Problem z kompem kolegi

Dla specjalistów Bezpieczeństwo
#1

Witam ponownie. Po wczorajszych rozważaniach z podobnym problemem zwrócił się kolega. Poniżej jego log. Problem ma taki, że na stałe w IE ma ustawione http://www.wp.pl jako strone startową , ale po odpaleniu IE pojawia się komunikat o zmianie wpisu w rejestrze i ładuje się strona http://defoult.home.

Proszę sprawdzić co to może być. poleciłem mu już skasowanie :

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

Co można - trzeba jeszcze wyrzucić?

Logfile of HijackThis v1.99.0

Scan saved at 09:31:59, on 06.02.05

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\soundman.exe

C:\WINDOWS\System32\usbtapnp.exe

C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\program files\ssantydialer\ssantydialer.exe

C:\Program Files\MKS\Bin\mks_menu.exe

C:\Program Files\MKS\Bin\ABregmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\DOCUME~1\Zaleski\USTAWI~1\Temp$wc\Chime.exe

C:\WINDOWS\System32\CTFMON32.EXE

C:\WINDOWS\System32\CSRSSU.EXE

C:\Program Files\FinePixViewer\QuickDCF.exe

C:\Program Files\NetPanel\NetPanel.exe

C:\Program Files\MKS\Bin\NetMonSV.exe

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\Program Files\MKS\Bin\mksmonsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\ODI\OSTORE\BIN\OSCMGR4.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MKS\Bin\mks_scan.exe

C:\WINDOWS\System32\wuauclt.exe

C:\wincmd\WINCMD32.EXE

c:\skan\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll

O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)

O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\NetPanel\IEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [soundMan] soundman.exe

O4 - HKLM…\Run: [uSBTA] C:\WINDOWS\System32\usbtapnp.exe

O4 - HKLM…\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

O4 - HKLM…\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM…\Run: [CloneCDElbyCDFL] “C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe” /L ElbyCDFL

O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe”

O4 - HKLM…\Run: [sSAntyDialer] “c:\program files\ssantydialer\ssantydialer.exe” tray

O4 - HKLM…\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM…\Run: [NetPanel] “C:\Program Files\NetPanel\Starter.exe” /path=“C:\Program Files\NetPanel”

O4 - HKLM…\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe

O4 - HKLM…\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [Chimes] C:\DOCUME~1\Zaleski\USTAWI~1\Temp$wc\Chime.exe

O4 - HKCU…\Run: [CTFMON32] C:\WINDOWS\System32\CTFMON32.EXE

O4 - HKCU…\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE

O4 - Global Startup: Exif Launcher.lnk = ?

O17 - HKLM\System\CCS\Services\Tcpip…{E8B2DA56-3468-470F-AD7B-411263E6C095}: NameServer = 10.0.0.2

O23 - Service: ArcaBit NetMonitor - ArcaBit sp. z o.o. - C:\Program Files\MKS\Bin\NetMonSV.exe

O23 - Service: AVM FRITZ!web Routing Service - Unknown - C:\Program Files\Common Files\AVM\de_serv.exe (file missing)

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe

O23 - Service: MkS_Vir Monitor - Unknown - C:\Program Files\MKS\Bin\mksmonsv.exe

O23 - Service: MkS_Scan - Unknown - C:\Program Files\MKS\Bin\mks_scan.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ObjectStore Cache Manager R4.0 - Object Design, Inc. - C:\ODI\OSTORE\BIN\OSCMGR4.EXE

O23 - Service: Panda Process Protection Service - Unknown - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe (file missing)

#2

przeskanuj dysk:

Ad-Aware :

http://www.dobreprogramy.pl/index.php?dz=2&id=107&t=55

SpyBot S&D :

http://www.dobreprogramy.pl/index.php?dz=2&id=188&t=55

wywal syf

#3

a czy z kolegą wylaczyliscie cos takiego jak przywracanie systemu???

#4

Kolega wywalił te rzeczy o których pisaliście, sprawdził Ad-ware’em i SPybot’em i nadla jest ten sam problem Wyrzucił wpis

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home , ale on sie dalej pojawił. Zainstalował SP2.

Po wejściu do internetu , po chwili nastepuje nadpisywanie strony wybranej jako początkowa. W miejsce http://www.wp.pl pojawia się http://defoult.home.

Jak mozna skasować adresy stron które pojawiają się w okienku adres po wybraniu opcji internetowych. Do jakiego pliku są one ładowane.

Poniżej ponownie log:

Logfile of HijackThis v1.99.0

Scan saved at 19:03:29, on 06.02.05

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\soundman.exe

C:\WINDOWS\System32\usbtapnp.exe

C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\program files\ssantydialer\ssantydialer.exe

C:\Program Files\MKS\Bin\mks_menu.exe

C:\Program Files\MKS\Bin\ABregmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\DOCUME~1\Zaleski\USTAWI~1\Temp$wc\Chime.exe

C:\WINDOWS\System32\CSRSSU.EXE

C:\WINDOWS\system32\CTFMON32.EXE

C:\Program Files\FinePixViewer\QuickDCF.exe

C:\Program Files\NetPanel\NetPanel.exe

C:\Program Files\MKS\Bin\NetMonSV.exe

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\Program Files\MKS\Bin\mksmonsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\MKS\Bin\mks_scan.exe

C:\wincmd\WINCMD32.EXE

C:\skan\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [soundMan] soundman.exe

O4 - HKLM…\Run: [uSBTA] C:\WINDOWS\System32\usbtapnp.exe

O4 - HKLM…\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

O4 - HKLM…\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM…\Run: [CloneCDElbyCDFL] “C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe” /L ElbyCDFL

O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe”

O4 - HKLM…\Run: [sSAntyDialer] “c:\program files\ssantydialer\ssantydialer.exe” tray

O4 - HKLM…\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM…\Run: [NetPanel] “C:\Program Files\NetPanel\Starter.exe” /path=“C:\Program Files\NetPanel”

O4 - HKLM…\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe

O4 - HKLM…\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [Chimes] C:\DOCUME~1\Zaleski\USTAWI~1\Temp$wc\Chime.exe

O4 - HKCU…\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE

O4 - HKCU…\Run: [CTFMON32] C:\WINDOWS\system32\CTFMON32.EXE

O4 - Global Startup: Exif Launcher.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip…{E8B2DA56-3468-470F-AD7B-411263E6C095}: NameServer = 10.0.0.2

O23 - Service: ArcaBit NetMonitor - ArcaBit sp. z o.o. - C:\Program Files\MKS\Bin\NetMonSV.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe

O23 - Service: MkS_Vir Monitor - Unknown - C:\Program Files\MKS\Bin\mksmonsv.exe

O23 - Service: MkS_Scan - Unknown - C:\Program Files\MKS\Bin\mks_scan.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Proszęo pomoc

#5

Wywal w trybie awaryjnym:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll

O4 - HKCU…\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE

O4 - HKLM…\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

Znasz to ? :x = Nie/Kasujesz / jest!

O4 - HKCU…\Run: [Chimes] C:\DOCUME~1\Zaleski\USTAWI~1\Temp$wc\Chime.exe

–KOSMETYKA– :D:D

Start >>> uruchom >>> msconfig >>> uruchamianie >>> odznaczasz:

NeroCheck

CloneCDtray

ElbyCheck

Jeżeli nie używasz Messengera usuń:

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

PÓŹNIEJ WYKONUJESZ WSZYSTKIE SKANY PROGRAMAMI I SKANERAMI AV ZE STRONY:

http://forum.dobreprogramy.com/viewtopic.php?t=17671

I DAJESZ JESZCZE RAZ LOG!

#6

dalej mamproblemy.

Próbowaem skanować ale są to programy darmowe, które wykrywają a nie leczą.

Po wyrzuceniu ładujesię znowu

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

Shark

Czy gdzieś jest opis jak korzystać z tych programów kóre poleciłeś

Logfile of HijackThis v1.99.0

Scan saved at 21:30:03, on 08.02.05

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\soundman.exe

C:\WINDOWS\System32\usbtapnp.exe

C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\program files\ssantydialer\ssantydialer.exe

C:\Program Files\MKS\Bin\mks_menu.exe

C:\Program Files\MKS\Bin\ABregmon.exe

C:\WINDOWS\system32\CTFMON32.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\CSRSSU.EXE

C:\freescan\freescan.exe

C:\Program Files\FinePixViewer\QuickDCF.exe

C:\Program Files\NetPanel\NetPanel.exe

C:\WINDOWS\SYSTEM32\GEARSEC.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\MKS\Bin\mks_scan.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\skan\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [soundMan] soundman.exe

O4 - HKLM…\Run: [uSBTA] C:\WINDOWS\System32\usbtapnp.exe

O4 - HKLM…\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe

O4 - HKLM…\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM…\Run: [sSAntyDialer] “c:\program files\ssantydialer\ssantydialer.exe” tray

O4 - HKLM…\Run: [NetPanel] “C:\Program Files\NetPanel\Starter.exe” /path=“C:\Program Files\NetPanel”

O4 - HKLM…\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe

O4 - HKLM…\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe

O4 - HKCU…\Run: [CTFMON32] C:\WINDOWS\system32\CTFMON32.EXE

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan

O4 - HKCU…\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE

O4 - HKCU…\Run: [spyware Begone] C:\freescan\freescan.exe -FastScan

O4 - Global Startup: Exif Launcher.lnk = ?

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{E8B2DA56-3468-470F-AD7B-411263E6C095}: NameServer = 10.0.0.2

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE

O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe

O23 - Service: MkS_Scan - Unknown - C:\Program Files\MKS\Bin\mks_scan.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

#7

Usunąć ten wpisy w HijacThis oczywiście w trybie awaryjnym z odłączonym netem:

O4 - HKCU…\Run: [CSRSSU] C:\WINDOWS\System32\CSRSSU.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home

O2 - BHO: SEDP Class - {3BA765C2-08DB-4fe2-9279-311CA10D582A} - C:\WINDOWS\sehlp.dll

Plus do tego:

Wejdz w C:\WINDOWS\System32\ i usuń CSRSSU.EXE (także w trybie awaryjnym i z odłączonym netem.