Sprawdzenie loga z HIJACK THIS

07.03.10, 00:35
Witam,

Zwracam się do Państwa z ogromną prośbą. Jestem laikiem w sprawach
komputerowych, proszę więc o wsparcie, pomoc i wyrozumiałość. Przepraszam
również za niefachowe sformułowania:) W komputerze na 1 dysku mam Windows’a
2000, na drugim XP. Na XP pojawił się problem – po uruchomieniu, pokazuje się
standardowo napis Zapraszamy, następnie tapeta i nie wyświetlają się na
pulpicie żadne ikony ani pasek zadań. Ten proces trwa kila sekund i następuje
powrót do widoku Zapraszamy i prośba o wybór użytkownika i zalogowanie.
Klikniecie nic nie daje, ponieważ akcja kończy się tak samo, w tym samym
momencie:( W trybie awaryjnym sytuacja jest identyczna.

Obecnie pracuję na Windows’ie 2000.W Google sprawdziłam, że opisane objawy
pasują na trojana, i może być przydatny Malwarebytes Anti-Malware. Próbowałam
go zainstalować– jednak nie jest to możliwe. Pokazuje się informacja, że
„Program wymaga Windows NT w wersji 4.0 lub późniejszej”. Na tym dysku mam
zainstalowanego Avast’a! i próbną wersję Spyware Doctor. Posiadam również
Spybot- Search & Destroy, ale obawiam się samodzielnie go używać. Skany
wykazują trojany. Avast! części z nich nie mógł poddać kwarantannie oraz naprawić.


Za Waszą radą zainstalowałam HIJACKTHIS i poniżej załączam logi.
Z góry dziękuję ślicznie za pomoc :)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:59:16, on 2010-03-06
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)
Boot mode: Normal

Running processes:
C:\WME\SYSTEM\KERNEL32.DLL
C:\WME\SYSTEM\MSGSRV32.EXE
C:\WME\SYSTEM\SPOOL32.EXE
C:\WME\SYSTEM\MPREXE.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WME\SYSTEM\mmtask.tsk
C:\WME\SYSTEM\RESTORE\STMGR.EXE
C:\WME\EXPLORER.EXE
C:\WME\SYSTEM\INTERNAT.EXE
C:\WME\TASKMON.EXE
C:\WME\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\PROGRAM FILES\CYBERLINK\POWERDVD\PDVDSERV.EXE
C:\WME\SOUNDMAN.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\WME\SYSTEM\WMIEXE.EXE
C:\WME\SYSTEM\RPCSS.EXE
C:\WME\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
C:\WME\PULPIT\HIJACKTHIS.EXE
C:\WME\SYSTEM\WBEM\WINMGMT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.pl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = w3cache.duna.pl:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} -
C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} -
C:\PROGRA~1\SPYWAR~1\TOOLS\IESDPB.DLL
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -
C:\PROGRA~1\SPYWAR~1\TOOLS\IESDSG.DLL
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} -
C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio -
{8E718888-423F-11D2-876E-00A0C9082467} - C:\WME\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
C:\PROGRAM FILES\YAHOO!\COMPANION\INSTALLS\CPN\YT.DLL
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WME\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WME\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WME\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program
Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\PROGRAM FILES\ANTI TROJAN
ELITE\TJENDER.EXE :NO
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WME\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray
O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE
DOCTOR\SWDOCTOR.EXE" /Q
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search &
Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE"
/tray (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE
DOCTOR\SWDOCTOR.EXE" /Q (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot -
Search & Destroy\TeaTimer.exe (User 'Default user')
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE (User 'Default user')
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: folder.htt
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WME\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WME\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WME\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WME\SYSTEM\MSJAVA.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search &
Destroy\SDHelper.dll
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) -
asp11.photoprintit.de/microsite/defaults/activex/IPSUploader.cab
--
End of file - 5158 bytes


    • kolobos Re: Sprawdzenie loga z HIJACK THIS 07.03.10, 00:52
      forum.gazeta.pl/forum/w,430,102884243,102884243,Przeczytaj_zanim_napiszesz_Zasady_dzialu_.html
      • sivri Re: Sprawdzenie loga z HIJACK THIS 07.03.10, 12:05
        Najmocniej przepraszam, na usprawiedliwienie dodam że miałam w nocy problemy z
        Internetem. Strona wklej.org. nie chciała się uruchomić.

        Jak już wspominałam jestem komputerowym laikiem. Nieświadomie wprowadziłam Pana
        w błąd - system, na którym obecnie pracuję to nie Windows 2000, tylko Windows ME.

        Zainstalowałam również Dr.Web CureIt!, jednak podczas skanowania dysków, system
        się zawiesza i konieczne jest zrestartowanie komputera.

        Jeżeli coś jeszcze powinnam dodać do tego postu, to proszę napisać :)
        Z góry dziękuję za pomoc i jeszcze raz przepraszam :)

        zasyłam poniżej link:
        wklej.org/id/291815/#
        • Gość: Kolobos Re: Sprawdzenie loga z HIJACK THIS IP: *.zask.pl 07.03.10, 13:51
          Daj log z OTL o ile sie uruchomi.
          • sivri Re: Sprawdzenie loga z HIJACK THIS 07.03.10, 15:04
            Niestety, nie mogę zainstalować OTL.
            • Gość: Kolobos Re: Sprawdzenie loga z HIJACK THIS IP: *.zask.pl 07.03.10, 15:47
              Sprobuj wypakowac plik userinit.exe z plyty instalacyjnej XP i podmienic z tym na dysku. Nastepnie sprawdz czy problem z logowaniem nadal wystepuje.
              • sivri Re: Sprawdzenie loga z HIJACK THIS 07.03.10, 15:55
                Jeszcze raz spróbowałam Dr.Web CureIt!, pomyślnie przeszło szybkie skanowanie.
                Nie było żadnej infekcji. Rozpocznę więc skanowanie pełne.
                Dziękuję, że Pan mi pomaga :)
                • Gość: Kolobos Re: Sprawdzenie loga z HIJACK THIS IP: *.zask.pl 07.03.10, 15:57
                  Skoro nie wykrylo to pewnie nie ma infekcji. Zrob to co napisalem w poprzednim poscie.
                  • sivri Re: Sprawdzenie loga z HIJACK THIS 07.03.10, 20:32
                    Chyba skorzystam z Pana pomocy za kilka tygodni. Płyta instalacyjna została w
                    domu u Rodziców, nie przyszło mi do głowy że będzię potrzebna... Mam przy sobie
                    jedynie Windows 95, ale to na nic zapewne nam się nie przyda :( Czy można ten
                    plik "wziąć" z innego komputera, w którym jest wgrany XP? Ale pewnie nie, bo był
                    instalowany z innej płyty, ma inny numer seryjny...

                    Tak, jak wspomniałam zrobiłam skan Dr.Web CureIt!. Szybki nic nie wykrył,
                    natomiast pełny znalazł na Dysku C (Windows ME) 30 infekcji, 4 adware i 1
                    hacktools. Skanowanie szło bardzo opornie i przy dysku, na którym jest
                    zainstalowany XP zawiesił się i musiałam zresetować.

                    Pozdrawiam :)
                    • sivri wynik skanu dla dysku z XP 07.03.10, 23:36
                      Postanowiłam zrobić skana Dr.Web CureIt!, tylko dla dysku z Windowsem XP.
                      Strasznie komputer się mulił, ale zrobił.
                      Załączam wynik:
                      wklej.org/id/292351/#
                      Jak już wspominałam w poprzednim poście, Dr.Web CureIt! znalazł sporo świństwa
                      na dysku z Windowem ME. Może, aby uniknąć powtórnego zawieszenia, powinnam
                      zrobić skan tylko dla tego dysku i przedstawić Panu jego wynik?

                      Dobranoc :)
                      • Gość: Kolobos Re: wynik skanu dla dysku z XP IP: *.zask.pl 08.03.10, 01:50
                        Predzej masz problem z dyskiem niz z infekcja, wiec nie ma sensu dalsze skanowanie.

                        Jak chcesz to uzyj HdTune i daj screeny ze wszystkich zakladek programu o ile zadziala pod ME.
                        • sivri Re: wynik skanu dla dysku z XP 08.03.10, 10:04
                          Polecony przez Pana program, nie zadziałał.

                          Myślałam, że przyczyną "unieruchomienia" XP są trojany, bądź wirusy. Ponieważ, z
                          komputerem było wszystko ok, do dnia w którym zgrałam na pendrive pliki, które
                          kilka dni wcześniej znalazły się na tym dysku. Były to dokumenty tekstowe,
                          zgrane od innej osoby. Myślałam, że pliki są w porządku, mój antywirus nic nie
                          wykrył. Natomiast antywirus na drugim komputerze, po podłączeniu pendrive wykrył
                          na nim infekcje.

Pełna wersja