Log do sprawdzenia


(Lukaszkuleczka) #1

zobaczcie te wpisy z loga:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=33464

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=33464

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=33464

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\44K5LH~1.DLL

O20 - AppInit_DLLs: 7e62u2w9ol6gt.dll

z pierwszymi trzema nie mam problemu, ale po kolejnym włączeniu kompa znowu się pojawiają. myslę że to sprawka tego 44k..... ale nie moge go usunąć bo odmowa dostępu. ostatni plik moge usunąć ale po włączeniu kompa znowu się robi tylko ma inną nazwe...

pomocy! !!


Tytuł zmieniono na "normalny".

S.Sz.


(system) #2

Wklej dla pewnosci caly Log!! A probowales to usunac w Trybie Awaryjnym ??


(Lukaszkuleczka) #3

Logfile of HijackThis v1.98.2

Scan saved at 16:26:24, on 2005-04-18

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\spoolsv.exe

D:\Instalki\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=33464

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=33464

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=33464

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\44K5LH~1.DLL

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab

O20 - AppInit_DLLs: 7e62u2w9ol6gt.dll


(Musg) #4

wywal to wszystko w systemie awaryjnym i wylacz przywracanie systemu


(Damian) #5

Fucktycznie niema więcej do wywalenia.

Więc wchodzisz w tryb awaryjny i kasujesz wszystko jeszcze raz:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=33464

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=33464

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=33464

Jeśli nawet w trybie awaryjnym po wywalaniu w Hijacku poniżesz wpisy powrócą, spróbuj je skasować w programie DllCompare

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\44K5LH~1.DLL

O20 - AppInit_DLLs: 7e62u2w9ol6gt.dll


(Lukaszkuleczka) #6

nie wiem o co chodzi w tym programie kliknąłem to compare i co... :stuck_out_tongue:

to pogrubione to jeden z tych plików (tylko zmienił nazwe) ale on jest dalej w systemie...


(Kuz5) #7

Zrób tak.

Na początek usuń pliki 44K5LH~1.DLL i 7e62u2w9ol6gt.dll

najlepiej programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\WINDOWS\System32**** 44K5LH~1.DLL

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

po restarcie robisz to samo z ścieżką: (zakładam że bedzie ona wyglądać tak)

C:\WINDOWS\System32**** 7e62u2w9ol6gt.dll

Następnie usuwasz HijackThisem:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=33464 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=33464 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://letgohome.com/hp.htm?id=33464 

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\44K5LH~1.DLL 

O20 - AppInit_DLLs: 7e62u2w9ol6gt.dll

(Lukaszkuleczka) #8

no i lipsztyk...

Logfile of HijackThis v1.98.2

Scan saved at 19:24:28, on 2005-04-18

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Program Files\Messenger\msmsgs.exe

D:\Instalki\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=33464

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\W8C6S4~1.DLL

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab

O20 - AppInit_DLLs: 8vc7nt8ohpyj7m.dll

tylko zmieniły nazwe...


(Adekuson) #9
O20 - AppInit_DLLs: 8vc7nt8ohpyj7m.dll

Hmm, podejrzewam, że jest to plik generowany przez FlashGeta.

Z tego co wiem to flashget ZAWIERA komponenty szpiegowskie.

Przeskanuj kompa Ad-Awarem.

Jak coś znajdzie to wszystko wywalasz.

Dopiero wtedy kasujesz za pomocą pocket killbox.


(Lukaszkuleczka) #10

jea... niby troszke sie z tym uporwałem bo już sie nie zmieniają strony startowe (chociaż jeszcze 2 wpisy jakies z innym adresem są) ale w hijacku jeszcze są te pliczki:


(system) #11

Na koniec dobrze będzie zainstalować:

:arrow: Windows XP PL Service Pack 2


(Qbek50) #12

najpierw trzeba syf usunać

:stuck_out_tongue:


(Lukaszkuleczka) #13

jeeeea jestem ... cierpliwy :stuck_out_tongue: jakoś (sam nie wiem jak) wywaliłem ścierwo :slight_smile:

oczywiście bez Was by mi sie nie udało... dzięki...

Pozdro!! 8)


(Gutek) #14

Po pierwsze daj:

Pobierz hijackthis 1.99.1

i zrób log przez naciśnięcie "Do a system scan and save a logfile", zapisz ten log np. na pulpicie, a zawartość skopiuj i wklej na forum :stuck_out_tongue:

Po drugie nie będzie lekko

brakuje pliku:

Dodatkowo log z DLLCompare wyliczy następujące pliki:

bridge.dll

d2kpax.dll

jac.dll

msxslab.dll :stuck_out_tongue:

Niezależnie od typu Windows w folderze tymczasowym pojawi się sześcioliterowy losowo nazwany plik *.TMP, które zawiera backup śmiecia. Na Windows XP dodatkowo jeszcze 2 pliki *.BAK - również z backupem.

Usuwanie:

Otwierasz Notatnik i wklejasz w nim to:

Plik >>> Zapisz jako >>> Wszystkie pliki *.* >>> jako nazwę wprowadź**** FIX.REG

Resetujesz komputer do trybu awaryjnego i klikasz w podwójnie zrobiony przez siebie plik rejestru FIX.REG i potwierdzasz padające pytanie. Usuwasz za pomocą HijackThis te wpisy, które wyżej zaznaczyłem.

W przypadku braku pewności co do kasacji należy posortować Widok wg daty modyfikacji (te świeże są "bee") i na dokładkę prawy klik >>> Właściwości >>> Producent (te z Melcosoft Corporation to jest właśnie to!).

  • Plików "zerobajtowych" widocznych w logu z DLLCompare.

  • Plików *.TMP z folderu tymczasowego

Na stówkę będzie problem z kasacją plików. Należy więc posłużyć się programem PocketKillBox. Na początek wyczyścić tempy opcją: Tools >>> Delete Temp folders. Potem zaznaczyć kolejną opcję Delete file on reboot i w polu Full Path of File to Delete wkleić po kolei wszystkie ścieżki do plików zdeklarowanych na kasację. Po każdym wklejeniu program będzie pytał o reset co potwierdzasz dopiero po wklejeniu ostatniej ze ścieżek gdyż pliki muszą zostać skasowane za jednym zamachem. Reset komputerka - oczywiście znów do trybu awaryjnego.


(system) #15

Po co to wszystko?

Przecież:


(Gutek) #16

Po co ponieważ nie ma tak łatwo z trojanem CWS letgohome.com


(Qbek50) #17

a no po to że nowszy soft moze wykryć coś wiecej :smiley: