tomaszgr
13 Listopad 2006 06:29
#1
Witam!
Mam problem z usunięciem jakieś pozostałości keylogera (korzystającego z plików ibm00001.*)
Pozostał taki efekt że mimo usunięcia plików i wszystkich znalezionych wpisów odnoszących się do tych plików pozostał taki efekt że co kilkanaście sekund - kilkadziesiąt sekund komputer jakby próbował uruchomić jakiś program, i zmienia aktywne okno w nieaktywne, co jest troche uciążliwe.
System operacyny WIN 98SE
Logfile of HijackThis v1.99.1 Scan saved at 07:37:33, on 06-11-10 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\SB4\KSIEGAW.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\PULPIT\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eu.microsoft.com/poland/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM…\Run: [Zasobnik systemowy] SysTray.Exe O4 - HKLM…\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\RunServices: [schedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O21 - SSODL: vzWZPthbfaTTc - {304610ED-9AEC-BA47-A579-BC6A61B90B48} - C:\WINDOWS\SYSTEM\RBDYPG.DLL
Podejrzewam wpisy O14 i O21 jednak próbowałem usuwać wpis O21 to po chwili podobny wpis pojawiał sie samoistnie
Pozdrawiam i z góry dziękuję za pomoc
Tomasz G.
system
13 Listopad 2006 07:01
#2
Usuń wpisy w hijakthis i użyj Pocket KillBox
C:\WINDOWS\SYSTEM\RBDYPG.DLL
Następnie wybierz X(czerwony) i nastąpi restart kompa
Dodatkowo wklej log z programu silent runners(info w przyklejonym temacie)
Wpisz jeszcze w uruchom system.ini i i zawartość tego pliku tez możesz wkleic na forum
tomaszgr
14 Listopad 2006 12:00
#3
Witam!
Postapiłem częsciowo wg wskazówek tj do momentu usunięcia Pocket KillBox pliku i restartu komputera.
Wpis O21 jest usunięty definitywnie, O14 przywróciły sie ponownie.
Jednak z powodu ze w międzyczasie pozbawiłem ten komputer dostępu do internetu silent runners nie uruchomiłem na nim.
Usunięcie O21 dało to że nic nie próbuje się samo uruchamiać, wieć spokojnie można pracować, a to było najważniejsze
Mam tylko nadzieje
Dziekuję za pomoc
asterisk
14 Listopad 2006 15:10
#5
Plik iereset.inf służy Windowsowi do powtórnego załadowania
domyślnych ustawień Internet Explorera po jego resecie
ze pozostawienie O14 nie spowoduje skutków destrukcyjnych dla plików w komputerze.