anka_ts
(Ankats)
30 Wrzesień 2005 12:09
#1
To log z laptopa koleżanki. Skarżyła się, że ładują jej się porno-strony. Myślałam, że sobie poradzę sama - jestem wieloletnim użytkownikiem internetu, ale nigdy jeszcze nie widziałam tyle syfu… :o
Informacje: System - XP, bez 2SP. AD-Aware znalazł mnóstwo Trojanów, po sprawdzaniu w trybie awaryjnym, mówi, że już nic złego nie ma. Ale Ad-Aware ciągle znajduje i wywala Istbara. A początkowo znalazł ok 400 różnego typu śmieci, poza Istbarem chyba sobie poradził.
Jakiś 30-dniowy anty-trojan nie znalazł nic.
załączam loga z Hijacka:
Logfile of HijackThis v1.99.1 Scan saved at 13:50:07, on 2005-09-30 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.de/ad-aware/persona … rade.shtml R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\saishook.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [websx] C:\Program Files\websx\int51828.exe -auto O4 - HKLM…\Run: [DialerKiller] C:\Program Files\Dialer Killer\DialKill.exe -h O4 - HKLM…\Run: [CloneCDElbyCDFL] “C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe” /L ElbyCDFL O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe” O4 - HKLM…\Run: [ducC] C:\WINDOWS\bjsfmhm.exe O4 - HKLM…\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe O4 - HKLM…\Run: [wpuzqrwn] C:\WINDOWS\wpuzqrwn.exe O4 - HKLM…\Run: [tto76lp6] C:\WINDOWS\System32\tto76lp6.exe O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM…\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM…\Run: [MPFExe] C:\PROGRA~1\McAfee.com \PERSON~1\MpfTray.exe O4 - HKLM…\Run: [McRegWiz] C:\PROGRA~1\McAfee.com \Agent\mcregwiz.exe /autorun O4 - HKLM…\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com \agent\mcagent.exe O4 - HKLM…\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com \agent\mcupdate.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Quick Shelf.lnk = ? O9 - Extra button: Encarta Encyclopedia - {2FDEF853-0759-11D4-A92E-006097DBED37} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\A\ERS_ENC.HTM O9 - Extra ‘Tools’ menuitem: Encarta Encyclopedia - {2FDEF853-0759-11D4-A92E-006097DBED37} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\A\ERS_ENC.HTM O9 - Extra button: Define - {5DA9DE80-097A-11D4-A92E-006097DBED37} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\A\ERS_DEF.HTM O9 - Extra ‘Tools’ menuitem: Define - {5DA9DE80-097A-11D4-A92E-006097DBED37} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\A\ERS_DEF.HTM O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com \Agent\mcupdmgr.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com \PERSON~1\MPFSERVICE.exe
błagam o pomoc
anka
kuz5
(Kuz5)
30 Wrzesień 2005 12:53
#2
W Dodaj/Usun jeżeli bedzie 180searchassistant to odinstaluj ta aplikacje
Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\program files\180searchassistant\saishook.dll O4 - HKLM…\Run: [websx] C:\Program Files\websx\int51828.exe -auto O4 - HKLM…\Run: [ducC] C:\WINDOWS\bjsfmhm.exe O4 - HKLM…\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe O4 - HKLM…\Run: [wpuzqrwn] C:\WINDOWS\wpuzqrwn.exe O4 - HKLM…\Run: [tto76lp6] C:\WINDOWS\System32\tto76lp6.exe
Pliki na czerwono usun ręcznie z dysku
Jeżeli bedziesz miała problem z usunięciem jakiegos pliku to napisz.
Pyra
(Pyra20)
30 Wrzesień 2005 13:01
#3
może przeskanu jeszcze tym:
SpyBot - Search & Destroy v1.4 PL
http://www.see-cure.de/files/spybotsd14.exe
PestPatrol
http://download.zonelabs.com/bin/free/p … olHome.exe
to jest coś w stylu ad-aware, ale znajduje inne smieci których ad-aware nie znajdzie
anka_ts
(Ankats)
30 Wrzesień 2005 13:41
#4
Baaardzo dziękuję za pomoc!
Wykasowałam te pliki, ale tych 2 nie było:
Załączam świeżego loga
Logfile of HijackThis v1.99.1 Scan saved at 15:29:05, on 2005-09-30 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\Katalog tymczasowy 3 dla hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lavasoft.de/ad-aware/persona … rade.shtml R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [DialerKiller] C:\Program Files\Dialer Killer\DialKill.exe -h O4 - HKLM…\Run: [CloneCDElbyCDFL] “C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe” /L ElbyCDFL O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe” O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM…\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM…\Run: [MPFExe] C:\PROGRA~1\McAfee.com \PERSON~1\MpfTray.exe O4 - HKLM…\Run: [McRegWiz] C:\PROGRA~1\McAfee.com \Agent\mcregwiz.exe /autorun O4 - HKLM…\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com \agent\mcagent.exe O4 - HKLM…\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com \agent\McUpdate.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Quick Shelf.lnk = ? O9 - Extra button: Encarta Encyclopedia - {2FDEF853-0759-11D4-A92E-006097DBED37} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\A\ERS_ENC.HTM O9 - Extra ‘Tools’ menuitem: Encarta Encyclopedia - {2FDEF853-0759-11D4-A92E-006097DBED37} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\A\ERS_ENC.HTM O9 - Extra button: Define - {5DA9DE80-097A-11D4-A92E-006097DBED37} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\A\ERS_DEF.HTM O9 - Extra ‘Tools’ menuitem: Define - {5DA9DE80-097A-11D4-A92E-006097DBED37} - C:\Program Files\Common Files\Microsoft Shared\Reference 2001\A\ERS_DEF.HTM O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com \Agent\mcupdmgr.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com \PERSON~1\MPFSERVICE.exe
mam nadzieję, że już ok.
Spy boota też ściągnę - dzięki.
kuz5
(Kuz5)
30 Wrzesień 2005 14:25
#5
anka_ts:
mam nadzieję, że już ok.
No juz jest ok log jest czysty
Hmm w logu juz ich nie ma ale na wszelki spróbuj usunac je programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:
C:\WINDOWS* * bjsfmhm.exe**
następnie program będzie pytał o restart (oczywiście zgadzasz sie)
I to samo robisz ze ścieżką:
C:\WINDOWS* * wpuzqrwn.exe**
boczi
(boczi)
30 Wrzesień 2005 18:26
#6
Co do ISTbar to tu masz w razie czego fixa na niego:
http://securityresponse.symantec.com/av … Istbar.exe
anka_ts
(Ankats)
30 Wrzesień 2005 20:34
#7
Bardzo dziękuję za tak szybką pomoc!
Musiałam przerwać “obrabianie” tego laptopa, wygląda, że nic mu już nie jest. Wrócę do niego w przyszłym tygodniu, wtedy wprowadzę w życie Wasze ostatnie porady. Mam nadzieję, że koleżanka nie nazbiera przez ten czas nowych skarbów - zainstalowałam jej McAffe.
pozdrawiam wszystkich serdecznie
anka