K Logger na PC

Zaken · 21 Sierpień 2007 09:14

Logi z Combofix

http://wklej.org/id/1563f94440

Drugi Combofix

http://wklej.org/id/42142aaffb

Monczkin · 21 Sierpień 2007 09:19

Zaken przeczytaj i popraw posta

http://forum.dobreprogramy.pl/viewtopic.php?t=66889

jessica · 21 Sierpień 2007 09:56

Widzę, że jeszcze nie potrafisz poprawić logu zgodnie z sugestią Moderatora.

[*quote]tu dajesz swój log[*/quote] - oczywiście * gwiazdki usuwasz.

Albo zaznaczasz cały log i klikasz na przycisk “Quote” nad postem.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file) O2 - BHO: (no name) - {10476AB1-49AD-42A0-8012-763A97AF40DA} - C:\WINDOWS\System32\gebya.dll O2 - BHO: (no name) - {44218730-94E0-4b24-BBF0-C3D8B2BCE2C3} - C:\WINDOWS\System32\lsgrtjdr.dll O2 - BHO: (no name) - {614c8218-ed88-461a-9d02-62c2e4882af0} - C:\WINDOWS\system32\mapl32.dll (file missing) O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\System32\tmp2246.tmp.dll O2 - BHO: (no name) - {C84D8A0A-E708-42B6-90CA-9C30956A87C6} - C:\WINDOWS\system32\awtqnkh.dll (file missing) O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll (file missing) 04 - HKLM…\Run: [Windows Service Network] dowpslympri.exe O4 - HKLM…\Run: [MSOffice] rundll32.exe “C:\WINDOWS\System32\ysxljihw.dll”,sitypnow O4 - HKCU…\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe O4 - HKUS\S-1-5-18…\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User ‘Default user’) O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\ O20 - Winlogon Notify: gebya - C:\WINDOWS\System32\gebya.dll O20 - Winlogon Notify: mapl32 - C:\WINDOWS\

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Widzę nawet infekcję “VUNDO”, więc na początek daj log zComboFixa:

ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi

Złączono Posta : 22.08.2007 (Sro) 10:42

Widzę, że link do logu z ComboFixa podałeś w swoim poprzednim poście.

Trzeba było napisać następny post, bo przecież dostałeś już odpowiedź.

A tak, to teraz ja przez Ciebie muszę złamać Regulamin i napisać post po poście.

Moderatorzy nie pogłaszczą mnie za to po główce!

Wklej do Notatnika :

File::

C:\WINDOWS\system32\gyolbbvb.dll

C:\WINDOWS\system32\MSNGR32.com

C:\WINDOWS\system32\mapl32.dll

C:\WINDOWS\system32\awtqnkh.dll

C:\WINDOWS\System32\wbem\scrcons32.exe


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{614c8218-ed88-461a-9d02-62c2e4882af0}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C84D8A0A-E708-42B6-90CA-9C30956A87C6}]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"Windows Service Network"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{C84D8A0A-E708-42B6-90CA-9C30956A87C6}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqnkh]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mapl32]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"WMI Standard Event Consumer - Scripting"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj nowy log z ComboFixa.

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi