Flappy utworzono 31 sierpnia 2010 utworzono 31 sierpnia 2010 (edytowane) Witam wszystkich serdecznie, Od rana bezskutecznie walczę z wirusem na moim Windowsie XP. Oto logi: [log]Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:20:03, on 2010-08-31 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\nvsvc32.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\Program Files\Java\jre6\bin\jqs.exe D:\WINDOWS\system32\wuauclt.exe D:\WINDOWS\system32\atwtusb.exe D:\WINDOWS\system32\RUNDLL32.EXE D:\WINDOWS\RTHDCPL.EXE D:\Program Files\Common Files\Java\Java Update\jusched.exe D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe D:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe D:\Program Files\Orbitdownloader\orbitdm.exe D:\WINDOWS\system32\wscntfy.exe D:\Program Files\Orbitdownloader\orbitnet.exe D:\WINDOWS\system32\TBLMOUSE.EXE D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\taskmgr.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Program Files\Orbitdownloader\orbitcth.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - D:\Program Files\Styler\TB\StylerTB.dll O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Program Files\Orbitdownloader\GrabPro.dll O4 - HKLM\..\Run: [atwtusb] atwtusb.exe O4 - HKLM\..\Run: [nwiz] D:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [amd_dc_opt] D:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "D:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" O4 - HKLM\..\Run: [SwitchBoard] D:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "D:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "D:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe O4 - HKLM\..\Run: [WinUpdate] D:\Documents and Settings\Krzysiu\Dane aplikacji\Winupdate.exe O4 - HKLM\..\Run: [Windows Installer] d:\windows\Windows Installer.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AQQ] D:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe O4 - HKCU\..\Run: [WinUpdate] D:\Documents and Settings\Krzysiu\Dane aplikacji\Winupdate.exe O4 - HKCU\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe O4 - HKLM\..\Policies\Explorer\Run: [WinUpdate] D:\Documents and Settings\Krzysiu\Dane aplikacji\Winupdate.exe O4 - HKUS\S-1-5-18\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe (User 'Default user') O4 - Global Startup: McAfee Security Scan Plus.lnk = ? O4 - Global Startup: Orbit.lnk = D:\Program Files\Orbitdownloader\orbitdm.exe O8 - Extra context menu item: &Download by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/201 O8 - Extra context menu item: &Grab video by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/204 O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/203 O8 - Extra context menu item: Down&load all by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/202 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{06BC29E3-DBD6-4187-BC4B-7480933DA156}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{209992D6-5565-46C6-9198-0769B67D16CE}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{06BC29E3-DBD6-4187-BC4B-7480933DA156}: NameServer = 192.168.1.1 O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - D:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: SwitchBoard - Adobe Systems Incorporated - D:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe -- End of file - 6479 bytes [/log] Niepokoją mnie te linijki [code]O4 - HKCU\..\Run: [WinUpdate] D:\Documents and Settings\Krzysiu\Dane aplikacji\Winupdate.exe O4 - HKCU\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe O4 - HKLM\..\Policies\Explorer\Run: [WinUpdate] D:\Documents and Settings\Krzysiu\Dane aplikacji\Winupdate.exe O4 - HKUS\S-1-5-18\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe (User 'Default user')[/code] I jeszcze kilka takich pokrewnych. Usunięcie tego nie byłoby problemem, gdyby nie fakt że próba zabicia procesu Winupdate.exe kończy się restartem kompa, a tryb awaryjny(ani zwykły, ani z obsługą sieci, ani z wierszem poleceń) najzwyczajniej w świecie nie chce się uruchomić... Tzn. migają te takie białe napisy jakby się wszystko ładowało, a po chwili komp się restartuje. Próba uruchomienia combofixa też niewiele daje, ponieważ przy uruchomieniu zabija on proces Winupdate.exe co skutkuje restartem. przy starcie systemu włącza się jeszcze jeden proces zillusion56.exe ale ten mogę spokojnie zabić. Będę bardzo wdzięczny za każdą pomoc. Pozdrawiam.
Tomek01 komentarz 31 sierpnia 2010 komentarz 31 sierpnia 2010 Wrzuć logi RSIT i OTL wklejając je w TAGI ! (regulamin). Jest tu dość poważna infekcja, dlatego potrzebuję zobaczyć również rejestr. HiJackThis jest za słabym narzędziem, zbyt mało widać.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.