Mogę mieć "trochę" syfu na kompie - logi

[janosikk]

Witam , podejrzewam że mogę mieć "trochę" syfu na kompie . Proszę o sprawdzenie logów oraz pokierowanie co mam dalej robić.

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:16:46, on 2011-03-23
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\RTHDCPL.EXE
F:\Program Files\ESET\ESET Smart Security\egui.exe
F:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
F:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
F:\Program Files\Common Files\Java\Java Update\jusched.exe
F:\Program Files\ESET\ESET Smart Security\ekrn.exe
F:\Program Files\Messenger\msmsgs.exe
F:\WINDOWS\system32\ctfmon.exe
G:\Program Files\EXPERTool\TBPanel.exe
F:\Program Files\Java\jre6\bin\jqs.exe
g:\Program Files\Raxco\PerfectDisk\PDAgent.exe
F:\WINDOWS\system32\PnkBstrA.exe
F:\WINDOWS\system32\svchost.exe
F:\Program Files\Tunngle\TnglCtrl.exe
g:\Program Files\Raxco\PerfectDisk\PDEngine.exe
F:\WINDOWS\system32\wscntfy.exe
F:\WINDOWS\system32\wbem\wmiapsrv.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\WISPTIS.EXE
F:\Program Files\Java\jre6\bin\javaw.exe
F:\Program Files\LogMeIn Hamachi\hamachi-2.exe
F:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
F:\Program Files\Java\jre6\bin\javaw.exe
F:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe
g:\Program Files\CCleaner\ccleaner.exe
g:\Program Files\Mozilla Firefox\firefox.exe
g:\Program Files\Mozilla Firefox\plugin-container.exe
G:\Program Files\Gadu-Gadu 10\gg.exe
F:\WINDOWS\system32\msiexec.exe
G:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: vShare Toolbar - {043C5167-00BB-4324-AF7E-62013FAEDACF} - F:\Program Files\vShare\vshare_toolbar.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - F:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: vShare Toolbar - {043C5167-00BB-4324-AF7E-62013FAEDACF} - F:\Program Files\vShare\vshare_toolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [egui] "F:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "G:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner.exe" /S
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "F:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "F:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] F:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "F:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] F:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DrvIcon] F:\Program Files\Vista Drive Icon\DrvIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [MSConfig] F:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "F:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "G:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [EPSON Stylus DX4000 Series] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBEE.EXE /FU "F:\WINDOWS\TEMP\E_S324A.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [GAINWARD] g:\Program Files\EXPERTool\TBPanel.exe /A
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - F:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - F:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: f:\windows\system32\nwprovau.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - F:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - F:\Program Files\vShare\vshare_toolbar.dll
O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - F:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - F:\WINDOWS\system32\browseui.dll
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - F:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - F:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - F:\Program Files\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDAgent - Raxco Software, Inc. - g:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - g:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PnkBstrA - Unknown owner - F:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TunngleService - Tunngle.net GmbH - F:\Program Files\Tunngle\TnglCtrl.exe

--
End of file - 8430 bytes

[homik354]

HijackThis obecnie do niczego się nie nadaje, podaj logi z
GMER viewtopic.php?f=22&t=13967#p88736
OTL viewtopic.php?f=22&t=13967#p107754

[janosikk]

extras
http://wklej.eu/index.php?id=27809a52f1
otl
http://wklej.eu/index.php?id=ef91960165
gamer
http://wklej.eu/index.php?id=632d3df740

proszę

[mateo8898]

Są jakieś resztki po infekcji z pamięci przenośnych, ale nic aktywnego nie widać, tylko kosmetyka.

1. Z podłączonymi pamięciami przenośnymi użyj UsbFix z opcji Deletion i podaj utworzony log.

2. Odinstaluj vShare Plugin.

3. Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "http://vshare.toolbarhome.com/?hp=df"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
[2011-01-15 18:43:10 | 000,000,000 | ---D | M] (Softonic-Polska Community Toolbar) -- F:\Documents and Settings\Kacper\Dane aplikacji\Mozilla\Firefox\Profiles\l4e3grwa.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}
[2011-01-29 18:36:38 | 000,000,000 | ---D | M] (vShare) -- F:\Documents and Settings\Kacper\Dane aplikacji\Mozilla\Firefox\Profiles\l4e3grwa.default\extensions\vshare@toolbar
[2010-12-08 15:49:56 | 000,000,933 | ---- | M] () -- F:\Documents and Settings\Kacper\Dane aplikacji\Mozilla\Firefox\Profiles\l4e3grwa.default\searchplugins\conduit.xml
[2011-01-29 18:36:53 | 000,001,583 | ---- | M] () -- F:\Documents and Settings\Kacper\Dane aplikacji\Mozilla\Firefox\Profiles\l4e3grwa.default\searchplugins\web-search.xml
O4 - HKLM..\Run: [DrvIcon] File not found
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKU\S-1-5-21-1708537768-1677128483-682003330-1003..\Run: [wsctf.exe] File not found

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

[janosikk]

usbfix
http://wklej.eu/index.php?id=a0bbda2281
otl,własne skanowanie
http://wklej.eu/index.php?id=b0f3fbb732

extras
http://wklej.eu/index.php?id=5f258c5d25
otl
http://wklej.eu/index.php?id=8d86121ee2

[mateo8898]

W OTL wklej:

:OTL
O3 - HKU\S-1-5-21-1708537768-1677128483-682003330-1003\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O3 - HKU\S-1-5-21-1708537768-1677128483-682003330-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

Klikasz Wykonaj skrypt, później Sprzątanie

W UsbFix kliknij Uninstall

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Odinstaluj starą wersję czytnika .PDF:

Adobe Reader 9.4.3 - Polish

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

Zaktualizuj Firefoksa do najnowszej wersji (Firefox Pomoc Sprawdź dostępność aktualizacji).

[janosikk]

Zrobiłem wszystko oprócz skanowania Malwarebytes' Anti-Malware , program mi się wiesza po chwili , liczba przeskanowanych obiektów rośnie dość równomiernie aż przy około 2-3 tysiącach przeskakuje na ponad 30k i łapie zawieche.

[mateo8898]

Spróbuj wykonać w takim razie szybki skan.