Proszę o sprawdzenie loga

Witam.
Mam taki problem.
Co jakiś czas następuje u mnie przeładowanie explorera.
W podglądzie zdarzeń jest wpis:
"Powłoka systemowa została nagle zatrzymana i uruchomiono Explorer.exe
Źródło: Winlogon
Identyfikator zdarzenia: 1002"
Ostatnio złapałem SpySheriff'a ale wywaliłem go.
Być moźe jakiś śmieć z nim zainstalowany coś uszkodził, lub coś jeszcze zostało.
System przeskanowałem Nortonem Antivirusem i SpyBotem S&D.
Wklejam log z HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 09:53:24, on 2006–01–27
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\keyhook.exe
C:\Program Files\Hewlett–Packard\Toolbox2.0\Apache Tomcat

4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Hewlett–Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Wincmd\WINCMD32.EXE
C:\Program Files\AutoCAD 2000i Plk\acad.exe
C:\WINDOWS\CDILLA64.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\ABC6p\EXE\Abc6.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
c:\temp\Rob\Programy\HijackThis.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\HPBPRO.EXE

O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program

Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:\Program Files\Spybot – Search &

Destroy\SDHelper.dll
O2 – BHO: AcroIEToolbarHelper Class – {AE7CD045–E861–484f–8273–0445EE161910} – C:\Program

Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:\Program Files\Norton

AntiVirus\NavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:\Program Files\Norton

AntiVirus\NavShExt.dll
O3 – Toolbar: Adobe PDF – {47833539–D0C5–4125–9FA8–0819E2EAAC93} – C:\Program Files\Adobe\Acrobat

6.0\Acrobat\AcroIEFavClient.dll
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 – HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 – HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett–Packard\Toolbox2.0\Apache Tomcat

4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 – HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett–Packard\Toolbox2.0\hpbpsttp.exe
O4 – HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
O4 – HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 – HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 – HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV

/CMDLINE "REBOOT"
O4 – HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 – HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security

Center\UsrPrmpt.exe
O4 – HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat

6.0\Distillr\acrotray.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program

Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} –

C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} –

C:\WINDOWS\web\related.htm
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program

Files\Messenger\MSMSGS.EXE
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} –

C:\Program Files\Messenger\MSMSGS.EXE
O14 – IERESET.INF: START_PAGE_URL=http://www.vobis.pl/
O17 – HKLM\System\CCS\Services\Tcpip\..\{4D33885E–2DDD–490D–9F68–4583E6F4C046}: NameServer =

194.204.159.1,194.204.152.34
O20 – Winlogon Notify: msctl32.dll – C:\WINDOWS\
O21 – SSODL: DCOM Server – {2C1CD3D7–86AC–4068–93BC–A02304BB8C34} –

C:\WINDOWS\System32\dcom_13.dll
O21 – SSODL: OWJfYbzmAUi – {74485709–DEE2–FDA3–844B–776283BA2E56} – C:\WINDOWS\System32\lkl.dll
O23 – Service: C–DillaSrv – C–Dilla Ltd – C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 – Service: Symantec Event Manager (ccEvtMgr) – Symantec Corporation – C:\Program Files\Common

Files\Symantec Shared\ccEvtMgr.exe
O23 – Service: Symantec Password Validation (ccPwdSvc) – Symantec Corporation – C:\Program

Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 – Service: Symantec Settings Manager (ccSetMgr) – Symantec Corporation – C:\Program

Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 – Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) – Symantec Corporation –

C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 – Service: Performance True Type Fonts (PerfFont) – Unknown owner –

C:\WINDOWS\System32\perfont.exe
O23 – Service: Pml Driver HPZ12 – HP – C:\WINDOWS\System32\HPZipm12.exe
O23 – Service: SAVScan – Symantec Corporation – C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 – Service: ScriptBlocking Service (SBService) – Symantec Corporation –

C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 – Service: Symantec Network Drivers Service (SNDSrvc) – Symantec Corporation – C:\Program

Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 – Service: SymWMI Service (SymWSC) – Symantec Corporation – C:\Program Files\Common

Files\Symantec Shared\Security Center\SymWSC.exe

Z góry dziękuję za pomoc.

Dzięki.

RobD

Dodano: 31.01.2006 10:41:58

RobD:

Plik perfont.exe jest usunięty a odwołanie do niego zostało. Byłbym wdzięczny za jakąś podpowiedź.

Start –> Uruchom –> cmd i tam wydaj polecenie

sc delete PerfFont

Żółty

Dodano: 31.01.2006 10:28:01

Stalowy Odbyt:
Co zrobiłeś zw wskazanymi plikami ? Usunąłeś ? Czy czekasz ?

Wygooglałem jak się pozbyć i386p.sys oraz msctl32.dll i wywaliłem je z konsoli odzyskiwania. W ten sam sposób usunąłem resztę śmieci z \system 32. Nie wiem tylko jak sobie poradzić z wpisem w HiJackThis:

O23 – Service: Performance True Type Fonts (PerfFont) – Unknown owner – C:\WINDOWS\System32\perfont.exe (file missing)

Plik perfont.exe jest usunięty a odwołanie do niego zostało. Byłbym wdzięczny za jakąś podpowiedź.
Ogólnie komp chodzi duźo lepiej, jednak przeładowania explorera następują co jakiś czas :( Nie wiem, chyba tak będzie musiało zostać :( Dzięki za zainteresowanie.
Pozdrawiam.

RobD

Dodano: 31.01.2006 09:46:40

RobD:
Po przeskanowaniu online maszyną F–Secure wykazało:...

Co zrobiłeś zw wskazanymi plikami ? Usunąłeś ? Czy czekasz ? Folder \Temp wyczyść ręcznie do zera.

Stalowy Odbyt

Dodano: 30.01.2006 20:36:59

Ad@$:
RobD – podaj log RootkitRevealera, a przedtem przeskanuj odpowiednim narzędziem na rootkity od firmy F–Secure.

Powracam do porządkowania tego komputera.
Po przeskanowaniu online maszyną F–Secure wykazało:

Finished: 30 viruses found

Scanned files: 72967 Warning: 30 file(s) still infected!

C:\Documents and Settings\RobertD\Ustawienia lokalne\Temp\3335.exe Trojan–Dropper.Win32.Small.ale

C:\Documents and Settings\RobertD\Ustawienia lokalne\Temp\bzzqhnfs.exe Trojan–Dropper.Win32.Small.ale

C:\Documents and Settings\RobertD\Ustawienia lokalne\Temp\svchst.exe Trojan–Downloader.Win32.PassAlert.m

C:\Program Files\Norton AntiVirus\Quarantine\124001EF Trojan.Java.StartPage.j

C:\Program Files\Norton AntiVirus\Quarantine\1C943681.htm Exploit.HTML.Mht(?)

C:\Program Files\Norton AntiVirus\Quarantine\1DF52065 Trojan.Java.ClassLoader.ai

C:\Program Files\Norton AntiVirus\Quarantine\21252474 Trojan.Java.ClassLoader.ai

C:\Program Files\Norton AntiVirus\Quarantine\213C1361.htm Exploit.VBS.Phel.a

C:\Program Files\Norton AntiVirus\Quarantine\218A030B.htm Exploit.VBS.Phel.a

C:\Program Files\Norton AntiVirus\Quarantine\2A781176 Trojan.Java.ClassLoader.b

C:\Program Files\Norton AntiVirus\Quarantine\2A7C3B72 Exploit.Java.ByteVerify

C:\Program Files\Norton AntiVirus\Quarantine\31E817FA.exe Packed.Win32.Klone.b

C:\Program Files\Norton AntiVirus\Quarantine\3A360B5E.exe Trojan–Downloader.Win32.Adload.m

C:\Program Files\Norton AntiVirus\Quarantine\3D7853F9.exe Packed.Win32.Klone.b

C:\Program Files\Norton AntiVirus\Quarantine\3E581797 Trojan–Spy.Win32.Briss.j

C:\Program Files\Norton AntiVirus\Quarantine\3E5F6B90 Trojan–Downloader.Win32.Wintool.a

C:\Program Files\Norton AntiVirus\Quarantine\443B6371.htm Trojan–Downloader.JS.Psyme.an

C:\Program Files\Norton AntiVirus\Quarantine\465F15C9 Trojan.Java.ClassLoader.ai

C:\Program Files\Norton AntiVirus\Quarantine\4C7823EF Trojan.Java.ClassLoader.Dummy.d

C:\Program Files\Norton AntiVirus\Quarantine\6B18007C.wmf Trojan–Downloader.Win32.Agent.acd

C:\Program Files\Norton AntiVirus\Quarantine\6BD41106.exe Packed.Win32.Klone.b

C:\Program Files\Norton AntiVirus\Quarantine\6C5E6715.exe Packed.Win32.Klone.b

C:\Program Files\Norton AntiVirus\Quarantine\6C653B0E.exe Packed.Win32.Klone.b

C:\Program Files\Norton AntiVirus\Quarantine\6D223E3D.exe not–virus:Hoax.Win32.Renos.aq

C:\WINDOWS\secure32.html not–virus:Hoax.Win32.Renos.ax

C:\WINDOWS\system32\dcom_12.dll Trojan.Win32.Agent.nl

C:\WINDOWS\system32\dcom_13.dll Trojan.Win32.Agent.nl

C:\WINDOWS\system32\drivers\i386p.sys SpamTool.Win32.Mailbot.aa

C:\WINDOWS\system32\msctl32.dll SpamTool.Win32.Mailbot.y

C:\WINDOWS\system32\perfont.exe Trojan–Downloader.Win32.Agent.acv

Jeźeli chodzi o log programu RootkitReveal to nie wklejam go bo boję się linczu ;) Plik .txt ma ponad 8MB.
Mam wkleić jakąś jego część czy przeskanować z wyłączoną którąś z opcji?

RobD

Dodano: 30.01.2006 11:15:53

szzzzz:
Ad@$–Po to aby nie zlealy sie wpisy;]

A co ma się zlewać? Jak się pisze od składnika, po proces i aplikacje uruchamiającą razem, to oczywiście, źe sie zlewa.

RobD – podaj log RootkitRevealera, a przedtem przeskanuj odpowiednim narzędziem na rootkity od firmy F–Secure.

Ad@$

Dodano: 27.01.2006 16:10:19

Ad@$–Po to aby nie zlealy sie wpisy;]

szzzzz

Dodano: 27.01.2006 16:06:13

Under – czy jeszcze nikt ci nie napisał, źe jak się czegoś nie umie, to ani się do tego nie zabiera? Juź na pierwsze oko widać, źes to przeoczył: O20 – Winlogon Notify: msctl32.dll – C:\WINDOWS\. Dalej szukać mi sie nie chce.

szzzzz – a po kiego grzyba? a ja nie bede i tyle :P.

Ad@$

Dodano: 27.01.2006 16:04:33

RobD – skorzystaj z przyklejonej instrukcji do sprawdzania logów, bo masz tam tego trochę.

Wpis O23, który wskazał Under to usługa, którą usuwa się nieco inaczej – przeszukaj forum bo instrukcje były podawane.

Żółty

Dodano: 27.01.2006 15:52:32

Under zawsze zaznaczaj wpisy Quote lub Code

szzzzz

Dodano: 27.01.2006 15:42:56

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
O4 – HKLM\..\Run: [WinTools] C:\PROGRA~1\COMMON~1\WinTools\WToolsA.exe
C:\WINDOWS\System32\perfont.exe
Wywal to.

Under

Dodano: 27.01.2006 11:19:37

Proszę o sprawdzenie loga

Odpowiedzi: 11