Dodaj do ulubionych

Proszę o sprawdzenie loga

14.07.07, 10:00
Witam komputer mi się zawirusował spyware doctor naprawiał niby, ale problem
był nadal żadne programy antywirusowe nie pomagały sformatowałem komputer, a
właściwie tylko dysk C, mam service pack 2 oczywiście, spyware doctor i avasta
wgrałem tym razem i nadal jest zawirusowany.Internet mam całkowicie
zablokowany dlatego piszę z innego komputera.Zastanawiam się co źle robię
skoro nadal są wirusy, proszę o sprawdzenie loga.

Logfile of HijackThis v1.99.1
Scan saved at 09:39:19, on 2007-07-14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
E:\programy\Avast4\aswUpdSv.exe
E:\programy\Avast4\ashServ.exe
C:\Program Files\VDOTool\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\A4Tech\Mouse\Amoumain.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Creative\Sound Blaster X-Fi\DVDAudio\CTDVDDET.EXE
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\NEOSTR~1\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
E:\programy\Avast4\ashDisp.exe
C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
E:\programy\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe
E:\programy\Ares\Ares.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\programy\Spyware Doctor\svcntaux.exe
E:\programy\Spyware Doctor\swdsvc.exe
C:\Program Files\Creative\ShareDLL\CADI\NotiMan.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
E:\programy\Avast4\ashMaiSv.exe
E:\programy\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\JACH-M~1\USTAWI~1\Temp\Katalog tymczasowy 1 dla
hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.neostrada.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTDVDDET] "C:\Program Files\Creative\Sound Blaster
X-Fi\DVDAudio\CTDVDDET.EXE"
O4 - HKLM\..\Run: [RCSystem] "C:\Program Files\Creative\Shared Files\Module
Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared
Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program
Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster
X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
O4 - HKLM\..\Run: [avast!] E:\programy\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [SDTray] "E:\programy\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] "C:\Program
Files\Creative\MediaSource\Detector\CTDetect.exe" /R
O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Program
Files\Creative\MediaSource\Go\CTCMSGo.exe" /SCB
O4 - HKCU\..\Run: [ares] "E:\programy\Ares\Ares.exe" -h
O4 - Startup: Reboot.exe
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -
-{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group
- E:\programy\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -
E:\programy\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\programy\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner -
E:\programy\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner -
E:\programy\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -
C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program
Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service
(LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common
Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools -
E:\programy\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools -
E:\programy\Spyware Doctor\swdsvc.exe

Obserwuj wątek
      • jach-mann Re: Proszę o sprawdzenie loga 14.07.07, 12:49
        usunąłem Reboot SuperAntiSpyware nie znalazłem, ale chyba ProAntiSpyware miałem
        tylko nie skanował zbytnio odinstalowałem, a program spyware doctor, który nie
        miał możliwości zaktualizowania się przez internet wykrywa poza plikami cookie
        itp. głównie jako wysokie zagrożenie Trojan.PWS.Tanspy w rejestrze
        HKEY_LOCA_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\load
        i mam go również na drugim komputerze na którym teraz piszę, które zwykle łączą
        się sieciowo, ale w tej sytuacji nie podłączam.Komputer był atakowany sieciowo
        zapewne z tego drugiego komputera Exploit jakiś było napisane, a czasem jak
        internet przestawał chodzić wyskakiwał błąd w którym był wymieniony Win32
        combofix uruchomiłem na obu komputerach jednak nie mam możliwości już zgrania
        kodu jaki wyświetlił combofix, ponieważ USB nie wykrywa pamięci Flash często
        modemu też TP DSL na USB, ale myszka działa na USB.Na płytę dvd-rw chciałem
        nagrać te pliki, ale też sie nie dało program się zawiesił więc wyłączyłem.Na
        obu komputerach zauważam odświeżanie ekranu i paska z zegarem, czasem wyświetli
        się w innym motywie skóry. Będę próbował nadal zgrać ten kod, aby móc go wedle
        zaleceń przekazać.
      • jach-mann Re: Proszę o sprawdzenie loga 14.07.07, 13:05
        Jest już udało mi się po ponownym uruchomieniu komputera zgrać plik tekstowy,
        uruchomiłem bombofix jeszcze raz zauważyłem blokowane wirusy zdążyłem zapisaś
        Trojan.Goldun C:\Windows\system32\...
        Oto link do loga z bombofix
        wklej.org/id/43fcf426d1
        • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.escom.net.pl 14.07.07, 13:48
          > SuperAntiSpyware nie znalazłem

          Gdzie nie znalazles? Wpisujesz w google, sciagasz i skanujesz..

          > ProAntiSpyware miałem

          To jakis syf, odinstaluj i usun katalog (o ile jeszcze to masz).

          Uzyj: downloads.subratam.org/Fixwareout.exe

          > Trojan.Goldun C:\Windows\system32\...

          W jakich plikach?

          Daj log z gmera z zakladki rootkit.

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka