pROBLEM Z PULPITEM


(Bwatras) #1

mUSICIE MI POMÓC LUDZISKA pROSZĘ! W kilka minut po włączeniu kompa ikony i pask zadan znikaja. Napiszcie co mam zrobic. Skanowałem kompa mks'em i avastem i nic. Co to jest??


(Musg) #2

http://www.dobreprogramy.pl/index.php?dz=2&id=107&t=55 przeskanuj jeszcze tym i http://www.dobreprogramy.pl/index.php?dz=2&id=657&t=55

i napisz co udało Ci sie znalesc :slight_smile:


(Chees) #3

Mile widziany log :wink: Na podstawie niego bedzie mozna cos okreslić.


(Stachan) #4

wg mnie masz jakiegoś syfa na hdd i zacznijmy od tego, ze przeskanujesz się dogłębnie na:

http://download.nai.com/products/mcafee ... tinger.exe

http://www.gdata.pl/kmdownload/download ... etit&id=60

http://support.f-secure.com/enu/home/ols.shtml

http://www.download.com/ETD-Security-Sc ... 29424.html

http://housecall.trendmicro.com/houseca ... t_corp.asp

potem wklej także log z Hijacka (znajdziesz go tu:http://www.tomcoyote.org/hjt/ uruchamiasz go, klikasz " Do A system scan log file", program robi scan, loga zapisujesz i wklejasz na forum).


(Bwatras) #5

Takie coś wyszło z hijack:

Logfile of HijackThis v1.99.0

Scan saved at 15:34:09, on 2005-01-15

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\fast.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing)

O2 - BHO: (no name) - {DA734461-A6A5-8D7F-D349-871D826240C6} - C:\WINDOWS\System32\objjni.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM..\Run: [WrwdSrv32] C:\WINDOWS\wrwdsrv.exe

O4 - HKLM..\Run: [QbqfSrv32] C:\WINDOWS\qbqfsrv.exe

O4 - HKLM..\Run: [JstSrv32] C:\WINDOWS\jstsrv.exe

O4 - HKLM..\Run: [WCSE Mgr] C:\WINDOWS\process.exe

O4 - HKLM..\Run: [process.exe] C:\WINDOWS\process.exe

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [Duiwrhe] C:\WINDOWS\System32\fast.exe

O4 - HKCU..\Run: [shst] C:\Documents and Settings\Piesiu\Dane aplikacji\siab.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 213.159.117.202

O15 - Trusted IP range: (HKLM)

O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://67.15.101.3/g_bin/pl/roulette_2_0_0_15.cab

O16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - http://67.15.101.3/g_bin/pl/slots90_2_0_0_20.cab

O16 - DPF: {5F874A6F-8B34-433D-BA4B-47AC91C0567F} (MailCfg Control) - https://poczta.wp.pl/autoryzacja/mailcfg2.ocx

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_34.cab

O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://67.15.101.3/g_bin/pl/slots70_2_0_0_20.cab

O16 - DPF: {DCB16E44-D6DB-473E-A251-F6FBB381C1C3} (GameDesire Chess) - http://67.15.101.3/g_bin/pl/chess_2_0_0_15.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - http://67.15.101.3/g_bin/pl/slots80_2_0_0_20.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab

O17 - HKLM\System\CCS\Services\Tcpip..{0AADEAA1-7D40-4570-8316-D34CDB40F196}: NameServer = 192.168.0.1,194.204.152.34

O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Co teraz??


(Musg) #6

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize i to dziadostwo tez


(Stachan) #7

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 213.159.117.202

O15 - Trusted IP range: (HKLM)

po prostu zniszcz to

to też dziwne

O4 - HKLM..\Run: [WrwdSrv32] C:\WINDOWS\wrwdsrv.exe

O4 - HKLM..\Run: [QbqfSrv32] C:\WINDOWS\qbqfsrv.exe

ale na razie zostaw - poczekamy na jakiegoś wyjadacza


(Xiao19) #8

musg jak niewesz co to jest to niepisz glupot


(Levy) #9

moze zrob sobie niezmienny pulpit moze to cos da

otworz uruchom i wpisz regedit (enter) z rozwinietego edytora rejestru zrob jak pisze

(klikaj na + )

HKEY_CURRENT_USER\Software\Miktosoft\Windows\CurrentVersion\Policies\Explorer

Procedura :

Kliknij Edycja \Nowy\wartość DWORD i stworz nowy wpis o nazwie NoActiveDesktopChanges

i ustaw wartosc na 1

Moze w ten sposob twoj pulpit nie bedzie Ci zanikal

pozdrowienia i powodzenia :lol: :lol: :lol: :smiley:


(Chees) #10

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

Polecam SP2

:wink: :wink: :wink:


(Bwatras) #11

Jak na razie wszystko jest wporzo. Minęło już 22 minuty. Zrobiłem taj jak mi poleciłes LEVITH. wszystko narazie ok. Ty to masz łeb


(Levy) #12

ciesze sie ze pomoglo :lol:

do moderatorow - mysle ze mozna zamknac murarza 3 posty jak twierdzi ze pomoglo :smiley: (w razie "W" jeszcze sie zglosi)

pozdrawiam


(Marsmo) #13

Pomogło Ci, bo nie mogło być inaczej. Ale ta radość może być krótkotrwała. :?

Jak widzę odpuściłeś sobie wyczyszczenie wpisów z loga, a szkoda bo masz zasyfiony komp i długo na tym nie pociągniesz!

Do wymienionych przez kolegów wpisów dołączam jeszcze ten:

O4 - HKLM..\Run: [process.exe] C:\WINDOWS\ process.exe

Wszystko wskazuje na to, że może to być KEYLOGGER.CLONE TROJAN!

http://securityresponse.symantec.com/av ... rojan.html