Sonny
(Monty150)
23 Kwiecień 2006 17:52
#1
Witam wszystkich. Od dłuższego czasu walczę z pewnymi męczącymi programami szpiegującymi. Zawsze je usuwam, ale instalują się samoczynnie na nowo. Zaraz po włączeniu kompa instaluje się dodatek o nazwie freeprodtb ze strony freeprodtb.com , następnie na dysku C pojawia się plik mc-110-12-0000140 i mc-110-12-0000137, takie same pojawiają się w folderze Common Files w podfolderach Windows i InetGet aplikacja services32 i dodatkowo skrypt AutoIt3 , to chyba on wszystkim zarządza, ale instaluje się w folderze Program Files Toolbar888, wszystko to usuwam, ale to jak “walka z wiatrakami”. Scany Ewido, Avast, Ad-Aware nawet po przeniesieniu do kwarantanny nic nie dają. Czy jest na to jakiś sposób, poza formatem? Bardzo proszę o pomoc Aha, zaznaczam, robiłem wszystko według schematu z HijackThis, usuwam wpisy, programy, wszystko w trybie awaryjnym, po tym sprawdzam programi antywirusowymi i jeszcze raz log. Jest ok, ale po powrocie do trybu normalnego z obsługą sieci wszystko wraca.
Oto mój log z Hijack’a, ale myślę, że cały ten proces usuwania na nic się zda, nie wiem, może zajrzeć do rejestrów i tam podziałać, bo Ad-Aware znalazł źródło w rejestrach, oto co znalazł, czy mogę to usunąć z rejestrów bez obawy?
A tu log z Hijack’a:
Logfile of HijackThis v1.99.1 Scan saved at 19:52:04, on 2006-04-23 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\msnmsg.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Common Files\Windows\services32.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\Common Files\Windows\AutoIt3.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Rar$EX03.311\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: XBTB04715 - {A8B0BDED-64A5-495b-97DA-42C0301E229B} - C:\PROGRA~1\TOOLBA~1\TOOLBA~1.DLL O3 - Toolbar: Toolbar888 - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Toolbar888\ToolBar888.dll O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033 -noicon O4 - HKLM…\Run: [superRam] “C:\Program Files\SuperRam\SuperRam.exe” /start O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [Msn Messenger] msnmsg.exe O4 - HKLM…\RunServices: [Msn Messenger] msnmsg.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [speedX] C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\MSMSGS.EXE” /background O4 - HKCU…\Run: [services32] C:\Program Files\Common Files\Windows\mc-110-12-0000140.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip…{924EC0CA-F6E0-45F6-8861-6400E72CC53D}: NameServer = 193.110.120.5,212.191.132.126 O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOCUME~1\ADMINI~1\USTAWI~1\TEMP_VWUPSRV.EXE (file missing)
Wyłącz “Przywracanie systemu” przed usuwaniem tych plików.
Sonny
(Monty150)
23 Kwiecień 2006 18:08
#3
Jest wyłączone, zapomniałem wspomnieć, przepraszam
tadmir
(Tadeusz Mirkowski)
23 Kwiecień 2006 18:17
#4
Sprawdź najpierw przyczynę przedostawania się “szpiegów”
Sprawdź online swoje porty link-http://scan.sygatetech.com/quickscan.html
To pokaże Ci luki jakie masz w PC
Polecam firewalla np. Kerio Personal Firewall 4.1.2 zaleta -polski interfejs
podaję link -http://download.kerio.com/dwn/kpf/kerio-pf-4.1.2-en-win.exe
oraz lekarstwo - XXXXXXX (świerzy upload)
A później poradzi sobie z problemem Spybot - Search & Destroy
Metoda sprawdzona.
Po tych operacjach prześlij log Hijack’a do sprawdzenie przez w32.sasser
Fernando
(Fernando)
23 Kwiecień 2006 18:40
#5
Więc tak Ad-Aware jest dobry bo wyszokuje dużą liczbe rużnego robactwa ale przy poważniejszych wpisach niemasz szans usunąć nim najlepiej wtedy
Spybot - Search & Destroy jak kolega u gury napisał.
Ewido bardzo dobry program.
Avast no niebende pisał wystarczy poczytać moje inne posty natemat tego programu w skrucie = badziewie, niepolecam
Ugury kolega napisał kerio no program poprawił swoje notowania umnie ale i tak wole ZA.
Myślę że możesz usunąć ale niejestem pewien- poczekaj na potwierdzenie mojej decyzji.
Teraz tak przeskanuj kompa tym
powyżucaj zbędne rejestry tym
A tu masz lekturkę
To by było na tyle
MaYsTeR
(Mayster X)
23 Kwiecień 2006 19:09
#6
tadmir
(Tadeusz Mirkowski)
23 Kwiecień 2006 19:14
#7
Z (freeprodtb.com ) Spybot - Search & Destroy poradzi sobie swobodnie z regóły robi to po restarcie i należy mu zezwolić na ponowne skanowanie po restarcie. To upierdliwy szpieg niepozwalający się usuwać podczas pracy systemu. Na wszelki wypadek można zablokować jego stronkę firewallem.
Ps. do masz może lekarstwo na :
Sunbelt Kerio Personal Firewall 4.2.3.912 (to nowsza odmiana Kerio) ?
Sonny
(Monty150)
24 Kwiecień 2006 13:26
#8
Hmmm, niby sobie radzi, ale po skanie po restarcie przechodzi do pulpitu to znowu ta gnida się instaluje. Już sam nie wiem co robić może usunąć wskazane przez Spybot - Search & Destroy wartości rejestrów, które dotyczą tego freeprodtb, nawet w IE w zabezpieczeniach ustawiłem by blokowało tą stronę skąd się to instaluje, ale nic to nie daje.
Fernando
(Fernando)
24 Kwiecień 2006 13:30
#9
A loga usuwasz w trybie avaryjnym bo znam kolesi co na normalnym usuwają :twisted:
crew1
(L337 Crew)
24 Kwiecień 2006 14:16
#10
tadmir
Czyżby coś się szykowało ??
tadmir:
oraz lekarstwo XXXXX
Pobrałem to - rozpakowywuję - a tutaj archiwum Crack,
oraz licence key …
OBOWIĄZKOWA LEKTURA
Może uznasz, że czepiam się tego,
ale to nie to forum …
Zmieniony
As.
Sonny
(Monty150)
24 Kwiecień 2006 14:45
#11
Oto chodzi, że w awaryjnym, to jak uważacie, może usunąć wartości rejestrów, które są odpowiedzialne za to freeprod, które samoczynnie się instaluje? Podkreślam, Spybot Search&Destroy znajduje to, usuwa, ale po pojawieniu się pulpitu następuje ponowna instalacja:/
Robinhio
(Micromac)
24 Kwiecień 2006 14:46
#12
Bo nie wszystko zostało zrobione.
Wklej mi tutaj jeszcze loga z SilentRunners oraz przeskanuj spybotem i daj mi cała lokalizacje w rejestrze z kluczami HKEY_ itd jaka znalazl ten program. Mozesz wkleic screen. Jesli instalowales jeszcze jakies programy typu antyspyware to odinstaluj (oprócz Adware, Ewido i Spybot)
MaYsTeR
(Mayster X)
24 Kwiecień 2006 14:48
#13
a sciagales to w linku ktory podalem … ( i czytales )
tzn. :
http://info.prevx.com/downloadremove.asp
Robinhio
(Micromac)
24 Kwiecień 2006 14:52
#14
Nie ma potrzeby, zeby sciagac tego typu pseudoprogramy, ktory podał MaYsTeR . Daj logi o ktore prosiłem wyzej.
MaYsTeR
(Mayster X)
24 Kwiecień 2006 14:58
#15
a moze po czesci by usunely syf … a reszte wylapaloby sie w logach …
sprawdzales program ze jest taki zly … ??
Robinhio
(Micromac)
24 Kwiecień 2006 15:02
#16
MaYsTeR
Spybot tez sobie radzi i nie ma potrzeby aby instalowac dodatkowy soft. Tutaj raczej trzeba wykonac inne czynnosci o ktorych mu napisze jak to zrobic jesli dostane te logi.
Fernando
(Fernando)
24 Kwiecień 2006 15:07
#17
Niezgodze sie z tym postem ponieważ
1Niewidziałem żebyś kiedyś sprawdzał loga
2 MaYsTeR prubuje usunąć szpiega programami bez zbendego ryzyka
3 Lepiej poproś o sprawdzenie loga Gutek2222 zaufany i jak zwykle skuteczny
A teraz coś od siebie dam cie pare linków do programów antyspyware moim zdaniem powinny się znaleść w vortalu.
Klik
Klik
Robinhio
(Micromac)
24 Kwiecień 2006 15:31
#18
Kamilek123
To nie jest czat. Jesli o cos prosze tzn., ze chce mu pomóc. Sam MaYsTeR napisał, ze “a moze po czesci by usunely syf”.
Sonny
(Monty150)
24 Kwiecień 2006 17:04
#19
Oto te logi:
Silent Runners: Cytat: “Silent Runners.vbs”, revision 45, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “CTFMON.EXE” = “C:\WINDOWS\System32\ctfmon.exe” [MS] “Gadu-Gadu” = ““C:\Program Files\Gadu-Gadu\gg.exe” /tray” [“sms-express.com ”] “MSMSGS” = ““C:\Program Files\Messenger\MSMSGS.EXE” /background” [MS] “services32” = “C:\Program Files\Common Files\Windows\mc-110-12-0000140.exe” [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “NvCplDaemon” = “RUNDLL32.EXE NvQTwk,NvCplDaemon initialize” [MS] “NeroFilterCheck” = “C:\WINDOWS\system32\NeroCheck.exe” [“Ahead Software Gmbh”] “RemoteControl” = ““C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”” [“Cyberlink Corp.”] “SunJavaUpdateSched” = “C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe” [“Sun Microsystems, Inc.”] “DAEMON Tools-1033” = ““C:\Program Files\D-Tools\daemon.exe” -lang 1033 -noicon” [“DAEMON’S HOME”] “SuperRam” = ““C:\Program Files\SuperRam\SuperRam.exe” /start” [“PGWARE LLC”] “KernelFaultCheck” = “C:\WINDOWS\system32\dumprep 0 -k” [MS] “Msn Messenger” = “msnmsg.exe” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {53707962-6F74-2D53-2644-206D7942484F}(Default) = (no title provided) -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\PROGRA~1\SPYBOT~1\SDHelper.dll” [“Safer Networking Limited”] {A5366673-E8CA-11D3-9CD9-0090271D075B}(Default) = (no title provided) -> {HKLM…CLSID} = “IeCatch2 Class” \InProcServer32(Default) = “C:\PROGRA~1\FLASHGET\jccatch.dll” [“Amaze Soft”] {A8B0BDED-64A5-495b-97DA-42C0301E229B}(Default) = “XBTB04715” -> {HKLM…CLSID} = “XBTB04715 Class” \InProcServer32(Default) = “C:\PROGRA~1\TOOLBA~1\TOOLBA~1.DLL” [“IE Toolbar”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! “{54D9498B-CF93-414F-8984-8CE7FDE0D391}” = “ewido shell guard” -> {HKLM…CLSID} = “CShellExecuteHookImpl Object” \InProcServer32(Default) = “C:\Program Files\ewido anti-malware\shellhook.dll” ["TODO: "] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ ewido(Default) = “{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}” -> {HKLM…CLSID} = “Ctest Object” \InProcServer32(Default) = “C:\Program Files\ewido anti-malware\context.dll” [“ewido networks”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ewido(Default) = “{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}” -> {HKLM…CLSID} = “Ctest Object” \InProcServer32(Default) = “C:\Program Files\ewido anti-malware\context.dll” [“ewido networks”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\WINDOWS\Web\Wallpaper\Idylla.bmp” Startup items in “Administrator” & “All Users” startup folders: --------------------------------------------------------------- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart “Microsoft Office” -> shortcut to: “C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l” [MS] “Kalendarz XP” -> shortcut to: “C:\Program Files\Kalendarz XP\Kalendarz.exe” [null data] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ “{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F}” -> {HKLM…CLSID} = “Toolbar888” \InProcServer32(Default) = “C:\Program Files\Toolbar888\ToolBar888.dll” [“IE Toolbar”] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ “{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F}” = (no title provided) -> {HKLM…CLSID} = “Toolbar888” \InProcServer32(Default) = “C:\Program Files\Toolbar888\ToolBar888.dll” [“IE Toolbar”] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ “MenuText” = “Sun Java Console” “CLSIDExtension” = “{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}” -> {HKCU…CLSID} = “Java Plug-in” \InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll” [“Sun Microsystems, Inc.”] -> {HKLM…CLSID} = “Java Plug-in 1.5.0_06” \InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll” [“Sun Microsystems, Inc.”] {D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\ “ButtonText” = “FlashGet” “MenuText” = “&FlashGet” “Exec” = “C:\PROGRA~1\FLASHGET\flashget.exe” [“Amaze Soft”] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ “ButtonText” = “Messenger” “MenuText” = “Windows Messenger” “Exec” = “C:\Program Files\Messenger\MSMSGS.EXE” [MS] HOSTS file ---------- HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\ HIJACK WARNING! “DataBasePath” = “C:\WINDOWS\nsdb” Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ ewido security suite control, ewido security suite control, “C:\Program Files\ewido anti-malware\ewidoctrl.exe” [“ewido networks”] NVIDIA Driver Helper Service, NVSvc, “C:\WINDOWS\System32\nvsvc32.exe” [“NVIDIA Corporation”] StarWind iSCSI Service, StarWindService, “C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe” [“Rocket Division Software”] Windows User Mode Driver Framework, UMWdf, “C:\WINDOWS\System32\wdfmgr.exe” [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Monitor języka BJ\Driver = “CNBJMON.DLL” [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 160 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 597 seconds. ---------- (total run time: 1198 seconds)
Log ze Spybot’a Search&Destroy (bardzo długi):
— Search result list — MaxSearch: Plik tekstowy (Plik, fixed) C:\Program Files\Common Files\Windows\autoitscript.au3 MaxSearch: Plik wykonywalny (Plik, fixed) C:\Program Files\Common Files\InetGet\mc-110-12-0000140.exe MaxSearch: Ustawienia użytkownika (Wartość rejestru, fixing failed) HKEY_USERS\S-1-5-21-1085031214-1060284298-1957994488-500\Software\DNS\Uid MaxSearch: Biblioteka (Plik, fixed) C:\Program Files\Common Files\Windows\psapi.dll MaxSearch: Plik wykonywalny (Plik, fixed) C:\Documents and Settings\Administrator\Pulpit\freeprodtb.exe MaxSearch: Ustawienia użytkownika (Klucz rejestru, fixed) HKEY_USERS\S-1-5-21-1085031214-1060284298-1957994488-500\Software\Director MaxSearch: Pasek narzędzi IE (Wartość rejestru, fixing failed) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} MaxSearch: Ustawienia autouruchomiania (services32) (Wartość rejestru, fixing failed) HKEY_USERS\S-1-5-21-1085031214-1060284298-1957994488-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services32 MaxSearch: Plik programu (Plik, fixed) C:\Program Files\Common Files\Windows\mc-110-12-0000140.exe MaxSearch: Strona internetowa (Plik, fixed) C:\Program Files\Common Files\Windows\request.html MaxSearch: Plik wykonywalny (Plik, fixed) C:\Program Files\Common Files\Windows\AutoIt3.exe MaxSearch: Plik wykonywalny (Plik, fixed) C:\Program Files\Common Files\Windows\services32.exe MaxSearch: Plik tymczasowy (Plik, fixed) C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\id.id MaxSearch: Identyfikator klasy (Klucz rejestru, fixed) HKEY_CLASSES_ROOT\CLSID{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} MaxSearch: Pasek narzędzi IE (Wartość rejestru, fixed) HKEY_USERS\S-1-5-21-1085031214-1060284298-1957994488-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} Smitfraud-C.: Strona internetowa (Plik, fixed) C:\Program Files\Common Files\windows\ack.html Smitfraud-C.: Ustawienia (Klucz rejestru, fixed) HKEY_USERS\S-1-5-21-1085031214-1060284298-1957994488-500\Software\XBTB04715 Smitfraud-C.: Identyfikator klasy (Klucz rejestru, fixed) HKEY_CLASSES_ROOT\CLSID{A8B0BDED-64A5-495b-97DA-42C0301E229B} Smitfraud-C.: Program pomocniczy przeglądarki (Klucz rejestru, fixed) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{A8B0BDED-64A5-495b-97DA-42C0301E229B} Smitfraud-C.: Ustawienia deinstalacji (Klucz rejestru, fixing failed) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XBTB04715.XBTB04715Toolbar Smitfraud-C.: Klasa Root (Klucz rejestru, fixing failed) HKEY_LOCAL_MACHINE\Software\Classes\ToolBand.XBTB04715 Smitfraud-C.: Klasa Root (Klucz rejestru, fixing failed) HKEY_LOCAL_MACHINE\Software\Classes\ToolBand.XBTB04715.1 Smitfraud-C.: Identyfikator klasy (Klucz rejestru, fixing failed) HKEY_LOCAL_MACHINE\Software\Classes\CLSID{A8B0BDED-64A5-495b-97DA-42C0301E229B} Smitfraud-C.: Klasa Root (Klucz rejestru, fixing failed) HKEY_LOCAL_MACHINE\Software\Classes\XBTB04715.IEToolbar Smitfraud-C.: Klasa Root (Klucz rejestru, fixing failed) HKEY_LOCAL_MACHINE\Software\Classes\XBTB04715.IEToolbar.1 Smitfraud-C.: Identyfikator klasy (Klucz rejestru, fixing failed) HKEY_LOCAL_MACHINE\Software\Classes\CLSID{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} Smitfraud-C.: Klasa Root (Klucz rejestru, fixing failed) HKEY_LOCAL_MACHINE\Software\Classes\XBTB04715.XBTB04715 Smitfraud-C.: Klasa Root (Klucz rejestru, fixing failed) HKEY_LOCAL_MACHINE\Software\Classes\XBTB04715.XBTB04715.1 Smitfraud-C.: Folder programu (Folder, fixed) C:\Program Files\Common Files\InetGet\ Smitfraud-C.: Folder programu (Folder, fixed) C:\Program Files\Toolbar888\ Smitfraud-C.: Folder programu (Folder, fixed) C:\Program Files\Toolbar888\Cache\ Smitfraud-C.Toolbar888: Klasa Root (Klucz rejestru, fixed) HKEY_CLASSES_ROOT\TypeLib{75E46EE7-404B-48EC-9326-C654F21F65BF} — Spybot - Search & Destroy version: 1.4 (build: 20050523) — 2006-04-23 unins000.exe (51.41.0.0) 2005-05-31 blindman.exe (1.0.0.1) 2005-05-31 SpybotSD.exe (1.4.0.3) 2005-05-31 TeaTimer.exe (1.4.0.2) 2005-05-31 Update.exe (1.4.0.0) 2005-05-31 aports.dll (2.1.0.0) 2005-05-31 borlndmm.dll (7.0.4.453) 2005-05-31 delphimm.dll (7.0.4.453) 2005-05-31 SDHelper.dll (1.4.0.0) 2005-05-31 UnzDll.dll (1.73.1.1) 2005-05-31 ZipDll.dll (1.73.2.0) 2006-02-06 advcheck.dll (1.0.2.0) 2006-02-20 Tools.dll (2.0.0.2) 2006-04-21 Includes\Cookies.sbi (*) 2006-04-21 Includes\Dialer.sbi (*) 2006-04-21 Includes\Hijackers.sbi (*) 2006-04-21 Includes\Keyloggers.sbi (*) 2004-11-29 Includes\LSP.sbi (*) 2006-04-21 Includes\Malware.sbi (*) 2006-04-21 Includes\PUPS.sbi (*) 2006-04-21 Includes\Revision.sbi (*) 2006-04-21 Includes\Security.sbi (*) 2006-04-21 Includes\Spybots.sbi (*) 2005-02-17 Includes\Tracks.uti 2006-04-21 Includes\Trojans.sbi (*) — System information — Windows XP (Build: 2600) / Internet Explorer 6 / SP0: Poprawka systemu Windows XP - KB834707 / Windows XP / SP1: Windows XP Hotfix (SP1) [see Q329048 for more information] / Windows XP / SP1: Windows XP Hotfix (SP1) Q329170 / Windows XP / SP1: Windows XP Hotfix (SP1) [see Q329390 for more information] / Windows XP / SP1: Windows XP Hotfix (SP1) [see Q329441 for more information] / Windows XP / SP1: Windows XP Hotfix (SP1) [see Q329834 for more information] / Windows XP / SP1: Windows XP Hotfix (SP1) Q810577 / Windows XP / SP1: Windows XP Hotfix (SP1) Q810833 / Windows XP / SP1: Windows XP Hotfix (SP1) Q811630 / Windows XP / SP1: Windows XP Hotfix (SP1) Q817606 / Windows XP / SP2: Poprawka systemu Windows XP - KB823559 / Windows XP / SP2: Poprawka systemu Windows XP - KB828741 / Windows XP / SP2: Poprawka systemu Windows XP - KB833987 / Windows XP / SP2: Poprawka systemu Windows XP - KB835732 / Windows XP / SP2: Poprawka systemu Windows XP - KB840987 / Windows XP / SP2: Poprawka systemu Windows XP - KB841356 / Windows XP / SP2: Poprawka systemu Windows XP - KB841533 / Windows XP / SP2: Poprawka systemu Windows XP - KB842773 / Windows XP / SP2: Poprawka systemu Windows XP - KB873376 / Windows XP / SP2: Poprawka systemu Windows XP - KB887822 / Windows XP / SP2: Pakiet poprawki systemu Windows XP [zobacz Q323255, aby uzyskać więcej informacji] / Windows XP / SP2: Pakiet poprawki systemu Windows XP [zobacz Q329115, aby uzyskać więcej informacji] — Startup entries list — Located: HK_LM:Run, DAEMON Tools-1033 command: “C:\Program Files\D-Tools\daemon.exe” -lang 1033 -noicon file: C:\Program Files\D-Tools\daemon.exe size: 81920 MD5: 804fbb66ec6ca862b840d173efc638a7 Located: HK_LM:Run, KernelFaultCheck command: %systemroot%\system32\dumprep 0 -k file: C:\WINDOWS\system32\dumprep.exe size: 30208 MD5: f08480ea26f375b5fc59006b6ae6facb Located: HK_LM:Run, Msn Messenger command: msnmsg.exe file: C:\WINDOWS\system32\msnmsg.exe size: 118272 MD5: 91127c94f3812c207ee27e16e90e1e4a Located: HK_LM:Run, NeroFilterCheck command: C:\WINDOWS\system32\NeroCheck.exe file: C:\WINDOWS\system32\NeroCheck.exe size: 155648 MD5: 3e4c03cefad8de135263236b61a49c90 Located: HK_LM:Run, NvCplDaemon command: RUNDLL32.EXE NvQTwk,NvCplDaemon initialize file: C:\WINDOWS\system32\RUNDLL32.EXE size: 31744 MD5: b0065d0558cf97154a429311dd8c4329 Located: HK_LM:Run, RemoteControl command: “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” file: C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe size: 32768 MD5: 1eea64d8599b5b7bd8721498e4019cf0 Located: HK_LM:Run, SunJavaUpdateSched command: C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe file: C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe size: 36975 MD5: 61a3a9d5d98bf0331df5b716144a8100 Located: HK_LM:Run, SuperRam command: “C:\Program Files\SuperRam\SuperRam.exe” /start file: C:\Program Files\SuperRam\SuperRam.exe size: 438784 MD5: 4618cee2cc494203cc7d003222d57eaf Located: HK_LM:RunServices, Msn Messenger command: msnmsg.exe file: C:\WINDOWS\system32\msnmsg.exe size: 118272 MD5: 91127c94f3812c207ee27e16e90e1e4a Located: HK_LM:RunOnce, SpybotSnD command: “C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe” /autocheck file: C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe size: 4393096 MD5: 09ca174a605b480318731e691dc98539 Located: HK_CU:Run, CTFMON.EXE command: C:\WINDOWS\System32\ctfmon.exe file: C:\WINDOWS\System32\ctfmon.exe size: 13312 MD5: 106e93e7eead4f0797fc1a30bd53fa3d Located: HK_CU:Run, Gadu-Gadu command: “C:\Program Files\Gadu-Gadu\gg.exe” /tray file: C:\Program Files\Gadu-Gadu\gg.exe size: 770048 MD5: e7a69fa3c7ef382feabc617bb0eaf1f9 Located: HK_CU:Run, MSMSGS command: “C:\Program Files\Messenger\MSMSGS.EXE” /background file: C:\Program Files\Messenger\MSMSGS.EXE size: 1670144 MD5: d494a82a823d155a182b1955aa71ad08 Located: Autostart (wspólny), Kalendarz XP.lnk command: C:\Program Files\Kalendarz XP\Kalendarz.exe file: C:\Program Files\Kalendarz XP\Kalendarz.exe size: 882176 MD5: 7b91817c804cfb542591d18248ecf58d Located: Autostart (wspólny), Microsoft Office.lnk command: C:\Program Files\Microsoft Office\Office10\OSA.EXE file: C:\Program Files\Microsoft Office\Office10\OSA.EXE size: 83360 MD5: 5bc65464354a9fd3beaa28e18839734a — Browser helper object list — {A5366673-E8CA-11D3-9CD9-0090271D075B} (IeCatch2 Class) BHO name: CLSID name: IeCatch2 Class description: FlashGet classification: Open for discussion known filename: Jccatch.dll info link: http://www.amazesoft.com/ info source: TonyKlein Path: C:\PROGRA~1\FLASHGET\ Long name: Jccatch.dll Short name: JCCATCH.DLL Date (created): 2005-03-30 14:31:04 Date (last access): 2006-04-24 Date (last write): 2002-01-16 19:12:18 Filesize: 65536 Attributes: archive MD5: F2FAFE3CB6412C89F43D88CCEBE308F3 CRC32: B1AEC78B Version: 1.1.4.0 — ActiveX list — {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) DPF name: CLSID name: ActiveScan Installer Class Installer: C:\WINDOWS\Downloaded Program Files\asinst.inf Codebase: http://www.pandasoftware.com/activescan/as5/asinst.cab description: classification: Open for discussion known filename: ASINST.DLL info link: info source: Safer Networking Ltd. Path: C:\WINDOWS\Downloaded Program Files\ Long name: asinst.dll Short name: Date (created): 2005-04-11 12:20:22 Date (last access): 2006-04-24 Date (last write): 2005-04-11 12:20:22 Filesize: 118784 Attributes: archive MD5: 36259D36E842FCF12B3D2F3766E7529F CRC32: F62E6268 Version: 57.6.0.0 {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Runtime Environment 1.5.0) DPF name: Java Runtime Environment 1.5.0 CLSID name: Java Plug-in 1.5.0_06 Installer: Codebase: http://java.sun.com/update/1.5.0/jinsta … s-i586.cab Path: C:\Program Files\Java\jre1.5.0_06\bin\ Long name: NPJPI150_06.dll Short name: NPJPI1~1.DLL Date (created): 2005-11-10 13:03:56 Date (last access): 2006-04-24 Date (last write): 2005-11-10 13:22:10 Filesize: 69746 Attributes: archive MD5: D2CF6BB5E9020E6707B62575F8083954 CRC32: 7F39DC54 Version: 5.0.60.5 {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Runtime Environment 1.5.0) DPF name: Java Runtime Environment 1.5.0 CLSID name: Java Plug-in 1.5.0_06 Installer: Codebase: http://java.sun.com/update/1.5.0/jinsta … s-i586.cab Path: C:\Program Files\Java\jre1.5.0_06\bin\ Long name: NPJPI150_06.dll Short name: NPJPI1~1.DLL Date (created): 2005-11-10 13:03:56 Date (last access): 2006-04-24 Date (last write): 2005-11-10 13:22:10 Filesize: 69746 Attributes: archive MD5: D2CF6BB5E9020E6707B62575F8083954 CRC32: 7F39DC54 Version: 5.0.60.5 — Process list — PID: 0 ( 0) [system] PID: 540 ( 4) \SystemRoot\System32\smss.exe PID: 624 ( 540) \Pytajnik\C:\WINDOWS\system32\winlogon.exe PID: 668 ( 624) C:\WINDOWS\system32\services.exe size: 101888 MD5: BF4CBEFDCE42A699389791647CB95CA2 PID: 680 ( 624) C:\WINDOWS\system32\lsass.exe size: 11776 MD5: 5CC79CFE660DD720739FB9ADB03F2275 PID: 856 ( 668) C:\WINDOWS\system32\svchost.exe size: 12800 MD5: B3C95BFEEF6781A82A1C429F466A3A11 PID: 872 ( 668) C:\WINDOWS\System32\svchost.exe size: 12800 MD5: B3C95BFEEF6781A82A1C429F466A3A11 PID: 1112 ( 668) C:\WINDOWS\system32\spoolsv.exe size: 51200 MD5: 414AF353E9EEED8637D90370FD0C3B68 PID: 1268 ( 668) C:\Program Files\ewido anti-malware\ewidoctrl.exe size: 13888 MD5: 26830B750372AB1BF29C95DEEBEB802F PID: 1436 ( 668) C:\WINDOWS\System32\nvsvc32.exe size: 57344 MD5: AC6227B30561B61F01EFA0894688B2BB PID: 1472 ( 668) C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe size: 217600 MD5: AB2B9349ADA4AC5EC74B622B8303FE23 PID: 1868 (1380) C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe size: 32768 MD5: 1EEA64D8599B5B7BD8721498E4019CF0 PID: 1876 (1380) C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe size: 36975 MD5: 61A3A9D5D98BF0331DF5B716144A8100 PID: 2044 (1380) C:\WINDOWS\System32\ctfmon.exe size: 13312 MD5: 106E93E7EEAD4F0797FC1A30BD53FA3D PID: 216 (2020) C:\WINDOWS\System32\msnmsg.exe size: 118272 MD5: 91127C94F3812C207EE27E16E90E1E4A PID: 224 (1380) C:\Program Files\Gadu-Gadu\gg.exe size: 770048 MD5: E7A69FA3C7EF382FEABC617BB0EAF1F9 PID: 928 (1380) C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe size: 4393096 MD5: 09CA174A605B480318731E691DC98539 PID: 2040 (1380) C:\Program Files\Winamp\winamp.exe size: 679424 MD5: FB1D6255F04784B969941CE55D9A1FC7 PID: 4 ( 0) System PID: 600 ( 540) csrss.exe PID: 980 ( 668) svchost.exe PID: 1008 ( 668) svchost.exe PID: 1624 ( 668) wdfmgr.exe PID: 1900 (1380) C:\BFU\BFU.exe size: 66048 MD5: 1C4952C6889725B86D3418024E690D50 PID: 892 ( 624) C:\WINDOWS\explorer.exe size: 1002496 MD5: 0B6CB4ABB3166E1717BDA7895F2029D8 — Browser start & search pages list — Spybot - Search & Destroy browser pages report, 2006-04-24 18:27:44 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page C:\WINDOWS\System32\blank.htm HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page http://www.interia.pl/ HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page %SystemRoot%\system32\blank.htm HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL http://www.microsoft.com/isapi/redir.dl … ar=msnhome HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL http://www.microsoft.com/isapi/redir.dl … r=iesearch HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm — Winsock Layered Service Provider list —
Robinhio
(Micromac)
24 Kwiecień 2006 18:33
#20
1.Wyłącz Przywracanie systemu
Sciagnij CCleaner 1.28.277 , zainstaluj, uruchom i zaznacz Cleaner i Uruchom Cleaner aby wyczyscic wszystko.
2.Wejdz do trybu awaryjnego klawisz F8
3.Uruchom Hijack i zaznacz wskazane wpisy w Hijacku i kliknąć Fix checked:
Skasować z dysku pliki i foldery, które podkreśliłem na czerwono
Wejdz do foldera etc => C:\WINDOWS\system32\drivers\etc
Otwórz plik Hosts i wykasuj wszystko oprócz 127.0.0.1 localhost
Kasujesz z dysku cały folder zaznaczony na czerwono
C:\WINDOWS\ nsdb
C:\Program Files\Common Files\ InetGet
C:\Documents and Settings\Administrator\Pulpit\ freeprodtb.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\ Temp
Start => Uruchom => wpisz regedit i przejdz do klucza:
Znajdz klucz o nazwie DataBasePath , kliknij 2x i popraw sciezke na
%SystemRoot%\System32\drivers\etc
Otworz Notatnik i wklej:
Plik => Zapisz jako => *.* Wszystkie pliki => jako nazwę wprowadź FIX.REG , uruchom i OK
Skanujesz Spybotem, Ewido oraz CWShredder 2.19
Wszystko robisz to w trybie awaryjnym i podczas skanowania nie łącz sie z netem, potem uruchamiasz ponownie komputer i
Dajesz loga z Hijacka
Proponuje instalację Service Pack 2 plus poprawki