Nowy - prosi o pomoc


(Andrew1974) #1

Witam !

Jak zaznaczyłem w temacie jestem nowy na forum i z pewnścią nie oblatany w tematyce jak stali bywalcy forum.

Problem mój wygląda następująco - po włączeniu kompa, na którym jest kilku użytkowników, automatycznie próbuje się załadować strona http://www.certdreams.com/cmd.php?ver=1 ... ska&s=3990, dodatkowe wskazówki powiązane z tym, które znalazłem w C:\Documents and Settings\STANDARD\Ustawienia lokalne\Temporary Internet Files to cmd i x-ok (nie wiem co to oznacza:()

Odnośnie tego problemu wykonałem skanowanie antywirusem mks on-line i Ad Adware oraz spybotem (jednakże w czasie skanowania spybootem - wychodził błąd skanowania "program który chcesz obecnie skanować jest w użyciu proszę zrestartować komputer i wykonać skanowanie ponownie" po czym działo się to samo ... :frowning:

Prosiłbym o sprawdzenie loga hijacka:

Logfile of HijackThis v1.99.1

Scan saved at 17:48:24, on 2005-09-23

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS

C:\Program Files\Sophos SWEEP for NT\SWUPDATE.EXE

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\System32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\STANDARD\USTAWI~1\Temp\Rar$EX00.969\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 1.2.3.4:1234

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiz.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PublishPDF] C:\WINDOWS\PublishPDF\ppdfload.exe

O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [WindowsMGM] C:\WINDOWS\winmgm32.exe

O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O15 - Trusted IP range: 81.222.131.59

O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - file://C:\WINDOWS\ServicePackFiles\i386\msrdp.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O23 - Service: Client Access Remote Command (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE

O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE

O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS

O23 - Service: Sophos Anti-Virus Update (SweepUpdate) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWUPDATE.EXE

Może ktoś byłby w stanie mi dopomóc w tych problemach ? Z góry dziękuję za ewentualną okazaną pomoc ... Pozdrawiam


(Qbek50) #2

wyłącz przywracanie systemu. W trybie awaryjnym usuwasz ręcznie pogrubione pliki:

potem kasujesz wpisy w Hijacku:

usuwasz:

Kill Trusted :

http://www.searchengines.pl/phpbb203/in … ost&id=459


(Andrew1974) #3

Jestem po zaleconych poprawkach - mój obecny log hijacka to:

Logfile of HijackThis v1.99.1

Scan saved at 07:33:33, on 2005-09-26

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS

C:\Program Files\Sophos SWEEP for NT\SWUPDATE.EXE

C:\WINDOWS\SYSTEM32\Userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Sophos SWEEP for NT\ICMON.EXE

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\STANDARD\USTAWI~1\Temp\Rar$EX00.829\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PublishPDF] C:\WINDOWS\PublishPDF\ppdfload.exe

O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - file://C:\WINDOWS\ServicePackFiles\i386\msrdp.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O23 - Service: Client Access Remote Command (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE

O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE

O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS

O23 - Service: Sophos Anti-Virus Update (SweepUpdate) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWUPDATE.EXE

Prosiłbym o sprawdzenie.


(Qbek50) #4

no i jest czysto :slight_smile:


(Andrew1974) #5

Problem zdaje się być większy niż należało przypuszczać …

Po pewnym czasie od uzyskania właściwego loga hijack włączyłem Ad-Watch SE Professional i wykrył mi 5 zmian rejestru, po czym włączyłem hijacka i log wygladał:

Logfile of HijackThis v1.99.1

Scan saved at 12:13:03, on 2005-09-26

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS

C:\Program Files\Sophos SWEEP for NT\SWUPDATE.EXE

C:\WINDOWS\SYSTEM32\Userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Sophos SWEEP for NT\ICMON.EXE

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\STANDARD\USTAWI~1\Temp\Rar$EX00.297\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/w/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [PublishPDF] C:\WINDOWS\PublishPDF\ppdfload.exe

O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [WindowsMGM] C:\WINDOWS\winmgm32.exe

O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - file://C:\WINDOWS\ServicePackFiles\i386\msrdp.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O23 - Service: Client Access Remote Command (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE

O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWNETSUP.EXE

O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWEEPSRV.SYS

O23 - Service: Sophos Anti-Virus Update (SweepUpdate) - Sophos Plc - C:\Program Files\Sophos SWEEP for NT\SWUPDATE.EXE

Po poradzie Detektywa - fixowanie w hijacku 4 x R1 i po zastosowaniu do usunięcia O4 - HKCU…\Run: [WindowsMGM] C:\WINDOWS\winmgm32.exe - Killboxa problem powrócił - log się nie zmienił … :(.

Problem jest z C:\WINDOWS\winmgm32.exe - nie ma tego pliku - ja go nie znalazłem w trybie awaryjnym i normalnym i Killbox też go nie znalazł.

Efekt końcowy jest taki że po włączeniu kompa, na którym jest kilku użytkowników, automatycznie próbuje się załadować strona http://www.certdreams.com/cmd.php?ver=1 … ska&s=3990, dodatkowe wskazówki powiązane z tym, które znalazłem w C:\Documents and Settings\STANDARD\Ustawienia lokalne\Temporary Internet Files to cmd i x-ok.

Ponadto po pewnym czasie wyskakuje okno Wystąpienia problemu z aplikacją Usernit Logon Application i zostanie ona zamknięta …

Może ma ktoś pomysł co z tym dziadostwem zrobić ?

Pytanie kieruję zwłaszcza do Gutka, bocziego albo kuza5. Jeśli mógłby mi ktoś pomóc …


(boczi) #6

Wykryło Ci pięć zmian rejestru - może nie zezwoliłaś na nie - a trzeba było. Zrób jeszcze raz to samo i napisz nam, czego każdy komunikat Ad-Aware dotyczył.

Kasujesz:

Wszystkie czynności wykonujesz w trybie awaryjnym [F8] w czasie bootowania komputera z wyłączonym przywracaniem systemu. Gdybyś nie wiedział, jak to zrobić, zobacz TU.

Pogrubione kasujesz z dysku oraz wszystkie wpisy z Hijacka.

C:\Documents and Settings\STANDARD\Ustawienia lokalne\ Temporary Internet Files

Opróżnij zawartość katalogu.

I wyczyść rejestr programem jv16 PowerTools.

A także opróżnij zawartość katalogów TEMP i Prefetech w katalogu systemowym WINDOWS.

Po czynnościach skan programami ANTY i nowy log.


(Andrew1974) #7

Dzięki bardzo za pomoc - uporałem się z problemem

Pozdrawiam