Proszę o sprawdzenie loga z HijackThis

IP: *.rudanet.pl 15.11.06, 16:25
Witam.

Mój problem 1 - bardzo wolno działa mi komputer. Nie mogę sie zalogować na
niektóre strony.

Problem 2 - pojawiajace się okienko Avasta o zbyt wysokiej liczbie
podejrzanych wiadomości w tym samym czasie. Poza tym codziennie otrzymuję na
pocztę dziwne wiadomosci w języku angielskim :(

Avast wykrył 7 zarazonych plików przez wirusy Win32:Sdbot-3881, Dialer-gen
oraz Rbot-CQK.
Pliki zarażone przeniosłam do kwarantanny i ... nie wiem , co dalej.
Co właściwie się dzieje z tymi plikami w Kwarantannie?
Problemy pozostały.

Wklejam log z HijackThis. Proszę o pomoc i dziękuję.

Logfile of HijackThis v1.99.1
Scan saved at 16:11:14, on 2006-11-15
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Ahead\InCD\InCDsrv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\ATI Technologies\Panel sterowania ATI\atiptaxx.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
D:\Program Files\Ahead\InCD\InCD.exe
D:\Program Files\Creative\ShareDLL\CtNotify.exe
D:\WINDOWS\System32\CTHELPER.EXE
D:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\Gadu-Gadu\gg.exe
D:\Program Files\Creative\SBLive\RemoteCenter\Rc\Rcman.exe
D:\WINDOWS\system32\winsrcv.exe
D:\WINDOWS\system32\lssrvc.exe
D:\Program Files\PC-TV\WinManager\WinManager.exe
D:\Program Files\Creative\ShareDLL\MediaDet.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\CTSVCCDA.EXE
D:\WINDOWS\System32\MsPMSPSv.exe
D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\System32\wuauclt.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Przeglądarka Mozilla\firefox.exe
D:\Documents and Settings\Administrator\Pulpit\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink DVD
Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Disc Detector] D:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Program
Files\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] D:\Program Files\Creative\Splash
Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\Hewlett-Packard\HP
Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program
Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [RemoteCenter] D:\Program
Files\Creative\SBLive\RemoteCenter\Rc\Rcman.exe
O4 - HKCU\..\Run: [vssl2] D:\WINDOWS\system32\winsrcv.exe
O4 - HKCU\..\Run: [chsr] D:\WINDOWS\system32\lssrvc.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: WinManager.lnk = D:\Program
Files\PC-TV\WinManager\WinManager.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program
Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software
AutoUpdate) - www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) -
mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software
AutoUpdate Support Package) - www.creative.com/su/ocx/15026/CTPID.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -
D:\WINDOWS\system32\CTSVCCDA.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Program
Files\Ahead\InCD\InCDsrv.exe

Pozdrawiam
    • Gość: Kolobos Re: Proszę o sprawdzenie loga z HijackThis IP: *.escom.net.pl 15.11.06, 20:06
      Twoj problem to piracki windows bez aktualizacji...

      - zamknij porty przy pomocy wwdc.exe
      - zrob skan przy pomocy ewido
      - nie uzywaj IE

      W menadzerze zadan zakoncz:
      D:\WINDOWS\system32\winsrcv.exe
      D:\WINDOWS\system32\lssrvc.exe

      W hjt usun:
      O4 - HKCU\..\Run: [vssl2] D:\WINDOWS\system32\winsrcv.exe <- plik usun z dysku
      O4 - HKCU\..\Run: [chsr] D:\WINDOWS\system32\lssrvc.exe <- plik usun z dysku.
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      D:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links -
      {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
      • Gość: Ewelina Re: Proszę o sprawdzenie loga z HijackThis IP: *.rudanet.pl 15.11.06, 22:52
        Zamknęłam te porty.

        Zrobiłam skan przy pomocy ewido. W efekcie otrzymałam nastepujące informacje o
        znalezionych zarazach.
        Risk - hight:
        Backdoor.rbot.aeu
        Backdoor.Sdbot.awk
        Proxy.slaper.e

        Risk: Medium
        21 odmian TrackingCookie

        Nie bardzo wiem o co chodzi :-( .Angielski znam słabo. Nacisnęłam "recommend
        action" i pokazało się action -> done. Czy o to chodziło?

        Jesli chodzi o menadżer zadań , to nie znalazłam tych procesów, które miałam
        zakończyć.

        Usunęłam odpowiednie wpisy w Hjt.
        Teraz Log wygląda jak poniżej. Co jeszcze mam zrobić?
        Dziękuję za pomoc.


        Logfile of HijackThis v1.99.1
        Scan saved at 22:34:21, on 2006-11-15
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        D:\WINDOWS\System32\smss.exe
        D:\WINDOWS\system32\winlogon.exe
        D:\WINDOWS\system32\services.exe
        D:\WINDOWS\system32\lsass.exe
        D:\WINDOWS\system32\svchost.exe
        D:\WINDOWS\System32\svchost.exe
        D:\Program Files\Ahead\InCD\InCDsrv.exe
        D:\WINDOWS\Explorer.EXE
        D:\WINDOWS\system32\spoolsv.exe
        D:\Program Files\ATI Technologies\Panel sterowania ATI\atiptaxx.exe
        D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        D:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
        D:\Program Files\Ahead\InCD\InCD.exe
        D:\Program Files\Creative\ShareDLL\CtNotify.exe
        D:\WINDOWS\System32\CTHELPER.EXE
        D:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
        D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
        D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
        D:\WINDOWS\System32\ctfmon.exe
        D:\Program Files\Messenger\msmsgs.exe
        D:\Program Files\Gadu-Gadu\gg.exe
        D:\Program Files\Creative\SBLive\RemoteCenter\Rc\Rcman.exe
        D:\Program Files\PC-TV\WinManager\WinManager.exe
        D:\Program Files\Creative\ShareDLL\MediaDet.exe
        D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        D:\Program Files\Alwil Software\Avast4\ashServ.exe
        D:\WINDOWS\system32\CTSVCCDA.EXE
        D:\WINDOWS\System32\MsPMSPSv.exe
        D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        D:\WINDOWS\System32\wuauclt.exe
        D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
        D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
        D:\Program Files\Przeglądarka Mozilla\firefox.exe
        D:\Documents and Settings\Administrator\Pulpit\hijackthis\hijackthis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        D:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
        O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program
        Files\Java\jre1.5.0_06\bin\ssv.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        D:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
        O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [RemoteControl] "D:\Program Files\CyberLink DVD
        Solution\PowerDVD\PDVDServ.exe"
        O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe
        O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [Disc Detector] D:\Program Files\Creative\ShareDLL\CtNotify.exe
        O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
        O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
        O4 - HKLM\..\Run: [Jet Detection] D:\Program
        Files\Creative\SBLive\PROGRAM\ADGJDet.exe
        O4 - HKLM\..\Run: [CTStartup] D:\Program Files\Creative\Splash
        Screen\CTEaxSpl.EXE /run
        O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\Hewlett-Packard\HP
        Software Update\HPWuSchd.exe
        O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
        D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
        O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program
        Files\Java\jre1.5.0_06\bin\jusched.exe
        O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
        O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Program Files\Grisoft\AVG Anti-Spyware
        7.5\avgas.exe" /minimized
        O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray
        O4 - HKCU\..\Run: [RemoteCenter] D:\Program
        Files\Creative\SBLive\RemoteCenter\Rc\Rcman.exe
        O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
        Office\Office\OSA9.EXE
        O4 - Global Startup: WinManager.lnk = D:\Program
        Files\PC-TV\WinManager\WinManager.exe
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console -
        {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program
        Files\Java\jre1.5.0_06\bin\ssv.dll
        O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate)
        - www.creative.com/su/ocx/15026/CTSUEng.cab
        O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) -
        mks.com.pl/skaner/SkanerOnline.cab
        O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate
        Support Package) - www.creative.com/su/ocx/15026/CTPID.cab
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
        D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil
        Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil
        Software\Avast4\ashMaiSv.exe" /service (file missing)
        O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil
        Software\Avast4\ashWebSv.exe" /service (file missing)
        O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. -
        D:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
        O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -
        D:\WINDOWS\system32\CTSVCCDA.EXE
        O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Program
        Files\Ahead\InCD\InCDsrv.exe


        A IE otworzyłam tylko dwa razy , żeby uzyć skanera on-line. Niestety w trakcie
        skanowania komputer się zawieszał.
        Nie będę używała IE.
        • Gość: Kolobos Re: Proszę o sprawdzenie loga z HijackThis IP: *.escom.net.pl 16.11.06, 04:16
          > robiłam skan przy pomocy ewido.

          Usun wszystko to co nnalazl (ustaw remove przy kazdym).

          > Usunęłam odpowiednie wpisy w Hjt.

          Usun tez z dysku pliki, ktore wymieniliem.

          Log jest ok.
          • Gość: Ewelina Re: Proszę o sprawdzenie loga z HijackThis IP: *.rudanet.pl 16.11.06, 10:02
            Gość portalu: Kolobos napisał(a):


            > Usun wszystko to co nnalazl (ustaw remove przy kazdym).

            Przepraszam,że zawracam głowę , ale boję się cokolwiek usuwać ,wiec chciałabym
            się jeszcze upewnić, czy mam wejśc w Infections (tam mam Qarantine i kilkanaście
            ścieżek dostępu) - czy mam klikac na kazdej i wcisnąć przycisk "remove finally" ? ?
            Pojawia się wtedy okienko do potwierdzania z napisem" They will not be
            recoverable! ".

            A moze mam usunąc wszystko , co znalazł w oknie Scanner - Scan (tylko,że tam nie
            ma przycisku "remove").



            > Usun tez z dysku pliki, ktore wymieniliem

            Jesli chodzi o pliki do usunięcia z dysku, po prostu ich nie mam (szukałam ich
            ręcznie i poprzez wyszukaj pliki i foldery, również ukryte). Nie ma ich.
            Usunęłam je tylko w Hjt.

            Dziekuję za pomoc.
            • Gość: Kolobos Re: Proszę o sprawdzenie loga z HijackThis IP: *.escom.net.pl 16.11.06, 11:00
              Z kwarantanny tez usun, a wiec "remove finally", a w oknie skan z tego co pamietam pojawia sie zainfekowane pliki itd po przeskanowaniu i tam przy kazdym masz domyslna akcje (kwarantanna/usuwanie itd) wiec zmien na usuwanie o ile jeszcze cos wykrywa.
              • Gość: Ewelina Re: Proszę o sprawdzenie loga z HijackThis IP: *.rudanet.pl 17.11.06, 10:05
                Przepraszam,że zawracam głowę, ale chyba robię coś źle,

                bo klikam na "Remove finally", a w oknie scan na "delete" i klikam w domyslną
                akcję - Delete zmienia się na done, ale po ponownym uruchomieniu programu
                Anti-Spyware znów wykrywa zainfekowane pliki :-(

                Nic z tego nie rozumiem ..
                • Gość: Kolobos Re: Proszę o sprawdzenie loga z HijackThis IP: *.escom.net.pl 17.11.06, 17:28
                  Oczywiscie po zaznaczeniu remove zatwieradzasz wszystko? Wykrywa Ci ciagle to samo?
                  • Gość: Ewelina Re: Proszę o sprawdzenie loga z HijackThis IP: *.rudanet.pl 17.11.06, 21:54
                    Tak, zatwierdzam wszystko. Nie wykrywa tego samego . Ostatnio wykrył 20 rodzajów
                    TrackingCookie .

                    Dodam tylko,że komputer chodzi już lepiej i mogę się logować na strony, na które
                    nie mogłam.
                    • Gość: Kolobos Re: Proszę o sprawdzenie loga z HijackThis IP: *.escom.net.pl 17.11.06, 21:58
                      Ciastka zostaw w spokoju i tak za chwile utworza sie nowe.

                      Jak chcesz to zainstaluj SpywareBlaster oraz SpyBot S&D i w obu programach wlacz ochrone przegladarki.
                      • Gość: Ewelina Re: Proszę o sprawdzenie loga z HijackThis IP: *.rudanet.pl 18.11.06, 11:16
                        Ok. Bardzo dziękuję za pomoc. Miłego weekendu :-)
Pełna wersja