Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus lub trojan w c:Windows/Temp

levy1 06 Lip 2009 23:48 2693 8
  • #1 06 Lip 2009 23:48
    levy1
    Poziom 9  

    Ludzie pomóżcie bo wymiękam. Jest problem tego typu. Od jakiegoś czasu jak chcę przeskanować kompa antywirem kasperskim, albo innym skanerem online np mks, norton, kaspersky, eset to mi wywala błąd explorer.exe jak dojdzie skanowanie do C:windows/temp. podejrzewam, że coś w nim siedzi ale ręcznie tego nie mogę usunąć, bo jak tylko najadę myszką na ten folder to też od razu wywala mi błąd explorer.exe. Próbowałem przez tryb awaryjny i to samo się dzieje. To jest mój log z Hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 15:05:36, on 2009-07-06
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    D:\Install Programs\Ad aware pro\aawservice.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    D:\Install Programs\Ad Muncher\AdMunch.exe
    C:\Program Files\ATK Hotkey\Hcontrol.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Install Programs\TuneUp2008\MemOptimizer.exe
    D:\Install Programs\Spybot - Search & Destroy\TeaTimer.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\ATK Hotkey\ATKOSD.exe
    C:\WINDOWS\system32\agrsmsvc.exe
    D:\Install Programs\kis2009\avp.exe
    C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\explorer.exe
    D:\Install Programs\Opera\opera.exe
    D:\Install Programs\Ad aware pro\Ad-Aware.exe
    D:\Install Programs\Hijacksthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [www.wloclawek.info.pl]
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [http://www.wloclawek.info.pl/]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = [go.microsoft.com/fwlink/?LinkId=54843]
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\INSTAL~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Install Programs\kis2009\ievkbd.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Ad Muncher] "D:\Install Programs\Ad Muncher\AdMunch.exe" /bt
    O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Program Files\ATK Hotkey\Hcontrol.exe"




    O4 - HKLM\..\Run: [AVP] "D:\Install Programs\kis2009\avp.exe"
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\Install Programs\TuneUp2008\MemOptimizer.exe" autostart
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Install Programs\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Block frame with Ad Muncher - [http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=K5PN70AI&id=menu_ie_frame]
    O8 - Extra context menu item: Block image with Ad Muncher - [http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=K5PN70AI&id=menu_ie_image]
    O8 - Extra context menu item: Block link with Ad Muncher - [http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=K5PN70AI&id=menu_ie_link]
    O8 - Extra context menu item: Dodaj do listy blokowanych banerów - D:\Install Programs\kis2009\ie_banner_deny.htm
    O8 - Extra context menu item: Don't filter page with Ad Muncher - [http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=K5PN70AI&id=menu_ie_exclude]
    O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Report page to the Ad Muncher developers - [http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=K5PN70AI&id=menu_ie_report]
    O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Install Programs\kis2009\SCIEPlgn.dll
    O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\INSTAL~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\INSTAL~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O15 - Trusted Zone: [*.mks.com.pl]
    O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - [http://www.mks.com.pl/skaner/SkanerOnline.cab]
    O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - [download.eset.com/special/eos/OnlineScanner.cab]
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: D:\INSTAL~1\kis2009\mzvkbd.dll,D:\INSTAL~1\kis2009\adialhk.dll,D:\INSTAL~1\kis2009\kloehk.dll
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Install Programs\Ad aware pro\aawservice.exe
    O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
    O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - D:\Install Programs\kis2009\avp.exe
    O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
    O23 - Service: Start BT in service - Unknown owner - D:\Install Programs\Bluesoleil\StartSkysolSvc.exe
    O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

    --
    End of file - 7286 bytes

    Czym to ruszyć, czy jedyne wyjście to format?????

    0 8
  • #2 06 Lip 2009 23:53
    romano5809
    Poziom 23  

    Ściągnij program ComboFix w najnowszej wersji, uruchom go w trybie awaryjnym, potem po restarcie komputera obejrzyj log wygenerowany przez ComboFixa - możesz go wkleić na forum - i zacznij ponowne skanowanie programem antywirusowym.

    0
  • #3 07 Lip 2009 00:31
    levy1
    Poziom 9  

    Dzięki za podpowiedź, chyba pomogło i obejdzie się bez formatu. Combofix znalazł takie coś:


    ((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\documents and settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat
    c:\documents and settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat
    c:\program files\myglobalsearch
    c:\program files\myglobalsearch\bar\History\search
    c:\windows\system32\drivers\SKYNETpfwosswv.sys
    c:\windows\system32\SKYNETbnetnquq.dat
    c:\windows\system32\SKYNETcvnmdipm.dll
    c:\windows\system32\SKYNETenvpviyq.dat
    c:\windows\system32\SKYNETesecvprw.dll
    c:\windows\system32\SKYNETexuwyeis.dat
    c:\windows\system32\SKYNETfgqspylb.dat
    c:\windows\system32\SKYNETfjtkwexn.dat
    c:\windows\system32\SKYNETfvrecxge.dat
    c:\windows\system32\SKYNETibirpqrj.dll
    c:\windows\system32\SKYNETiewxfjnk.dat
    c:\windows\system32\SKYNETivfbbjtq.dll
    c:\windows\system32\SKYNETkikbftap.dll
    c:\windows\system32\SKYNETkqevxaeg.dll
    c:\windows\system32\SKYNETkxxyltof.dll
    c:\windows\system32\SKYNETlrmfwypa.dat
    c:\windows\system32\SKYNETmbapbdrt.dll
    c:\windows\system32\SKYNETmnbvttnx.dat
    c:\windows\system32\SKYNETnqwhpfjg.dll
    c:\windows\system32\SKYNEToepchexo.dat
    c:\windows\system32\SKYNETofvnpses.dll
    c:\windows\system32\SKYNETowxduauw.dll
    c:\windows\system32\SKYNETpbvtiqsp.dll
    c:\windows\system32\SKYNETpevwxvns.dat
    c:\windows\system32\SKYNETphewbsyb.dll
    c:\windows\system32\SKYNETqadmixwj.dat
    c:\windows\system32\SKYNETqjpiyfux.dat
    c:\windows\system32\SKYNETramlnqjo.dat
    c:\windows\system32\SKYNETtmcimcor.dll
    c:\windows\system32\SKYNETulbdmdtp.dat
    c:\windows\system32\SKYNETwipmvmnl.dll
    c:\windows\system32\SKYNETxeixgowq.dll
    c:\windows\system32\SKYNETxnqvrecx.dll
    c:\windows\system32\SKYNETyrorqhwh.dat
    c:\windows\system32\SKYNETyyraexmw.dat

    ----- BITS: Możliwe zainfekowane strony -----

    hxxp://xuri.info
    .
    ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_SKYNETwbpbnrbf



    i chyba ten SKYNET tak krzaczy mi system. Jeszcze raz dzięki!!!!!

    0
  • #4 07 Lip 2009 00:51
    romano5809
    Poziom 23  

    Dla pewności możesz jeszcze odpalić program SdFix (też w trybie awaryjnym) a potem włącz na noc skanowanie antywirusem całego komputera.

    0
  • #5 07 Lip 2009 01:17
    Kolobos
    Spec od komputerów

    Popraw swoje posty i daj logi w ZALACZNIKU. Do tego to co dales to tylko kawalek log'a z combofix. Uzyj jeszcze raz combofix i daj nowy log.

    0
  • #7 07 Lip 2009 16:53
    Kolobos
    Spec od komputerów

    Wszystko wyglada ok.

    0
  • #8 07 Lip 2009 22:01
    romano5809
    Poziom 23  

    Jak już się obrobisz ze skanowaniem antywirusowym - polecam ci zainstalowanie i uruchomienie programu CCleaner - usunie ci niepotrzebne śmieci, uszkodzone linki i błędne wpisy rejestru. Ponadto również w tym programie wejdź w zakładkę Narzędzia / Autostart i usuń odnośniki do programów, które niepotrzebnie uruchamiają się podczas startu Windowsa - Gadu Gadu, skype, Tlen, Office... Jeżeli nie jesteś pewien, jakiego programu wpis dotyczy - nie usuwaj go ale zatrzymaj - zawsze będziesz mógł za pomocą CCleanera uaktywnić go ponownie. Dzięki tym zabiegom komputer powinien pracować szybciej i wydajniej.

    0
  • #9 08 Lip 2009 14:35
    levy1
    Poziom 9  

    Mam już CCleaner i dosyć często z niego korzystam, autostart też mam pod kontrolą, dzięki za rady. Pewnie niedługo i tak czeka mnie format, bo ostatni robiłem ponad rok temu i przydałoby się odświerzyć system, tylko że nie chce mi się poźniej instalować tych wszystkich sterowników do lapka.

    0