balik
(Balik10)
19 Lipiec 2006 22:51
#1
które z tych rzeczy mam zablokować na stałe?bo większość z nich sama sie tam pojawiła i nie wiem do czego one słóżą.proszę was o poradę. to jest screen z Outposta.
Myszak
(Myszonus)
19 Lipiec 2006 23:08
#2
:o a gdzie ten screen … ? uciekł
Zablokowac i to natychmiast dać logi HijackThis + Silent Runners + Gmer , ściągnij>>>uruchom>>>przejdź do zakładki “rootkit”>>>wybierz “szukaj”>>>czekaż cierpliwie aż program zakończy prace>>>klikasz “kopiuj”>>>ctrl + v i wklej do posta.
Ściągnij również Windows Woorms Door Cleaner , odpal>>>zmień wszystkie znaczki z disable na enable>>>po użyciu narzedzia wymagany jest reset kompa.
balik
(Balik10)
22 Lipiec 2006 15:56
#5
oto log
Logfile of HijackThis v1.99.1 Scan saved at 17:45:41, on 2006-07-22 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe D:\Programy\Winamp\winampa.exe C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe D:\Programy\eDonkey2000\edonkey2000.exe C:\windows\system32_zskdmwinixeg_dkf[_qtd]r.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\WINDOWS\system32\nvsvc32.exe D:\PROGRAMY\AGNITUM\OUTPOS~1.0\outpost.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE D:\instalki\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programy\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programy\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Outpost Firewall] D:\PROGRAMY\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKLM\..\Run: [WinampAgent] d:\Programy\Winamp\winampa.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [eDonkey2000] "D:\Programy\eDonkey2000\edonkey2000.exe" -t O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [˙_zskr]dtq_[fkd_ge
xiniwmdksz_] c:\windows\system32_zskdmwinixeg_dkf[_qtd]r.exe O4 - HKLM\..\Run: [Microsoft Windows Session Manager Subsystem] C:\WINDOWS\smss.exe O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\WINDOWS\winlogon.exe O4 - HKLM\..\Run: [iE Redir] C:\WINDOWS\ieredir.exe O4 - HKLM\..\RunServices: [˙_zskr]dtq_[fkd_ge
xiniwmdksz_] c:\windows\system32_zskdmwinixeg_dkf[_qtd]r.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [˙_zskr]dtq_[fkd_ge
xiniwmdksz_] c:\windows\system32_zskdmwinix`eg_dkf[_qtd]r.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip…{C80C9416-0AD5-443C-A754-21D5DFA00E13}: NameServer = 213.199.194.19 213.199.194.17 O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINDOWS\system32\eannoohm.dll O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - D:\PROGRAMY\AGNITUM\OUTPOS~1.0\outpost.exe
natomiast ten gmer to uruchomilem go i mi od razu zresetowal kompa i juz nie dziala ten program.wyskakuje jakis blad.
Ta , a log z silenta gdzie ?
Ściągnij Windows Woorms Door Cleaner , odpal>>>zmień wszystkie znaczki z disable na enable>>>po użyciu narzedzia wymagany jest reset kompa.
start>>>uruchom>>>services.msc>>>zatrzymaj i wyłącz usługę Windows Logon Process Service
Nie pomyl lokalizacji plików przy usuwaniu .
1.Startujesz do trybu awaryjnego
2.Wyłanczasz przywracanie systemu (tylko Me/Xp)
3.Kasujesz wpisy w HijackThis
4.Kasujesz pogrubione pliki/foldery
5.Dajesz nowy log z hjt + log z Silent Runners
Jaki błąd, próbuj go uruchomić w awaryjnym itp, jeśli już to zrobisz, w zakładce procesy wybierz opcje zabij wszystko, pliki…>>>przechodzisz do c:\windows\system32\ szukasz plików _zskdmwinixeg_dkf[_qtd]r.exe i _zskdmwinix
eg_dkf[_qtd]r.dll , podświetlasz i kasujesz. I dajesz log z gmera.
system
(system)
29 Lipiec 2006 08:02
#8
Gdzie jest log z Gmer’a ??
Wpisz w uruchom regedit i ok o przejdz do klucza
i wykasuj z prawokliku myszki
"˙_zskr]dtq_[fkd_ge`xiniwmdksz_"
i do tego klucza
i kasuj to
"˙_zskr]dtq_[fkd_ge`xiniwmdksz_"
Przejdz do tej ściezki C:\WINDOWS\System32\drivers\etc\HOSTS i edytuj plik host za pomocą notatnika i wklej co jest w tym pliku na forum.
Po usuwaniu kluczy koniecznie wklej log z Gmer’a
balik
(Balik10)
31 Lipiec 2006 20:33
#9
ten gmer cos nie dziala, uruchomilem go dalem kasuj wszystko jak kazali i on cos tam porobil potem zresetowal komp ai juz sie nie uruchomil
z jakiego pliku na forum?
Wklej nowego loga z silenta.
no właśnie z jakiego ?
Otwórz plik hosts, wywal wszystko i wklej:
# Copyright © 1993-1999 Microsoft Corp. # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a ‘#’ symbol. # For example: # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host 127.0.0.1 localhost
Zapisz zmiany i ok.