Dziwna sprawa


(Bobeeq) #1

Mam jakiegoś spyware`a

Mam windows xp professional bez service packów

nie dziala mi hijackthis, gdy chcę go włączyć wyskakuje na chwile jakieś okienko i zaraz znika :P.

Co jakiś czas otwierają mi się różne stronki

X-cleaner Micro Edition cośtam poznajdywał, pousuwałem to ale nadal nic to nie dało...

Pliki które napewno są od tego gówienka to:

dr.exe

drsmartload1.exe

gimmygames11.exe

Installer.exe

MTE3NDI6ODoxNg.exe

zawsze kiedy je usunę odnawiają się.

I need your help :P.

@Edit:

Właśnie wyskoczyło okienko którego się nie da zamknąć:

YourSiteBar Install Screen

do wyboru opcje:

Cancel Complete

I okienko z zango

tu opcje są takie:

Cancel Finish

Do tego takie stronki się odpalają:

http://click-power.com/index1.html

http://clicky.info/index.php

:?

Aha i jeszcze error:

RUNDLL

Podczas próby uruchomienia ""C:\WINDOWS\system32\dhserial.dll",DllGetVersion" Wystąpił błąd wyjątku.


(Kuz5) #2

Jakie okienk ??

Masz syf

Możesz jeszcze zapodać loga z programu SilentRunners


(Bobeeq) #3

Zedytowałem posta więc masz odpowiedź na pytanie :wink:.

Wiem, że mam syf ale musze go jakoś usunąć nie :stuck_out_tongue:

Kolejna stronka otworzyła mi się dwukrotnie:

http://popunder.paypopup.com/links.php? ... l=&defurl=

http://popunder.paypopup.com/links.php? ... l=&defurl=


(Mayster X) #4

znalazlem cos takiego

:arrow: http://windowsxp.mvps.org/exefile.htm

... hijackthis z roszczeniem *.COM niestety nie znalazlem ( a takiego wlasnie potrzebujesz )... :? ( linki nie dzialaja ) ... :slight_smile:


(Bobeeq) #5

A do tego dokument txt o nazwie: Startup Programs (BOBEQ) 2006-02-23 17.39.03.txt i treści:

MaYster: to ze stronki co podałeś to mi takie coś nie wyskakuje.

to jest takie coś:

Screen


(Kuz5) #6

Gdzie ??

To jest twoja odpowiedz na moje pytanie

To nie cały log poczekaj ok. 1min az wyskoczy komunikat że narzedzie skonczyło skanowanie


(Bobeeq) #7

Nie mogę się doczekać do takiego komunikatu bo:

Screen

Złączono Posta : 23.02.2006 (Czw) 17:56

Takie okienka...

A na pulpicie wyskakują coraz to nowe ikonki:

Online Dating

Remove Spyware

Cheap Holiday Travel

Free Online Music

... :?

EDIT:

Poscreenowałem co nie co:

Screen1

Screen2

Screen3

Screen4

Screen5

EDIT:

Dodam jeszcze jednego screena:

Screen

Może się przydać...


(Micromac) #8

Sprawdz czy mozesz w ogole zeskanowac antywirusem online lub systemowym albo programem antyspyware. Jesli nie mozesz uruchomic Hijacka czeka Cie reczna robota i napisze ci jak to zrobic. Ale najpierw to sprawdz co ci napisalem wyzej.

Sciagnij sobie program Process Viewer stad. Uruchom go i zapisz loga File > Save As i pozniej Kliknij na Tools > Autoruns i z tego tez zapisz loga i wklej tutaj. Z tego co widac masz Adware.ZangoSearch , ale sprawdzimy co jeszcze siedzi.


(Bobeeq) #9

Zwykły LOG:

??ool32.exe	1976	C:\WINDOWS\system32\?racle\??ool32.exe

cmd.exe	2064	C:\WINDOWS\system32\cmd.exe

command.exe	5004	C:\WINDOWS\Qm9C\command.exe

ctfmon.exe	1880	C:\WINDOWS\System32\ctfmon.exe

explorer.exe	4712	C:\WINDOWS\explorer.exe

firefox.exe	4404	C:\Program Files\Mozilla Firefox\firefox.exe

gg.exe	5352	E:\gg\gg.exe

jusched.exe	1872	C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

l0rd.exe	1808	C:\WINDOWS\System32\l0rd.exe

lsass.exe	628	C:\WINDOWS\system32\lsass.exe

msjava.exe	1824	C:\WINDOWS\System32\msjava.exe

msnservex.exe	1840	C:\WINDOWS\System32\msnservex.exe

netmon.exe	1284	C:\Program Files\Network Monitor\netmon.exe

newfrn.exe	1864	C:\WINDOWS\newfrn.exe

PrcView.exe	5932	E:\Instalki\PrcView\PrcView.exe

services.exe	616	C:\WINDOWS\system32\services.exe

smss.exe	496	C:\WINDOWS\System32\smss.exe

spoolsv.exe	1136	C:\WINDOWS\system32\spoolsv.exe

svchost.exe	796	C:\WINDOWS\system32\svchost.exe

svchost.exe	848	C:\WINDOWS\System32\svchost.exe

sxrose.exe	1800	C:\WINDOWS\System32\sxrose.exe

twra.exe	1968	C:\Program Files\born\twra.exe

utorrent.exe	1748	E:\Instalki\utorrent.exe

winamp.exe	5256	C:\Program Files\Winamp\winamp.exe

winampa.exe	1816	C:\Program Files\Winamp\winampa.exe

winlogon.exe	568	C:\WINDOWS\system32\winlogon.exe

winsysban11.exe	1856	C:\windows\winsysban11.exe

Log z AUTORUN`a:

ctfmon.exe	Microsoft Corporation C:\WINDOWS\System32\ctfmon.exe	HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

sxrose.exe sxrose.exe	HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

msmsgs.exe	Microsoft Corporation "C:\Program Files\Messenger\msmsgs.exe" /background	HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

gg.exe	sms-express.com "E:\gg\gg.exe" /tray	HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

msjava.exe msjava.exe	HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

tlen.exe C:\Program Files\Tlen.pl\tlen.exe	HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

fkiwm.exe C:\PROGRA~1\COMMON~1\fkiw\fkiwm.exe	HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

twra.exe "C:\Program Files\born\twra.exe" -vt yazb	HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

??ool32.exe C:\WINDOWS\system32\?racle\??ool32.exe	HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

sxrose.exe sxrose.exe	HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

msjava.exe msjava.exe	HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

CTFMON.EXE	Microsoft Corporation C:\WINDOWS\System32\CTFMON.EXE	HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

sxrose.exe sxrose.exe	HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

msjava.exe msjava.exe	HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

sxrose.exe sxrose.exe	HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

msjava.exe msjava.exe	HKEY_USERS\.Default\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

sxrose.exe sxrose.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

l0rd.exe l0rd.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

winampa.exe C:\Program Files\Winamp\winampa.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

msjava.exe msjava.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

daemon.exe	DT Soft Ltd. "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

msnservex.exe msnservex.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

winsysupd11.exe	. C:\windows\winsysupd11.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

winsysban11.exe	ÄÂAIA C:\windows\winsysban11.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

gimmygames11.exe	mudes c:\\gimmygames11.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

newfrn.exe	_ C:\WINDOWS\newfrn.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

jusched.exe	Sun Microsystems, Inc. C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

sxrose.exe sxrose.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

l0rd.exe l0rd.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

msjava.exe msjava.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

msnservex.exe msnservex.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Explorer.exe	Microsoft Corporation Explorer.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

userinit.exe	Microsoft Corporation C:\WINDOWS\system32\userinit.exe	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

ADOBEG~1.EXE	Adobe Systems, Inc. C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE	C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk

desktop.ini C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\desktop.ini	C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\desktop.ini

desktop.ini C:\Documents and Settings\Łukasz\Menu Start\Programy\Autostart\desktop.ini	C:\Documents and Settings\Łukasz\Menu Start\Programy\Autostart\desktop.ini

Wedle życzenia :wink:.


(Micromac) #10

No masz trojany, ale nie odpowiedziales mi czy probowales zeskanowac antywirem online lub systemowym i programem antyspywarem ? Sprawdz czy w Program Files jest folder o nazwie ZangoClient


(Bobeeq) #11

Nie, nie próbowałem. To czym mam zeskanować?

mks_online? :lol:

A ten antyspyware to jest skaner online? czy zwykły antywir?


(Micromac) #12

Tak mozesz tym zeskanowac mks online ale takze tym zainstalowanym w systemie. Wynik podaj tu, jakie wirusy i trojany znalazl. Nie odpowiadasz mi na pytanie czy jest folder w Program Files o nazwie Zango?


(Bobeeq) #13

Nie ma takiego folderu, jak skonczy się skanować komp to zedytuje posta i napisze co ten mks wykrył :wink:.


(Micromac) #14

Sprawdz teraz:

Start > Ustawienia > Panel Sterowania, przejdz do Dodaj/Usun

programy. Znajdz na liscie Zango Search Tool lub cos o podobnej

nazwie

i drugie

Start > Wyszukaj > Pliki lub foldery. Kliknij na pliki i foldery i wpisz w oknie wyszukiwarki zango a pozniej zango.exe


(Bobeeq) #15

Tutaj masz screen`a z Dodaj usuń:

Screen

I podrzucam jeszcze loga z hijackthis


(Micromac) #16

Wiec zrob tak.

  • Wyłącz Przywracanie systemu w XP

  • zrestartuj do trybu awaryjnego

  • uruchom Hijacka, zaznacz i usun:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

    R3 - URLSearchHook: (no name) - {F9E24CA0-F31A-EFB8-1EF2-865A62391BBD} - C:\WINDOWS\System32\ciigwdld.dll

    O4 - HKLM..\Run: [Compaq Service Drivers] sxrose.exe

    O4 - HKLM..\Run: [Windows Update Protocol] l0rd.exe

    O4 - HKLM..\Run: [winsysupd] C:\windows\winsysupd11.exe

    O4 - HKLM..\Run: [winsysban] C:\windows\winsysban11.exe

    O4 - HKLM..\Run: [gimmygames] C:\gimmygames11.exe

    O4 - HKLM..\Run: [NewFrn] C:\WINDOWS\newfrn.exe

    O4 - HKLM..\RunServices: [Compaq Service Drivers] sxrose.exe

    O4 - HKLM..\RunServices: [Windows Update Protocol] l0rd.exe

    O4 - HKCU..\Run: [Compaq Service Drivers] sxrose.exe

    O4 - HKCU..\Run: [fkiw] C:\PROGRA~1\COMMON~1\fkiw\fkiwm.exe

    O4 - HKCU..\Run: [Uimu] "C:\Program Files\born\twra.exe" -vt yazb

    O4 - HKCU..\Run: [Bvzvldjc] C:\WINDOWS\system32\?racle\??ool32.exe

    O4 - HKCU..\RunServices: [Compaq Service Drivers] sxrose.exe

Ręcznie usuń pliki. Znajdziesz je wpisujac nazwe w wyszukiwarke winsysupd11.exe winsysban11.exe sxrose.exe l0rd.exe gimmygames11.exe newfrn.exe fkiwm.exe twra.exe ??ool32.exe Sprawdz w dodaj/usun czy jest YourSiteBar Install Screen. Jak jest to usun.Sprobuj uruchomić Hijacka w normalnym trybie i wklej loga. na Zango masz nizej wskazowke: 1.Odlacz sie od internetu 2.Teraz Start > Ustawienia > Panel Sterowania, przejdz do Dodaj/Usun programy. Znajdz na liscie Zango Search Tool lub cos o podobnej nazwie, kliknij na usun. 3. Zamnknij wszystkie okna Internet Explorer i programy 4.Kliknij na Start > Uruchom i wpisz cmd. Po otwarciu okna napisz tak:

cd %ProgramFiles%\ZangoClient\

regsvr32 /u zangohook.dll
  1. Kliknij na Start > Uruchom i wpisz regedit. Przejdz do galezi:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

usuń slowa kluczowe takie jak zanu (zanu.exe) lub Zango TvTimes 6. Zrestartuj komputer 7. Kliknij na Start > Uruchom i wpisz regedit. Usun te galezie ponizej

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer


\Browser Helper Objects\ {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ 


{0AC49246-419B-4EE0-8917-8818DAAD6A4E} 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ 


{99410CDE-6F16-42ce-9D49-3807F78F0287} 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\ 


{2B0ECEAC-F597-4858-A542-D966B49055B9} 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\ 


{DDEA2E1D-8555-45E5-AF09-EC9AA4EA27AD} 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\ 


{F1F1E775-1B21-454D-8D38-7C16519969E5} 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\ 


{5B6689B5-C2D4-4DC7-BFD1-24AC17E5FCDA} 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ 


{21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\ 


{7B178417-3CDA-444F-94FF-312C0A3A78A8} 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\ 


{68BF4626-D66B-4383-A6AF-62E57E9B6CD4} 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\ 


{15EA8944-438E-471E-860D-6743D4383A37} 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\ 


{E5B57AB3-15F8-43A2-ABAC-3E58A9C25818} 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ncmyb.SABHO 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ncmyb.SABHO.1 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.ClientInstaller.1 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ClientAX.RequiredComponent.1 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal


l\zanu 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstal


l\Zango TV Times 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store 


Database\Distribution Units \ {99410CDE-6F16-42ce-9D49-3807F78F0287} 

HKEY_LOCAL_MACHINE\SOFTWARE\zanu

HKEY_CURRENT_USER\Software\zanu
  1. Zamnknij regedit

  2. usun nastepujace foldery w Program Files lub w C:\

ZangoClient

Zango Applications

10 Uzyj teraz Spyware Doctor 3.5

  1. Po usunieciu spyware zrestasrtuj komputer

  2. Jak to zrobisz zrob loga z Hijacka i SilentRun i wklej tutaj

Sprawdz tez programem CWShredder 2.19


(Bobeeq) #17

Przeskanowałem mks_online, Wyniki:

Wyleczone: 0

Pozostało zarażonych: 6

Przemianowane: 1

Skasowane: 52.

Hijack nadal nie działa w trybie normalnym. Już idę na awaryjny robić to co mówiłeś :wink:.

@EDIT

Na trybie awaryjnym pousuwałem co miałem usunąć, hijackthis dalej działa jak działał :? brać się za regi, czy wrzucić tu loga z trybu awaryjnego?

Aha, już rozumiem... nie wyłączyłem przywracania systemu i pliki które pousuwałem są nadal... :? jak wyłączyć to przywracanie?


(Kuz5) #18

To nie wszystko

To do kasacji:

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługi Command Service i Network Monitor następnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz cmdService => Ok i zresetuj komputer.

Pliki na czerwono usuwasz ręcznie

Daj log nr 1 z narzędzia L2Mfix

To chyba jakas stara wersja javy wywal to:

PPM=>Mój komputer=>Właściwości=>Przywracanie systemu=>"Wyłącz przywracanie systemu"


(Micromac) #19

Wyłaczanie przywracaniae systemu

(Mój komputer -> klik prawym i Właściwości -> Przywracanie systemu -> zaznaczamy "Wyłącz Przywracanie systemu na wszystkich dyskach")

Zrob to po kolei a nie tak jak chcesz inaczej nie usuniesz wszystkiego. Po drugie nie podawaj mi statystyke ile wykryl wirusow tylko nazwy tych wirusow.

Zrob jeszcze tak jak kolega napisal ale nie ma potrzeby usuwania javy.


(Kuz5) #20

Ma nowsza wiec po co mu tamta:

C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll