagi na to, że Ty plików nie widzisz.
Słowem sie nie zająknąłes o Silent Runners ...
Update:
W logu Combofixa widac dalej zadania Harmonogramu zadań - sprawdziłes je i znasz to co tam jest ??
Pliki dat:
http://www.sendspace.com/file/du2e9j
a co w nich moze byc?
a i w Program Files nie mam tych 4 ostatnich plikow.
ok ta reszte usunalem i oto log z HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 21:10:58, on 2007-07-20
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\internet explorer\iexplore.exe
D:\z 40\E\Instalki\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {E0BE586C-7C66-4909-94D6-D18BBBDD6373} (????????????E) - http://app.filebank.co.jp/setup/win/fbx2.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe
i z ComboFix:
"Bellevar" - 2007-07-20 21:12:25 - ComboFix 07-07-14.6 - Dodatek Service Pack. 1 NTFS
((((((((((((((((((((((((( Files Created from 2007-06-20 to 2007-07-20 )))))))))))))))))))))))))))))))
2007-07-20 21:04 d-------- C:\!KillBox
2007-07-20 19:09 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-19 22:24 95,872 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-19 22:24 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-19 22:24 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-19 22:24 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-19 22:24 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-19 22:24 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-19 22:24 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-19 21:02 d-------- C:\Program Files\Mp3 Knife
2007-07-12 22:31 d-------- C:\eMule Incoming
2007-07-12 22:30 d-------- C:\eMule Temp
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-07-20 19:10:18 4,261 ----a-w C:\WINDOWS\system32\wiavuud.dat
2007-07-20 19:10:18 2,026 ----a-w C:\WINDOWS\system32\comptbj.dat
2007-07-20 19:10:18 17,902 ----a-w C:\WINDOWS\system32\kbdlp.dat
2007-07-20 19:10:18 14,819 ----a-w C:\WINDOWS\system32\dmsydths.dat
2007-07-20 19:10:18 11,056 ----a-w C:\WINDOWS\system32\vga2s6v.dat
2007-07-20 19:10:18 10,629 ----a-w C:\WINDOWS\system32\nvwrsok.dat
2007-07-20 19:10:18 0 ----a-w C:\WINDOWS\system32\ole2nlx.dat
2007-07-20 19:10:14 0 ----a-w C:\WINDOWS\system32\vgak.dat
2007-07-20 19:03:51 -------- d-----w C:\Program Files\eMule
2007-07-20 18:28:16 -------- d-----w C:\Program Files\FlashGet
2007-07-20 06:15:35 365 ----a-w C:\WINDOWS\system32\ctl3ov2c.dat
2007-07-19 21:05:41 -------- d-----w C:\Program Files\mIRC
2007-07-18 15:09:55 -------- d-----w C:\DOCUME~1\Bellevar\DANEAP~1\Azureus
2007-07-17 20:10:27 -------- d-----w C:\DOCUME~1\Bellevar\DANEAP~1\Hamachi
2007-07-12 15:00:55 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-07-07 14:50:38 -------- d-----w C:\Program Files\Warcraft III
2007-06-18 15:25:35 12,464 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-06-17 08:13:35 -------- d-----w C:\Program Files\Techland
2007-06-16 13:34:31 -------- d-----w C:\Program Files\Eidos Interactive
2007-06-15 17:08:17 -------- d-----w C:\Program Files\Telltale Games
2007-06-07 14:38:05 -------- d-----w C:\DOCUME~1\Bellevar\DANEAP~1\Skype
2006-07-18 13:41:13 1,019,094 --sha-r C:\Program Files\serial.zip
2006-07-18 13:41:13 1,019,094 --sha-r C:\Program Files\serial.tde
2006-05-28 16:46:51 397,306 --sha-r C:\Program Files\wunauclt.zip
2006-05-28 16:46:51 397,306 --sha-r C:\Program Files\wunauclt.tbe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2004-12-14 11:56 63136 -ra------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}]
2006-05-16 15:19 81920 --a------ C:\PROGRA~1\FlashGet\jccatch.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
2005-05-31 02:04 853672 --a------ C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2006-09-07 17:06 434279 --a------ C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E5A1691B-D188-4419-AD02-90002030B8EE}]
2006-03-31 23:27 191096 --a------ C:\PROGRA~1\FlashFXP\IEFlash.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 15:42 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-06-15 11:20 C:\WINDOWS\system32\nwiz.exe]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-08-13 20:05]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-09-14 22:09]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-20 19:05]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"RunNarrator"=Narrator.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=
Contents of the 'Scheduled Tasks' folder
2007-05-01 08:00:00 C:\WINDOWS\tasks\At1.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At10.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At11.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At12.job
2007-07-20 07:01:12 C:\WINDOWS\tasks\At13.job
2007-07-20 08:00:30 C:\WINDOWS\tasks\At14.job
2007-07-20 09:00:30 C:\WINDOWS\tasks\At15.job
2007-07-20 10:00:30 C:\WINDOWS\tasks\At16.job
2007-07-20 11:00:31 C:\WINDOWS\tasks\At17.job
2007-07-20 12:00:30 C:\WINDOWS\tasks\At18.job
2007-07-20 13:00:30 C:\WINDOWS\tasks\At19.job
2007-07-01 18:00:00 C:\WINDOWS\tasks\At2.job
2007-07-20 14:00:30 C:\WINDOWS\tasks\At20.job
2007-07-20 15:00:30 C:\WINDOWS\tasks\At21.job
2007-07-20 16:00:30 C:\WINDOWS\tasks\At22.job
2007-07-20 17:00:30 C:\WINDOWS\tasks\At23.job
2007-07-20 18:01:12 C:\WINDOWS\tasks\At24.job
2007-07-20 19:00:00 C:\WINDOWS\tasks\At25.job
2007-07-19 20:00:30 C:\WINDOWS\tasks\At26.job
2007-07-19 21:01:22 C:\WINDOWS\tasks\At27.job
2007-07-01 12:00:00 C:\WINDOWS\tasks\At3.job
2007-07-19 22:00:30 C:\WINDOWS\tasks\At4.job
2007-07-19 23:00:30 C:\WINDOWS\tasks\At5.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At6.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At7.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At8.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At9.job
**************************************************************************
catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-20 21:13:49
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-07-20 21:14:08
C:\ComboFix-quarantined-files.txt ... 2007-07-20 21:14
C:\ComboFix2.txt ... 2007-07-20 19:13
--- E O F ---
Jaki jest problem z Silent Runners ?? Może go rozwiążemy.
catchme.exe i nircmd.exe sa normalne.
xhelper.dll leci do usunięcia a jego wpis w Hijacku do zafixowania.
Do usunięcia (nie chce mi sie sprawdzac z tą lista co stworzyłes wczesniej, pewnie znakomita wiekszość sie powtarza):
C:\WINDOWS\system32\WDvtHhh5.exe
C:\WINDOWS\system32\nvwrsok.dat
C:\WINDOWS\system32\dmsydths.dat
C:\WINDOWS\system32\comptbj.dat
C:\WINDOWS\system32\ole2nlx.dat
C:\WINDOWS\system32\wiavuud.dat
C:\WINDOWS\system32\kbdlp.dat
C:\WINDOWS\system32\vga2s6v.dat
C:\WINDOWS\system32\vgak.dat
C:\WINDOWS\system32\ctl3ov2c.dat
C:\WINDOWS\sxerp.exe
C:\WINDOWS\alq.exe
C:\WINDOWS\itcu.exe
C:\WINDOWS\fretbd.exe
C:\WINDOWS\tsxt.exe
C:\WINDOWS\qkehr.exe
C:\WINDOWS\adtpr.exe
C:\WINDOWS\fl.exe
C:\WINDOWS\qapnpbx.exe
C:\WINDOWS\kqpluls.exe
C:\WINDOWS\ubocka.exe
C:\Program Files\serial.zip
C:\Program Files\serial.tde
C:\Program Files\wunauclt.zip
C:\Program Files\wunauclt.tbe
Plików dat nie usuwaj od razu, spakuj je i jeżeli możesz wystaw gdzieś na sieć. Chciałbym je obejrzec.
Teraz Harmonogram zadań i jego zadania (zawartość folderu C:\Windows\Tasks) - zajrzyj tam i sprawdź co to za zaplanowane zadania tam siedzą - jak nie znasz - usuń.
Po robocie ponownie logi - Hijacka i Combofixa.
Jak się uda zwalczyć problem z Silent Runners to również chciałbym go obejrzeć.
Z Silent Runner s nie moge zrobic loga ale tak juz mialem wczesniej ale mam ten z Combofix:
A i po zrobieniu loga w katalogu Windows pojawily mi sie takie dwa pliki exe: catchme.exe i nircmd.exe...to normalne?
I jeszcze jedno...te pozostale pliki ktorych nie usunal ComboFix tez usunac? razem z tym xhelper.dll?
"Bellevar" - 2007-07-20 19:10:34 - ComboFix 07-07-14.6 - Dodatek Service Pack. 1 NTFS
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
C:\Program Files\Common Files\microsoft shared\web folders\ibm00001.dll
C:\Program Files\Common Files\microsoft shared\web folders\ibm00002.dll
C:\WINDOWS\c.exe
C:\WINDOWS\p.exe
C:\WINDOWS\system32\_000102_.tmp.dll
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\LEGACY_NTMLSVC
-------\NtmlSvc
((((((((((((((((((((((((( Files Created from 2007-06-20 to 2007-07-20 )))))))))))))))))))))))))))))))
2007-07-20 19:09 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-19 22:24 95,872 --a------ C:\WINDOWS\system32\AVASTSS.scr
2007-07-19 22:24 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-19 22:24 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-19 22:24 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-19 22:24 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-19 22:24 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-19 22:24 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-19 21:02 d-------- C:\Program Files\Mp3 Knife
2007-07-19 10:11 126,976 --a------ C:\WINDOWS\xhelper.dll
2007-07-19 10:00 23,616 --a------ C:\WINDOWS\system32\WDvtHhh5.exe
2007-07-12 22:31 d-------- C:\eMule Incoming
2007-07-12 22:30 d-------- C:\eMule Temp
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
2007-07-20 17:13:11 8,438 ----a-w C:\WINDOWS\system32\nvwrsok.dat
2007-07-20 17:13:11 8,324 ----a-w C:\WINDOWS\system32\dmsydths.dat
2007-07-20 17:13:11 1,906 ----a-w C:\WINDOWS\system32\comptbj.dat
2007-07-20 17:13:11 0 ----a-w C:\WINDOWS\system32\ole2nlx.dat
2007-07-20 17:08:40 -------- d-----w C:\Program Files\FlashGet
2007-07-20 17:05:24 3,393 ----a-w C:\WINDOWS\system32\wiavuud.dat
2007-07-20 17:05:24 16,053 ----a-w C:\WINDOWS\system32\kbdlp.dat
2007-07-20 16:57:29 10,792 ----a-w C:\WINDOWS\system32\vga2s6v.dat
2007-07-20 16:57:29 0 ----a-w C:\WINDOWS\system32\vgak.dat
2007-07-20 14:55:58 -------- d-----w C:\Program Files\eMule
2007-07-20 06:15:35 365 ----a-w C:\WINDOWS\system32\ctl3ov2c.dat
2007-07-19 21:05:41 -------- d-----w C:\Program Files\mIRC
2007-07-18 15:09:55 -------- d-----w C:\DOCUME~1\Bellevar\DANEAP~1\Azureus
2007-07-17 20:10:27 -------- d-----w C:\DOCUME~1\Bellevar\DANEAP~1\Hamachi
2007-07-12 15:00:55 -------- d--h--w C:\Program Files\InstallShield Installation Information
2007-07-07 14:50:38 -------- d-----w C:\Program Files\Warcraft III
2007-06-18 15:25:35 12,464 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-06-17 12:31:03 32,584 ----a-w C:\WINDOWS\sxerp.exe
2007-06-17 12:30:59 32,584 ----a-w C:\WINDOWS\alq.exe
2007-06-17 08:13:35 -------- d-----w C:\Program Files\Techland
2007-06-16 13:34:31 -------- d-----w C:\Program Files\Eidos Interactive
2007-06-16 09:02:14 32,584 ----a-w C:\WINDOWS\itcu.exe
2007-06-16 09:02:13 32,584 ----a-w C:\WINDOWS\fretbd.exe
2007-06-15 17:08:17 -------- d-----w C:\Program Files\Telltale Games
2007-06-10 14:15:30 32,584 ----a-w C:\WINDOWS\tsxt.exe
2007-06-10 14:12:51 32,584 ----a-w C:\WINDOWS\qkehr.exe
2007-06-10 09:15:40 32,584 ----a-w C:\WINDOWS\adtpr.exe
2007-06-10 08:30:30 32,584 ----a-w C:\WINDOWS\fl.exe
2007-06-10 08:10:51 32,584 ----a-w C:\WINDOWS\qapnpbx.exe
2007-06-10 08:10:41 32,584 ----a-w C:\WINDOWS\kqpluls.exe
2007-06-10 08:06:30 32,584 ----a-w C:\WINDOWS\ubocka.exe
2007-06-07 14:38:05 -------- d-----w C:\DOCUME~1\Bellevar\DANEAP~1\Skype
2006-07-18 13:41:13 1,019,094 --sha-r C:\Program Files\serial.zip
2006-07-18 13:41:13 1,019,094 --sha-r C:\Program Files\serial.tde
2006-05-28 16:46:51 397,306 --sha-r C:\Program Files\wunauclt.zip
2006-05-28 16:46:51 397,306 --sha-r C:\Program Files\wunauclt.tbe
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2004-12-14 11:56 63136 -ra------ C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}]
2006-05-16 15:19 81920 --a------ C:\PROGRA~1\FlashGet\jccatch.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
2005-05-31 02:04 853672 --a------ C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2006-09-07 17:06 434279 --a------ C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{85589B5D-D53D-4237-A677-46B82EA275F3}]
2007-07-19 10:11 126976 --a------ C:\WINDOWS\xhelper.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E5A1691B-D188-4419-AD02-90002030B8EE}]
2006-03-31 23:27 191096 --a------ C:\PROGRA~1\FlashFXP\IEFlash.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 15:42 C:\WINDOWS\SOUNDMAN.EXE]
"nwiz"="nwiz.exe" [2005-06-15 11:20 C:\WINDOWS\system32\nwiz.exe]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-08-13 20:05]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-09-14 22:09]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-06-15 11:20]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-20 19:05]
[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"RunNarrator"=Narrator.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=
Contents of the 'Scheduled Tasks' folder
2007-05-01 08:00:00 C:\WINDOWS\tasks\At1.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At10.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At11.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At12.job
2007-07-20 07:01:12 C:\WINDOWS\tasks\At13.job
2007-07-20 08:00:30 C:\WINDOWS\tasks\At14.job
2007-07-20 09:00:30 C:\WINDOWS\tasks\At15.job
2007-07-20 10:00:30 C:\WINDOWS\tasks\At16.job
2007-07-20 11:00:31 C:\WINDOWS\tasks\At17.job
2007-07-20 12:00:30 C:\WINDOWS\tasks\At18.job
2007-07-20 13:00:30 C:\WINDOWS\tasks\At19.job
2007-07-01 18:00:00 C:\WINDOWS\tasks\At2.job
2007-07-20 14:00:30 C:\WINDOWS\tasks\At20.job
2007-07-20 15:00:30 C:\WINDOWS\tasks\At21.job
2007-07-20 16:00:30 C:\WINDOWS\tasks\At22.job
2007-07-20 17:00:30 C:\WINDOWS\tasks\At23.job
2007-07-19 18:00:30 C:\WINDOWS\tasks\At24.job
2007-07-19 19:00:30 C:\WINDOWS\tasks\At25.job
2007-07-19 20:00:30 C:\WINDOWS\tasks\At26.job
2007-07-19 21:01:22 C:\WINDOWS\tasks\At27.job
2007-07-01 12:00:00 C:\WINDOWS\tasks\At3.job
2007-07-19 22:00:30 C:\WINDOWS\tasks\At4.job
2007-07-19 23:00:30 C:\WINDOWS\tasks\At5.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At6.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At7.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At8.job
2007-07-19 08:00:03 C:\WINDOWS\tasks\At9.job
**************************************************************************
catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-20 19:13:19
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
Completion time: 2007-07-20 19:13:55 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-20 19:13
--- E O F ---
PLiki wyglądają na do usunięcia.
Dodatkowo
[quote]O2 - BHO: BHOAd - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\xhelper.dll
O16 - DPF: {E0BE586C-7C66-4909-94D6-D18BBBDD6373} (????????????E) - http://app.filebank.co.jp/setup/win/fbx2.cab[/quote]
Pokaż logi Silent Runners i Combofix.
Strona 1 / 1