Proszę O Sprawszenie Logów

[saad]

Proszę o sprawdzenie:

 

» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "Log z hijackthis."

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:50:06, on 2008-08-26

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\igfxpers.exe

C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Matinsoft\GoldTach\GoldTach.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\igfxext.exe

C:\WINDOWS\System32\igfxsrvc.exe

C:\DOCUME~1\as\USTAWI~1\Temp\RtkBtMnt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [GoldTach] C:\Program Files\Matinsoft\GoldTach\GoldTach.exe

O4 - HKLM\..\RunOnce: [avp6_post_install] msiexec.exe /i"C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Kaspersky Lab Setup Files\Kaspersky Anti-Virus 2009\Polish\kav.pl.msi"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virussca...can_unicode.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD44/JSCDL/jd...ows-i586-jc.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

 

--

End of file - 5294 bytes

 

Dodam,że robiłem dziś skan Kasperskym no-line i wykrył coś takiego:

 

C:\Documents and Settings\as\Ustawienia lokalne\Temp\jN_KIK8f.zip.part/fff-sp23.exe

Zainfekowanych: Trojan.Win32.StartPage.pa pominięty

 

C:\Documents and Settings\as\Ustawienia lokalne\Temp\jN_KIK8f.zip.part

ZIP: zainfekowany - 1 pominięty

 

C:\System Volume Information\_restore{1ADCCB5C-1FB3-43C7-9EF0-57DEEEA3926A}\RP14\A0004414.exe/data.rar/xpkey.exe

Zainfekowanych: not-a-virus:PSWTool.Win32.RAS.g pominięty

 

C:\System Volume Information\_restore{1ADCCB5C-1FB3-43C7-9EF0-57DEEEA3926A}\RP14\A0004414.exe/data.rar/officekey.exe

Zainfekowanych: not-a-virus:PSWTool.Win32.RAS.a pominięty

 

C:\System Volume Information\_restore{1ADCCB5C-1FB3-43C7-9EF0-57DEEEA3926A}\RP14\A0004414.exe/data.rar

Zainfekowanych: not-a-virus:PSWTool.Win32.RAS.a pominięty

 

C:\System Volume Information\_restore{1ADCCB5C-1FB3-43C7-9EF0-57DEEEA3926A}\RP14\A0004414.exe

RarSFX: zainfekowany - 3 pominięty

 

D:\ADAM\systemowe\koader\koader.exe/data.rar/Artiner.exe

Zainfekowanych: not-a-virus:PSWTool.Win32.RAS.g pominięty

 

D:\ADAM\systemowe\koader\koader.exe/data.rar/Artiner2.exe

Zainfekowanych: not-a-virus:PSWTool.Win32.RAS.a pominięty

 

D:\ADAM\systemowe\koader\koader.exe/data.rar

Zainfekowanych: not-a-virus:PSWTool.Win32.RAS.a pominięty

 

D:\ADAM\systemowe\koader\koader.exe

RarSFX: zainfekowany - 3 pominięty

 

 

Chwilę po tym zrobiłem więc gruntowny skan avastem... i niczego nie znalazł!

 

Mam się zacząć bać? 8O

Edytowane 30 Sierpnia 2008 przez Kolobos

[Kolobos]

Tzn czego chcesz sie bac? Usun pliki z temp i tyle.

[saad]

Tymczasowe wyczyściłem od razu.

Ale co z tymi w C:System Volume? Jeśli dobrze się orientuję zainfekowane są pliki związane z punktem przywracania systemu?

 

C:\System Volume Information\_restore{1ADCCB5C-1FB3-43C7-9EF0-57DEEEA3926A}\RP14\A0004414.exe/data.rar

Zainfekowanych: not-a-virus:PSWTool.Win32.RAS.a pominięty

 

Dodam,że przed chwilą SpyBot również niczego nie znalazł. W takim razie co jeszcze powinienem zrobić?

[Kolobos]

Wylacz na chwile przywracanie systemu.