Dziwny, niechciany "Program" (wirus-nie_wirus)

SynMarnotrawny · 1 Grudzień 2006 15:21

Od pewnego czasu mam problem z “wyskakujacymi okienkami”, “alarmem zwiazanym z różnymi wirusami i programami szpiegujacymi”, oraz pojawianiem się okienek IE (sam Internet Explorer nie jest przeze mnie stosowany od dawna), które rekomendując “darmowe programy anty-wirusowe”…

Wszystko to zaczęło się od zainstalowania przez pewną osobę kożystającą z mojego kompótera “dekodera/kodeka(?) filmów”

Poszukuję programu który usunie ów tajemiczy “kodek” (po instalacji nie da się go nigdzie znaleźć), bowiem podejżewam (co potwiedzają kolejne skanowania antywirusowe i antyspywae’owe) iż nie chodzi tu o wirusy, tudzież programy szpiegujące, ale właśnie o aplikacje mającą naklonić mnie do zainstalowania czegoś, co bez watpienia nie jest (w mym skromnym mniemaniu) programem antywirusowanym.

Posczas regularnych skanowań antyszpiegowskich powtarza się element nazwy (być może powiązany z problemem):

“mediaplex”

Jesli ktoś ma jakieś propozycje, to jestem otwarty na wszelkie sugestie.

Z góry (a razczej dołu) dziękuję.

Krzychuu · 1 Grudzień 2006 15:27

SynMarnotrawny wklej loga z HJT i SR.

Venice3000 · 1 Grudzień 2006 15:42

Nie chodzi ci czasami o to??

http://forum.dobreprogramy.pl/viewtopic.php?t=108072&highlight=virusburst

Sam takiego czegoś dorobiłem się po instalacji kodeka - ale z tego co piszesz jak na razie nic nie wskazuje na ten spyware - ale czasami SmitFraudFix może się przydać

SynMarnotrawny · 1 Grudzień 2006 17:35

Nie jestem pewien czy chodziło o to, ale chyba tak:

Logfile of HijackThis v1.99.1 Scan saved at 18:54:32, on 2006-12-01 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVirenKit\AVKService.exe C:\Program Files\AntiVirenKit\AVKWCtl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService7.exe C:\WINDOWS\Explorer.EXE C:\Program Files\QualityCodec\pmsngr.exe C:\Program Files\QualityCodec\isamonitor.exe C:\Program Files\QualityCodec\pmmon.exe C:\Program Files\QualityCodec\isamini.exe C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\WLAN\WConfig\WConfig.exe C:\Documents and Settings\Miterian\Ustawienia lokalne\Temp\Katalog tymczasowy 4 dla hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Program Files\QualityCodec\isaddon.dll O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\System32\appwiz.dll (file missing) O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Program Files\QualityCodec\iesplugin.dll O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Dzieńdobry!] C:\Program Files\VSD Software\Dzieńdobry!\dziendobry.exe /auto O4 - Global Startup: Microsoft Office.lnk = D:\OFFICE\Office\OSA9.EXE O4 - Global Startup: WConfig.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media … ge-c46.cab O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll (file missing) O20 - Winlogon Notify: tcpG4T - tcpG4T.dll (file missing) O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\System32\okkmtv.dll (file missing) O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirenKit\AVKService.exe O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirenKit\AVKWCtl.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

Mam nadzieję, iż to coś Wam mówi (bo mi nic…)

Pozdrawiam i dziękuję za pomoc.

Ps.: Przy okazji, czy to może mieć powiązanie z zanikającym sygnałem łącza radiowego?

Joan · 1 Grudzień 2006 19:04

Mówi i to dużo. Klasyczna infekcja SmitFraud.

Użyj SmitFraudFix z opcji 2 w trybie awaryjnym i po tym nowe logi z HJT i Silent Runners (zaznaczasz No i czekasz aż skończy pracować w tle) oraz koniecznie raport ze SmitFraudFix – plik c:\rapport.txt.

SynMarnotrawny · 1 Grudzień 2006 22:20

Użyj:

SmitFraudFix - wykonane

nowe logi:

HJT - wykonane

Silent Runners - niewykonane*

SmitFraudFix - wykonane

*Nie mogę odpalić ściągniętego programu.

HJT

Logfile of HijackThis v1.99.1 Scan saved at 23:16:56, on 2006-12-01 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVirenKit\AVKService.exe C:\Program Files\AntiVirenKit\AVKWCtl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService7.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe C:\Program Files\WLAN\WConfig\WConfig.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\WINDOWS\NOTEPAD.EXE C:\Documents and Settings\Miterian\Ustawienia lokalne\Temp\Katalog tymczasowy 3 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Dzieńdobry!] C:\Program Files\VSD Software\Dzieńdobry!\dziendobry.exe /auto O4 - Global Startup: Microsoft Office.lnk = D:\OFFICE\Office\OSA9.EXE O4 - Global Startup: WConfig.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media … ge-c46.cab O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll (file missing) O20 - Winlogon Notify: tcpG4T - tcpG4T.dll (file missing) O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirenKit\AVKService.exe O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirenKit\AVKWCtl.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

SmitFraudFix

SmitFraudFix v2.126 Scan done at 23:10:26,18, 2006-12-01 Run from C:\Documents and Settings\Miterian\Pulpit\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] “{B212D577-05B7-4963-911E-4A8588160DFA}”=“Memory monitor” [HKEY_CLASSES_ROOT\CLSID{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32] @=“C:\WINDOWS\q3610321.dll” [HKEY_LOCAL_MACHINE\Software\Classes\CLSID{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32] @=“C:\WINDOWS\q3610321.dll” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] “{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}”=“bonspells” [HKEY_CLASSES_ROOT\CLSID{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32] @=“C:\WINDOWS\System32\okkmtv.dll” [HKEY_LOCAL_MACHINE\Software\Classes\CLSID{11853d5f-f894-4cc7-bbc3-fc7a9dcfd896}\InProcServer32] @=“C:\WINDOWS\System32\okkmtv.dll” »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\WINDOWS\secure32.html Deleted C:\WINDOWS\tool1.exe Deleted C:\WINDOWS\tool3.exe Deleted C:\WINDOWS\tool4.exe Deleted C:\WINDOWS\tool5.exe Deleted C:\WINDOWS\system32\countrydial.exe Deleted C:\WINDOWS\system32\latest.exe Deleted C:\WINDOWS\system32\sysvcs.exe Deleted C:\WINDOWS\system32\sywsvcs.exe Deleted C:\WINDOWS\system32\winstyle3.dll Deleted C:\WINDOWS\system32\zlbw.dll Deleted C:\Program Files\QualityCodec\ Deleted C:\Program Files\VirusBursters\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !Attention, following keys are not inevitably infected! SrchSTS.exe by S!Ri Search SharedTaskScheduler’s .dll »»»»»»»»»»»»»»»»»»»»»»»» End Komuś coś to mówi? Jeszcze raz dziękuję za pomoc… Pozdrawiam.

Venice3000 · 1 Grudzień 2006 22:37

Hehe, a i jednak dobrze wczesniej przypuszczałem że złapałeś VirusBurster

Ale jeszcze moim zdaniem znajdzie się coś w logu HJT - to pozostawiam ekspertom (O20)

Pozdro!

Joan · 1 Grudzień 2006 22:55

W HJT zaznaczasz wpisy i klikasz na dole “Fix checked” :

O problemach z Silentem poczytaj tutaj -> http://www.searchengines.pl/phpbb203/in … opic=15989

SynMarnotrawny · 1 Grudzień 2006 23:08

Logfile of HijackThis v1.99.1 Scan saved at 00:09:50, on 2006-12-02 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVirenKit\AVKService.exe C:\Program Files\AntiVirenKit\AVKWCtl.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService7.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe C:\Program Files\WLAN\WConfig\WConfig.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\Documents and Settings\Miterian\Ustawienia lokalne\Temp\Katalog tymczasowy 6 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Dzieńdobry!] C:\Program Files\VSD Software\Dzieńdobry!\dziendobry.exe /auto O4 - Global Startup: Microsoft Office.lnk = D:\OFFICE\Office\OSA9.EXE O4 - Global Startup: WConfig.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll (file missing) O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirenKit\AVKService.exe O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirenKit\AVKWCtl.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe

Wykasowałem zaznaczone elementy, dziekuję; powyżej wynik skanowania po wykasowaniu tak profilaktycznie

Pozdrawiam i dziękuję.

Joan · 1 Grudzień 2006 23:21

Czysto

Krzychuu · 2 Grudzień 2006 11:54

SynMarnotrawny daj jeszcze loga z SR.

SynMarnotrawny · 3 Grudzień 2006 13:05

Problem w tym, że po zapisaniu programu nie mogę go otwożyć (informacja o braku nażędzia do otwierania plików tego typu - mniej więcej tak)

To taki drobny problem…

Pozdawiam.

Krzychuu · 3 Grudzień 2006 14:37

Pobierasz narzędzie noscript (z :google: