Odtwarzający się dialer


(sdar) #1

Zainstalowałem na komputerze wygaszacz ekranu. Jak się okazało, wygaszacz ten po uruchomieniu się próbował samodzielnie łączyć się internetem. Ponieważ nie lubię tego typu programików :mrgreen: więc usunąłem wygaszacz, przeczyściłem rejestr i zainstalowałem nowy wygaszacz. Jednak mimo usunięcia (wydawało mi się, że wszelkich) śladów po tym feralnym wygaszaczu, pest patrol podczas pełnego skanu wyłapuje mi dialera (screen podzieliłem na dwie części żeby pokazać wszelkie informacje wyświetlane przez PestPatrol):

pesta1gy.th.png

pestb0gb.th.png

Co prawda, dialer nie jest mi straszny bo korzystam z neostrady a modemu całkowicie nie używam ale jest to troszkę denerwujące, że po każdym usunięciu tego świństwa przez PestPatrol, pojawia się ono ponownie. Czy i jak to usunąć? A może dać sobie spokój i nie wywalać tego jak sugeruje PestPatrol (Advice: delete or ignore)?

Dodam tylko, że AdAware i Spybot nie wyłapują tego dialera a log z HijackThis wydaje się czysty (na wszelki jednak wypadek umieszczam go poniżej). Bardzo proszę o ewentualne sugestie specjalistów i z góry dziękuję mikołajowo za pomoc :smiley:

Logfile of HijackThis v1.99.1

Scan saved at 23:59:50, on 2005-12-09

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

c:\Program Files\PestPatrol\cookiepatrol.exe

c:\Program Files\PestPatrol\ppcontrol.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Maxthon\Maxthon.exe

C:\PcPlus\Hijack_This\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] c:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM\..\Run: [CookiePatrol] c:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/245a8ff671910e095916/netzip/RdxIE601.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116905661546

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129374573031

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner37380.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promotions/spywaredetector/WebAAS.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4529/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{AC496000-481C-4855-BD9A-4CCB85BAA668}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

(w32.sasser) #2

Wyłącz przywracanie systemu a następnie zrestartuj komputer. Po restarcie uruchom kompa w trybie awaryjnym. Usuń ten nieszczęsny plik i wpis a potem zrestartuj komputer. Niech się uruchomi normalnie po restarcie i wszystko powinno być Ok. Możesz włączyć przywracanie systemu jeśli chcesz.


(sdar) #3

Ale który plik?

sgrunt.biz (gdzie go szukać bo polecenie szukaj nie znalazło tego pliku w komputerze)

czy

Trojan.Win32.Dialer.hc (to samo pytanie co poprzednio czyli gdzie go szukać?)


(Edgarmks) #4

sdar z tego co widze w logu jest czysto :slight_smile:

Tak jest czysto :slight_smile:

Złączono Posta : 10.12.2005 (Sob) 12:25

http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453096347

Prosze przeczytaj info o nim

Złączono Posta : 10.12.2005 (Sob) 12:28

A tutaj jeszcze masz gdzie on sie znajduje

http://forums.spybot.info/showthread.php?t=338

Pierwszy post jest podana scieżka :slight_smile:

Złączono Posta : 10.12.2005 (Sob) 12:29

Nie znajdziesz pliku o takiej nazwie :arrow:

Złączono Posta : 10.12.2005 (Sob) 12:30

To jest w rejestrze link http://forums.spybot.info/showthread.php?t=338

Pierwszy post jest podana scieżka :slight_smile:

I przeskanuj skanerami on-line :slight_smile: kasperskim panda i innymi :slight_smile:


(sdar) #5

No i wszystko jasne :smiley:

W tym linku, który podałeś wyjaśnione jest dokładnie (sprawdziłem u siebie w rejsetrze), że jest to wpis ochronny spybota, który jest nieprawidłowo interpretowany przez PestPatrol i nie miało to nic wspólnego z wygaszaczem tylko tak się złożyło, że zainstalowalem ten wygaszacz chwilę wcześniej aktualizując Spybota, który zainstalował nowe wpisy ochrony :mrgreen: . Swoją drogą jest kilka wpisów zabezpieczających umieszczanych w rejestrze przez Spybota w celu niedopuszczenia do zainfekowania kompa, które z kolei mogą być źle interpretowane przez PestPatrol. Tak więc nie mam żadnego śmiecia a temat pozostawiam potomnym, którzy mając PestPatrola, korzystają też ze Spybota i mogą się z tym spotkać.

cheerlie-blauw.gif