Yoss
(Ela I Darek)
11 Sierpień 2007 10:55
#1
Witam,
Zaliczyłem jakiś syf objawiający się wywalającymi się co jakiś czas komunikatami o wykryciu dużej ilości wirusów i kierujący na stronę do Virus Protect Pro. Użyłem Windows Worms Doors Cleanera: zmieniłem znaczki z disable na enable (część została na żółto ). Potraktowałwem go potem za pomocą SmitFraudFix + NoLop w trybie awaryjnym. Na końcu jeszcze Spybot Search&Destroy. Objawy jakby ustąpiły. Jednak w IE pozostała mi nieusuwalna strona startowa http://www.microsoft.com/pl/PL/default.aspx . Próbowałem zmienić to rejestrze ale modyfikacja dla Start Page jest u mnie niedopuszczalna. Proszę o pomoc.
Logfile of HijackThis v1.99.1 Scan saved at 12:51:56, on 2007-08-11 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\Program Files\VIA\RAID\raid_tool.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\WINDOWS\system32\MMTray.exe C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Tlen.pl\tlen.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Narzędziowe\Antywirusowy\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.onet.pl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.onet.pl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.onet.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Earn2Life Bar - {93344865-74BD-4873-BE65-56539D41A65C} - C:\WINDOWS\Downloaded Program Files\Earn2Life.dll O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM…\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [Zone Labs Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe” O4 - HKLM…\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM…\Run: [MMTray] MMTray.exe O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe” O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - HKCU…\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Search - ?p=ZRxdm427YYPL O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: Earn2Life Bar - {07328B93-AFD8-4c6a-99E9-D0B3B5D6DAD9} - C:\WINDOWS\Downloaded Program Files\Earn2Life.dll O9 - Extra ‘Tools’ menuitem: Earn2Life Bar - {07328B93-AFD8-4c6a-99E9-D0B3B5D6DAD9} - C:\WINDOWS\Downloaded Program Files\Earn2Life.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://www.winuel.com.pl/iNotes6W.cab O16 - DPF: {93344865-74BD-4873-BE65-56539D41A65C} (Earn2Life Bar) - http://www.earn2life.com/plugin/Earn2Life.cab O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - http://www.winuel.com.pl/dwa7W.cab O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
jessica
(jessica)
11 Sierpień 2007 13:08
#2
Jeśli nie instalowałeś tego “Earn2Life”, to wpisy sfiksuj w Hijacku, a plik usuń.
Piszesz, że nie możesz przeprowadzić zmian w rejestrze - uniemożliwia Ci to ten wpis:
O4 - HKCU…\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\ TeaTimer.exe
Po prostu, podczas instalacji Spybota sam się zgodziłeś na instalację tego “teaTimera”, którego zadaniem jest uniemożliwianie zmian w rejestrze.
Szkodnik jednak chyba potrafił go obejść…
Na wszelki wypadek możesz jeszcze dać log z ComboFixa:
http://forum.dobreprogramy.pl/viewtopic.php?t=36654
(na dole tej strony z linku) -
Log wklej na http://wklej.org/ , a w poście daj tylko link.
.
Yoss
(Ela I Darek)
11 Sierpień 2007 16:52
#3
“Earn2Life” instalowałem dość dawno temu, jak się bawiłem SecondLife. Chyba to nie on bruździ. Search & Destroy\TeaTimer.exe
uruchomiłem niestety po fakcie; jak już zaliczyłem szkodnika.
Log z ComboFixa: http://wklej.org/id/4cb10f88fb
Pozdr.
jessica
(jessica)
11 Sierpień 2007 17:05
#4
Nie wiem, co to jest.
Jeśli też nie wiesz, to usuń.
.
Kuba11
(Kuba1)
11 Sierpień 2007 17:07
#5
To są pliki,które wyglądają na ewidentny syf.
Przeskanuj te pliki na http://www.virustotal.com i wklej raporty.
Yoss
(Ela I Darek)
11 Sierpień 2007 18:05
#6
Plik sysztgg.exe okazał się pięknym trojanem. Dałem mu w zęby. Reszta to jakieś śmieci. Też usunąłem. Problemik ze stroną startową bez zmian.
Kuba11
(Kuba1)
11 Sierpień 2007 19:40
#7
Pokaż nowe logi.
Poczytaj o niemożliwości zmiany strony startowej Tutaj
Yoss
(Ela I Darek)
11 Sierpień 2007 20:07
#8
Opis pod wskazanym linkiem niestety nie posuwa sprawy dalej.
Log z ComboFix: http://wklej.org/id/e1ccd202c1
Kuba11
(Kuba1)
11 Sierpień 2007 20:36
#9
No ale wykonałeś to?Wyrażaj się jaśniej, co to znaczy nie posuwa sprawy dalej, próbowałeś wogole to wykonać?
C:\Program Files\ AskPBar
Usun ten folder.
Wyłącz Spybot-a i spróbuj wtedy zmienić strone startową.
Yoss
(Ela I Darek)
11 Sierpień 2007 21:04
#10
Wyłączyłem Spybota, żeby pogrzebać w rejestrach.
We wskaznym miejscu nie miałem w ogóle wartości “Home Page”.
Jeśli próbuję zmienić w rejestrze IE wartość “Start Page” mam komunikat “Nie można edytować Start Page. błąd przy zapisie nowej zawartości wartości.”
Jak próbuję skasować C:\Program Files\AskPBar
Nie mogę usunąć: “ASKPBAR.DLL”"
Odmowa dostępu.
Jeszcze aktualne logi:
Silent Runners: http://wklej.org/id/29127f8c0e
HijackThis: http://wklej.org/id/532f668f70
Kuba11
(Kuba1)
11 Sierpień 2007 21:23
#11
Usun ten folder w trybie awaryjnym.
Wejdz w spybot w Narzędzia->przeglądarka stron-> poszukaj tam tej która się teraz wyświetla i ją zmień.
Ja uważam, że to SpyBot blokuje możliwość zmiany strony.
Yoss
(Ela I Darek)
11 Sierpień 2007 21:43
#12
Przełączyłem sie na awaryjny.
Wyciąłem wskazany folder.
Pogrzebałem w rejestrach.
Pogrzebałem w Spybocie.
Z sukcesem.
Dzięki.
I zacząłem myśeć o zamianie IE na inną przeglądarkę…