Zdunkov
(Zdunek1)
27 Styczeń 2007 22:09
#1
Mam problem z dialerem o nazwie i-Dialer
W trayu pojawia mi się symbol kuli ziemskiej, najpierw wychodzą z niej 4 zielone strzałki. Po kilku sekundach kula jest przekreślona czerwoną strzałką. Jest to program idd48.tmp exe kasuje go ale pojawia się znowu pod trochę zmienioną nazwą np idd102.tmp.exe Apliakcja ta znajduję się w WINNT\TEMP (na win2000). Dodatkowo tworzy w tym folderze raczej 0-bajtowe pliki co 2 minuty o nazwie np win3.tmp lub winD.tmp Czasami te pliki mają kilka kb. Po około 15-stu 20-minutach pojawia mi si.ę kolejny symbol kuli ziemskiej i jest to nowa aplikacja w Tempie. Stworzeniu każdej towarzyszy utworzenie w tempie plikunp win47.tmp.exe W ‘połączeniach sieciowych i telefonicznych’ pojawia mi się połączenie i-Dialer. Próbuje się połączyć z numerem 00393105999626
Wcześniej stworzył mi się plik svchosts.exe ale go usunąłem. Pojawiał mi się także żółty wykrzyknik w czerwonym kółku w trayu, ale po usunięciu pliku drvdom.dll znajdującym się w winnt\system32 zniknął. Po otwarciu okna pojawiało mi się okno z ostrzeżeniem przed spywarem po angielsku i linkiem do jakieś strony.
Mam kilka antydialerów ale żaden nie usuwa problemu na stałe. Proszę o pomoc. Oto log z Hijacka:
Logfile of HijackThis v1.99.1 Scan saved at 23:11:13, on 2007-01-27 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: G:\WINNT\System32\smss.exe G:\WINNT\system32\winlogon.exe G:\WINNT\system32\services.exe G:\WINNT\system32\lsass.exe G:\WINNT\system32\svchost.exe G:\WINNT\system32\spoolsv.exe G:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe G:\Program Files\Norton Internet Security\NISUM.EXE G:\Program Files\Norton Internet Security\ccPxySvc.exe G:\WINNT\System32\svchost.exe G:\WINNT\system32\hidserv.exe G:\Program Files\Norton AntiVirus\navapsvc.exe G:\WINNT\System32\nvsvc32.exe G:\WINNT\system32\regsvc.exe G:\WINNT\system32\MSTask.exe G:\WINNT\system32\stisvc.exe G:\WINNT\System32\WBEM\WinMgmt.exe G:\WINNT\system32\svchost.exe G:\WINNT\system32\svchost.exe G:\WINNT\Explorer.EXE G:\WINNT\SOUNDMAN.EXE G:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe G:\Program Files\Common Files\Symantec Shared\ccApp.exe G:\program files\ssantydialer\ssantydialer.exe G:\Program Files\Winamp\winampa.exe G:\PROGRA~1\NEOSTR~1\CnxMon.exe G:\WINNT\system32\P2P Networking\P2P Networking.exe G:\Program Files\CyberLink\PowerDVD\PDVDServ.exe G:\WINNT\system32\carpserv.exe G:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe G:\Program Files\Common Files\Real\Update_OB\realsched.exe G:\Program Files\Dialer Killer\DialKill.exe G:\WINNT\system32\internat.exe G:\Program Files\Gadu-Gadu\gg.exe G:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe G:\WINNT\system32\wuauclt.exe G:\Program Files\Kalendarz XP\Kalendarz.exe G:\Program Files\Nikon\PictureProject\NkbMonitor.exe G:\Program Files\HyperSnap-DX 4\HprSnap.exe G:\Program Files\Winamp\winamp.exe G:\PROGRA~1\NEOSTR~1\NeostradaTP.exe G:\PROGRA~1\NEOSTR~1\ComComp.exe G:\PROGRA~1\NEOSTR~1\Watch.exe G:\Program Files\Internet Explorer\IEXPLORE.EXE G:\WINNT\system32\rundll32.exe G:\Program Files\Internet Explorer\IEXPLORE.EXE G:\Program Files\Mozilla Firefox\firefox.exe G:\WINNT\TEMP\idd48.tmp.exe G:\Documents and Settings\Zdunek1\Moje dokumenty\Z Neta\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - G:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - G:\Program Files\iMesh\iMesh5\iMeshBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - G:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: IEHelperObject - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - G:\WINNT\Downloaded Program Files\avicodex.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\system32\msdxm.ocx O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - G:\Program Files\RXToolBar\RXToolBar.dll O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - G:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [HPDJ Taskbar Utility] G:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM…\Run: [ccApp] “G:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [ccRegVfy] “G:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe” O4 - HKLM…\Run: [sSAntyDialer] “g:\program files\ssantydialer\ssantydialer.exe” tray O4 - HKLM…\Run: [symantec NetDriver Monitor] G:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM…\Run: [DAEMON Tools-1033] “G:\Program Files\D-Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [WinampAgent] G:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [WooCnxMon] G:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “G:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] G:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [P2P Networking] G:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM…\Run: [sSC_UserPrompt] G:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM…\Run: [Alcohol 120% v1.9.2 build 1705 Crack] G:\Program Files\Alcohol Soft\Alcohol 120\Alcohol 120% v1.9.2 build 1705 Crack.exe O4 - HKLM…\Run: [WinUpdate] C:\cmon.exe O4 - HKLM…\Run: [RemoteControl] “G:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [CARPService] carpserv.exe O4 - HKLM…\Run: [WOOTASKBARICON] G:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [Windows LSASS Service] c:\Program Files\DAO\svchost.exe O4 - HKLM…\Run: [MS Config] msdconfig.exe O4 - HKLM…\Run: [QuickTime Task] “G:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [TkBellExe] “G:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [NeroFilterCheck] G:\WINNT\system32\NeroCheck.exe O4 - HKLM…\Run: [CloneCDTray] “G:\Program Files\SlySoft\CloneCD\CloneCDTray.exe” /s O4 - HKLM…\Run: [CTDrive] rundll32.exe G:\WINNT\system32\drvdom.dll,startup O4 - HKLM…\Run: [DialerKiller] G:\Program Files\Dialer Killer\DialKill.exe -h O4 - HKLM…\RunServices: [MS Config] msdconfig.exe O4 - HKCU…\Run: [internat.exe] internat.exe O4 - HKCU…\Run: [MS Config] msdconfig.exe O4 - HKCU…\Run: [Gadu-Gadu] “G:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “G:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe” O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - HKCU…\RunOnce: [FlashPlayerUpdate] G:\Program Files\Mozilla Firefox\plugins\GetFlash.exe -p O4 - Startup: HyperSnap-DX 4.lnk = G:\Program Files\HyperSnap-DX 4\HprSnap.exe O4 - Startup: Skrót do TempCleaner.bat.lnk = G:\WINNT\Temp\TempCleaner.bat O4 - Startup: Winamp.lnk = G:\Program Files\Winamp\winamp.exe O4 - Global Startup: Adobe Gamma Loader.lnk = G:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Kalendarz XP.lnk = G:\Program Files\Kalendarz XP\Kalendarz.exe O4 - Global Startup: Microsoft Office.lnk = G:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NkbMonitor.exe.lnk = G:\Program Files\Nikon\PictureProject\NkbMonitor.exe O8 - Extra context menu item: &Search - http://kc.bar.need2find.com/KC/menusearch.html?p=KC O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Wyślij obraz na &Telefon - res://G:\Program Files\MTPlugin\MTSend.dll/Plugin O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINNT\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINNT\web\related.htm O12 - Plugin for .spop: G:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {6932D140-ABC4-4073-A44C-D4A541665E35} (ImageShack Toolbar) - http://toolbar.imageshack.us/toolbar/Im … oolbar.cab O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - http://static.zangocash.com/cab/Seekmo/ … e-c567.cab O16 - DPF: {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} (IEHelperObject) - http://fjut.net/avicodex.ocx O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} (SAIX) - http://static.zangocash.com/cab/Seekmo/ … 26e79f8d4e O17 - HKLM\System\CCS\Services\Tcpip…{1926F6A3-1B87-4085-A0E8-204D4D9248F5}: NameServer = 194.204.152.34 217.98.63.164 O20 - Winlogon Notify: rpcc - G:\WINNT\system32\rpcc.dll O20 - Winlogon Notify: winwim32 - G:\WINNT\SYSTEM32\winwim32.dll O23 - Service: Adobe LM Service - Unknown owner - G:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - G:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - G:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - G:\Program Files\Norton Internet Security\ccPxySvc.exe O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - G:\WINNT\System32\dmadmin.exe O23 - Service: Macromedia Licensing Service - Unknown owner - G:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Usługa Auto-Protect w programie Norton AntiVirus (navapsvc) - Symantec Corporation - G:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - G:\Program Files\Norton Internet Security\NISUM.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINNT\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - G:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - G:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - G:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
adambak1
(Adambak1)
28 Styczeń 2007 15:22
#2
tak na uwadze skanowałeś Nortonem bo masz wpisy po nim
Złączono Posty : 28.01.2007 (Nie) 16:24
radziłbym sie uzbroić w dobry firewall jak sygate personal firewall
Piwollo
(Piwollo)
28 Styczeń 2007 15:32
#3
Pliki/Foldery na czerwono z dysku w trybie awaryjnym, a wpisy w HJT.
Sciągnij ATF Cleaner i przeczyść Current User Temp i All Users Temp .
Przeskanuj http://www.ewido.com/en i wbij raport.
Zainstaluj Firewalla, najlepiej darmowy ZoneAlarm
Poczekaj na analize loga z Silenta, ale wrzuc nowy log z HJT.
Zdunkov
(Zdunek1)
28 Styczeń 2007 19:58
#4
przeskanowałem kasperskym, znalazl mi 700 zainfekowanych i wszystkie skasowalem… tylko ze teraz mi sie IE wyłącza, gg się wyłącza, i explorer mi siada jak wchodze do folderu winnt. Wkleić logi z hijacka? Pomogą coś czy muszę poprostu przeinstalować system? (Format niestety nie wchodzi w grę)
adam9870
(adam9870)
28 Styczeń 2007 20:01
#5
W logu są jeszcze inne szkodniki poza tymi, które wskazał @Piwollo . Kasperski mógł sporo z nich usunąć dlatego możesz jeszcze przeskanować http://www.ewido.net/en/ i koniecznie pokazać nowy log z HijackThis plus z SilentRunners .