Problem z natrętną witryną errorsafe

swinkanie · 4 Październik 2007 06:50

Witam. Komputer złapał jakiegoś syfa i teraz mam problem z jego usunięciem. Avast radzi sobie raczej kiepsko. Idąc za instrukcja umieszczoną na forum umieszczam loga.

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:36:34, on 2007-10-04 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\autoclk.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\WinAble\winable.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Ferari\Pulpit\HJTInstall.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O4 - HKLM…\Run: [autoclk] autoclk.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [runner1] C:\WINDOWS\tsitra1000106.exe 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15806F97BDE4417E70CE7C0726B954E2C2832213329D26033AAC O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [searchIndexer] rundll32.exe “C:\WINDOWS\system32\wbuuoafn.dll”,sitypnow O4 - HKCU…\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [WinAble] C:\Program Files\WinAble\winable.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra ‘Tools’ menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip…{61A7CDE3-69B6-4F92-9B4D-BB0D553A0344}: NameServer = 194.204.159.1 217.98.63.164 O17 - HKLM\System\CS1\Services\Tcpip…{61A7CDE3-69B6-4F92-9B4D-BB0D553A0344}: NameServer = 194.204.159.1 217.98.63.164 O17 - HKLM\System\CS2\Services\Tcpip…{61A7CDE3-69B6-4F92-9B4D-BB0D553A0344}: NameServer = 194.204.159.1 217.98.63.164 O17 - HKLM\System\CS3\Services\Tcpip…{61A7CDE3-69B6-4F92-9B4D-BB0D553A0344}: NameServer = 194.204.159.1 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\ltekhpol.exe O24 - Desktop Component 0: (no name) - C:\Program Files\Internet Explorer\prokybortu.html – End of file - 4749 bytes

jessica · 4 Październik 2007 07:29

Ściągnij -->ComboFix (na dole tej strony z linku).

Wklej do Notatnika :

File::

C:\WINDOWS\system32\wbuuoafn.dll

C:\Program Files\WinAble\winable.exe

C:\WINDOWS\system32\ltekhpol.exe

C:\WINDOWS\tsitra1000106.exe

C:\Program Files\Internet Explorer\prokybortu.html


Folder::

C:\Program Files\WinAble


Driver::

DomainService

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Potem:

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL O4 - HKLM…\Run: [runner1] C:\WINDOWS\tsitra1000106.exe 61A847B5BBF72813329B385772FF01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3 D1DC7E4638E8323A15806F97BDE4417E70CE7C0726B954E2C2832213329D26033AAC O4 - HKLM…\Run: [searchIndexer] rundll32.exe “C:\WINDOWS\system32\wbuuoafn.dll”,sitypnow O4 - HKCU…\Run: [WinAble] C:\Program Files\WinAble\winable.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra ‘Tools’ menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O24 - Desktop Component 0: (no name) - C:\Program Files\Internet Explorer\prokybortu.html

Te w/w wpisy sfiksuj w Hijacku:

Hijackscan(Do a system scan only)zaznacz je Fix checked.

Potem daj tu:

log z Hijacka
log z ComboFixa

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

jessi

Monczkin · 4 Październik 2007 07:42

nazwij temat konkretnie o popraw posta - obejmij loga znacznikami. W przeciwnym razie zostaną wyciągnięte konsekwencje.

swinkanie · 4 Październik 2007 08:47

http://wklej.org/id/170ace6b5d log z hijackthis

http://wklej.org/id/402008399a log z combofixa

Tak na marginesie, chyba avast usunął w międzyczasie kilka plików, ponieważ z zaznaczonych były tylko 3. Mam nadzieje, że jego praca nie zakłóciła całości.

jessica · 4 Październik 2007 09:35

Sprawdź najpierw, czy oprócz

C:\Program Files\ outlook

jest też: C:\Program Files\ Outlook Express

Jeśli nie ma, to trzeba będzie zmienić usuwanie.

A jeśli jest, to:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\ohgojxqf.dll

C:\WINDOWS\system32\qqtss.bak2

C:\WINDOWS\system32\qqtss.bak1

C:\WINDOWS\system32\bszip.dll 

C:\WINDOWS\system32\tracert.com 

C:\WINDOWS\system32\tasklist.com 

C:\WINDOWS\system32\taskkill.com 

C:\WINDOWS\system32\regedit.com 

C:\WINDOWS\system32\ping.com 

C:\WINDOWS\system32\netstat.com 

C:\WINDOWS\system32\cmd.com 

C:\WINDOWS\system32\jap1 

C:\WINDOWS\system32\ex1 

C:\WINDOWS\system32\dj2 

C:\WINDOWS\system32\byxywxx.dll 

C:\WINDOWS\UnVtYW4\oBpQsqb.vbs


Folder::

C:\Program Files\outlook

C:\Program Files\Temporary

C:\Documents and Settings\LocalService\Dane aplikacji\NetMon 

C:\WINDOWS\system32\vMW04a


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byxywxx]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj ten log.

jessi

swinkanie · 6 Październik 2007 09:53

Jest tylko C:\Program Files\Outlook Express

jessica · 6 Październik 2007 11:18

Ten “outlook” ma atrybuty ochronne, a więc:

jessi

swinkanie · 6 Październik 2007 13:29

Proszę: http://wklej.org/id/a14ff32414

jessica · 6 Październik 2007 16:42

Nie wszystko się usunęło, i to z mojej winy, bo foldery zaliczyła jako pliki. Przepraszam, bo musisz powtórzyć część usuwania.

Wklej do Notatnika :

Folder::

C:\WINDOWS\UnVtYW4 

C:\WINDOWS\system32\jap1 

C:\WINDOWS\system32\ex1 

C:\WINDOWS\system32\dj2

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

jessi

swinkanie · 6 Październik 2007 18:07

http://wklej.org/id/7844cd93

adam9870 · 6 Październik 2007 18:10

swinkanie spróbuj proszę umieścić log ponownie w serwisie wklej.org, ponieważ wstawiony w Twoim poprzednim poście link nie jest do końca poprawny.

jessica · 6 Październik 2007 18:11

Tak, teraz nie widzę już nic podejrzanego w logu.

EDIT:

Tylko nie instaluj tego “WhenUSave”!

A najlepiej usuń tego Installera.

jessi

swinkanie · 6 Październik 2007 18:22

http://wklej.org/id/02c211a0bd jeszcze raz specjalnie dla adam9870 ;]

Wielkie dziękuję jessica Fajnie, że są na tym świecie mili ludzie

Gutek · 7 Październik 2007 00:07

Jeszcze:

Pobierz program SDFix

swinkanie · 7 Październik 2007 08:49

Proszę: http://wklej.org/id/d45eb95db7

jessica · 7 Październik 2007 10:42

SDFix wykrył i usunął jednego Trojana.

Ale ponieważ ten Trojan nie lubi chodzić sam, więc za kilka dni sprawdź, czy nie przybyli jego “towarzysze”.

jessi