morfin
(Morfin1994)
2 Sierpień 2007 10:08
#1
Na pewnym forum wszedłem w temat bota i kliknąłem link i ściągnęło mi jakąś instalke i sam sie sobie dziwie ale zainstalowałem to coś. Okazało się to porogramem Virus protect pro. Teraz nie mogę wyłączyć explorera który za pomocą jakiejś strony wyszukuje mi na kompie wirusów (co chwila dostaje komunikaty od tego programu że mam wirusy) i mi się jeszcze jakieś okienka z reklamami otwierają a ostatnio jakaś pornografia. Mam na pasku obok gg ikonke tego czegoś i jak na nią klikne otwiera mi sie explorer z reklamą tego ich anty wirusa w panice wywaliłem folder z tym programem. Nie wiem co zrobić oto logi:
Logfile of HijackThis v1.99.1 Scan saved at 12:00:51, on 2007-08-02 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\FTRTSVC.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\slserv.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Video ActiveX Access\iesmn.exe C:\Program Files\Video ActiveX Access\imsmain.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe C:\Program Files\Video ActiveX Access\imsmn.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe C:\Program Files\Video ActiveX Access\iesmin.exe D:\Program Files\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe c:\progra~1\intern~1\iexplore.exe D:\Program Files\RocketDock\RocketDock.exe C:\Program Files\neostrada tp\neostradatp.exe D:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\neostrada tp\ComComp.exe C:\PROGRA~1\NEOSTR~1\Toaster.exe C:\PROGRA~1\NEOSTR~1\Inactivity.exe C:\PROGRA~1\NEOSTR~1\PollingModule.exe C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe C:\Documents and Settings\FIFI\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com O1 - Hosts: 127.255.255.255 http://www.alcohol-soft.com O1 - Hosts: 127.255.255.255 images.alcohol-soft.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Program Files\Video ActiveX Access\iesplg.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Program Files\BitComet\tools\BitCometBHO_1.1.2.7.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - D:\Program Files\BitDownload\TorrentManager.dll (file missing) O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Program Files\Video ActiveX Access\iesbpl.dll O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe” O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [CnxDslTaskBar] “C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe” “ZTE Corporation\ZXDSL852” O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe O4 - HKLM…\Run: [.nvsvc] C:\DOCUME~1\FIFI\USTAWI~1\Temp\t6677.exe O4 - HKLM…\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [WayPlayGramDale] C:\Documents and Settings\All Users\Dane aplikacji\KNOB PHONE WAY PLAY\OnceBook.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [DS Clock] “D:\Program Files\ogame\DS Clock\dsclock.exe” O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Four drive] C:\DOCUME~1\FIFI\DANEAP~1\GLOBAL~1\01 dupe intra.exe O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [steam] D:\Program Files\Steam\Steam.exe -silent O4 - HKCU…\Run: [RocketDock] “D:\Program Files\RocketDock\RocketDock.exe” O4 - Startup: Xfire.lnk = D:\Program Files\Xfire\Xfire.exe O8 - Extra context menu item: Download all links using BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip…{ED2E7C7D-E8BE-40FD-88B9-363D131CBC77}: NameServer = 194.204.159.1 217.98.63.164 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Bardzo was proszę pomóżcie.
A i od razu mówię jestem totalnym laikiem więc proszę o cierpliwe tłumaczenie ewentualnych instrukcji.
:oops:
adam9870
(adam9870)
2 Sierpień 2007 10:18
#2
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.
W logu:
Użyj narzędzia SmitFraudFix z opcji numer 2 + NoLop w trybie awaryjnym.
Po wykonaniu wklej log z ComboFix .
morfin
(Morfin1994)
2 Sierpień 2007 10:47
#3
jeśli chciałeś loga z ComboFix oto on:
ComboFix 07-07-30.2 - “FIFI” 2007-08-02 13:22:50.3 [GMT 2:00] - NTFS Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.Prawda ((((((((((((((((((((((((( Files Created from 2007-07-02 to 2007-08-02 ))))))))))))))))))))))))))))))) 2007-08-02 13:09 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-02 12:56 2,628 --a------ C:\WINDOWS\system32\tmp.reg 2007-08-01 16:01 2007-07-12 17:08 56,320 --------- C:\WINDOWS\system32\iyvu9_32.dll 2007-07-12 17:08 136,704 --a------ C:\WINDOWS\system32\iacenc.dll 2007-07-10 18:01 1,971 --a------ C:\WINDOWS\eReg.dat 2007-07-06 21:29 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-02 13:02 --------- d-------- C:\Program Files\neostrada tp 2007-08-02 13:02 --------- d-------- C:\DOCUME~1\FIFI\DANEAP~1\Skype 2007-07-11 08:04 83170 --a------ C:\WINDOWS\system32\perfc015.dat 2007-07-11 08:04 469050 --a------ C:\WINDOWS\system32\perfh015.dat 2007-07-10 19:21 --------- d–h----- C:\Program Files\InstallShield Installation Information 2007-07-08 21:55 3580 --a------ C:\WINDOWS\system32\d3d9caps.dat 2007-06-10 19:24 --------- d-------- C:\DOCUME~1\FIFI\DANEAP~1\Hamachi 2007-05-16 17:18 683520 --a------ C:\WINDOWS\system32\inetcomm.dll ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{34E6F97C-34E0-4CE5-B92B-F83634BEDC01}] C:\Program Files\Video ActiveX Access\iesplg.dll [HKEY_LOCAL_MACHINE~\Browser Helper Objects{D5792AA9-D373-4039-8670-2CDAB6A71F15}] D:\Program Files\BitDownload\TorrentManager.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SoundMan”=“SOUNDMAN.EXE” [2003-03-27 10:34 C:\WINDOWS\SOUNDMAN.EXE] “ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2003-06-25 16:30] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe” [2006-11-09 15:07] “nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2006-11-01 09:59] “CnxDslTaskBar”=“C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe” [2006-08-31 16:40] “WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2004-08-23 14:49] “WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\GestMaj.exe” [2004-10-14 16:55] “WinampAgent”=“D:\Program Files\Winamp\winampa.exe” [2007-02-13 20:29] “WayPlayGramDale”=“C:\Documents and Settings\All Users\Dane aplikacji\KNOB PHONE WAY PLAY\OnceBook.exe” [2007-03-10 14:06] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 01:44] “DS Clock”=“D:\Program Files\ogame\DS Clock\dsclock.exe” [] “Gadu-Gadu”=“D:\Program Files\Gadu-Gadu\gg.exe” [2007-01-30 16:58] “Four drive”=“C:\DOCUME~1\FIFI\DANEAP~1\GLOBAL~1\01 dupe intra.exe” [2007-03-10 14:05] “Skype”=“C:\Program Files\Skype\Phone\Skype.exe” [2007-05-10 16:13] “Steam”=“D:\Program Files\Steam\Steam.exe” [2007-06-28 06:57] “RocketDock”=“D:\Program Files\RocketDock\RocketDock.exe” [2007-03-19 00:05] C:\Documents and Settings\FIFI\Menu Start\Programy\Autostart\ Xfire.lnk - D:\Program Files\Xfire\Xfire.exe [2005-11-01 03:41:56] R3 Cap7134;Philips Proteus (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys R3 CnxEtP;ZTE ZXDSL852 Adapter Filter Driver;C:\WINDOWS\system32\DRIVERS\CnxEtP.sys R3 CnxEtU;ZTE ZXDSL852 Interface Device Driver;C:\WINDOWS\system32\DRIVERS\CnxEtU.sys R3 CnxTgNW;ZTE ZXDSL852 WAN PPPoA Adapter Driver;C:\WINDOWS\system32\DRIVERS\CnxTgNW.sys R3 ms_mpu401;Sterownik portu MIDI UART Microsoft MPU-401;C:\WINDOWS\system32\drivers\msmpu401.sys R3 Mtlmnt5;Mtlmnt5;C:\WINDOWS\system32\DRIVERS\Mtlmnt5.sys R3 PhTVTune;Philips WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys R3 Slntamr;SmartLink AMR_PCI Driver;C:\WINDOWS\system32\DRIVERS\slntamr.sys R3 SlWdmSup;SlWdmSup;C:\WINDOWS\system32\DRIVERS\SlWdmSup.sys R3 vaxscsi;vaxscsi;C:\WINDOWS\system32\Drivers\vaxscsi.sys S3 MSSQL$SONY_MEDIAMGR;MSSQL$SONY_MEDIAMGR;D:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe -sSONY_MEDIAMGR S3 Mtlstrm;Mtlstrm;C:\WINDOWS\system32\DRIVERS\Mtlstrm.sys S3 NtMtlFax;NtMtlFax;C:\WINDOWS\system32\DRIVERS\NtMtlFax.sys S3 PCAMPR5;PCAMPR5 NDIS Protocol Driver;??\C:\WINDOWS\system32\PCAMPR5.SYS S3 SlNtHal;SlNtHal;C:\WINDOWS\system32\DRIVERS\Slnthal.sys S3 SQLAgent$SONY_MEDIAMGR;SQLAgent$SONY_MEDIAMGR;D:\Program Files\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE -i SONY_MEDIAMGR S3 V90drv;v90drv;C:\WINDOWS\system32\DRIVERS\v90drv.sys *Newly Created Service* - CATCHME Contents of the ‘Scheduled Tasks’ folder 2007-08-02 10:00:05 C:\WINDOWS\Tasks\ACEA6D3191AE1FF5.job - c:\docume~1\fifi\daneap~1\global~1\Blah Build That.exe 2007-08-02 11:00:22 C:\WINDOWS\Tasks\Neostrada tp.job - C:\PROGRA~1\NEOSTR~1\NEOSTR~1.EXE ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-02 13:23:54 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden registry entries … [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] “TracesProcessed”=dword:00000b31 “TracesSuccessful”=dword:00000030 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,… scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-02 13:24:49 C:\ComboFix2.txt … 2007-08-02 13:21 — E O F —
Gutek
(Gutek)
2 Sierpień 2007 15:25
#4
Użyj jeszcze raz SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym nowy log z Combofix
jessica
(jessica)
2 Sierpień 2007 15:53
#5
“No LOP” też najwyraźniej nie usunął tego, co miał usunąć, bo infekcja “LOP”, jest dalej widoczna w logu.
Jeśli masz Killbox lub coś w tym rodzaju, to usuwaj przy jego pomocy.
Jeśli nie masz, to zrób tak:
Wklej do Notatnika :
File::
C:\Documents and Settings\All Users\Dane aplikacji\KNOB PHONE WAY PLAY\OnceBook.exe
C:\DOCUME~1\FIFI\DANEAP~1\GLOBAL~1\01 dupe intra.exe
C:\docume~1\fifi\daneap~1\global~1\Blah Build That.exe
C:\WINDOWS\Tasks\ACEA6D3191AE1FF5.job
C:\Program Files\Video ActiveX Access\iesplg.dll
Folder::
C:\DOCUME~1\FIFI\DANEAP~1\GLOBAL~1
C:\Documents and Settings\All Users\Dane aplikacji\KNOB PHONE WAY PLAY
C:\Program Files\Video ActiveX Access
Registry::
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{34E6F97C-34E0-4CE5-B92B-F83634BEDC01}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WayPlayGramDale"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Four drive"=-
>>Plik>>Zapisz jako… >>> ComboFix-Do (najwygodniej będzie,
jeśli zapiszesz w takiej lokalizacji, by ikonka ComboFix-Do znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik ComboFix-Do.txt na plik ComboFix.exe
(czyli ikonkę ComboFix-Do.txt na ikonkę ComboFix.exe )
– tak jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Oczywiście SmitfraudFixa użyj tak, jak zalecił @ Gutek2222 , bo SmitfraudFix nie usuwa “LOPu”
.
.
morfin
(Morfin1994)
2 Sierpień 2007 18:27
#6
oto nowy log z ComboFix’a:
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
jessica
(jessica)
2 Sierpień 2007 18:41
#7
>>Start>>Uruchom>>wybierz (lub wpisz) REGEDIT >>OK.
Rozwiń ten klucz:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg
>>zaznacz: Four drive
>>prawoklik
>>usuń
To wszystko.
Logów już nie musisz pokazywać, chyba że coś “nie gra”.
.
morfin
(Morfin1994)
2 Sierpień 2007 19:18
#8
Wielkie dzięki za pomoc. To forum jest the best będę je wszystkim polecał.