Witam, mam problem z security toolbarem 7.1 - nie mogę go odinstalować, nie ma go na liście “dodaj/ usuń programy” i nie wiem jak się go pozbyć. W pasku systemowym co chwila pojawia się informacja o trojanie “System Alert: Trojan-Spy.Win32@mx”. Poniżej podaję loga z hijackthis, proszę o pomoc:
// Poprawiłem Twój post - dodałem tagi quote.
Kaka’
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.
W logu:
Użyj VundoFix + FixVundo + VirtumundoBeGone + SDFix + SmitFraudFix z opcji numer 2 w trybie awaryjnym.
Czy sam instalowałeś GameFace Messenger?
Po wykonaniu wykonaj i wklej log z ComboFix.
Wykonałem wszystko jak poleciłeś, gameface messenger prawdopodobnie zainstalował się razem z grą, security toolbar jest nadal ale są pewne zmiany w działani tzn. centrum zabezpieczeń rozpoznaje ochronę przed wirusami w postaci avasta czego nie było wcześniej i nie pojawiają się dymki w trayu o zagrożeniach, podaję loga z combofixa:
ComboFix 07-10-21.1** - domek 2007-10-21 21:59:07.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.219 [GMT 2:00]
Running from: C:\Documents and Settings\domek\Moje dokumenty\pobrane\ComboFix.exe
* Created a new restore point
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\domek\Dane aplikacji\install_en[1].exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_FMTR
((((((((((((((((((((((((( Files Created from 2007-09-21 to 2007-10-21 )))))))))))))))))))))))))))))))
.
2007-10-21 21:58 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-21 21:52 3,118 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-21 21:39
2007-10-21 21:18
2007-10-21 20:25
2007-10-19 16:09
2007-10-19 14:04
2007-10-18 07:59
2007-10-11 17:14
2007-10-11 17:14
2007-10-02 17:23
2007-10-02 17:13
2007-10-02 17:02
2007-10-02 16:53
2007-10-02 16:53
2007-10-02 16:42
2007-09-25 20:57
2007-09-25 20:57
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-14 20:20 --------- d-----w C:\Program Files\Honor_pol
2007-10-14 13:07 --------- d-----w C:\Program Files\BitLord
2007-10-05 17:41 --------- d-----w C:\Program Files\Soulseek
2007-09-27 10:37 --------- d-----w C:\Program Files\Winamp
2007-09-19 16:04 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\DVD Shrink
2007-09-19 14:10 --------- d-----w C:\Program Files\DVD Decrypter
2007-09-19 14:06 --------- d-----w C:\Program Files\DVD Shrink
2007-09-10 09:44 --------- d-----w C:\Program Files\Common Files\Totem Shared
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-08-01 08:37 90,112 ----a-w C:\WINDOWS\system32\qoAXING0.dll
2007-06-14 12:35 1,049,255 ----a-w C:\Program Files\wrar362pl.exe
2007-06-13 16:13 705 ----a-w C:\Program Files\Dziobas Rar Player.lnk
2007-02-07 19:28 1,273,572 ----a-w C:\Program Files\wrar370b3pl.exe
2006-12-05 19:13 82,944 ----a-w C:\Program Files\patch.exe
2004-07-26 01:16 1,117,491 ----a-w C:\Program Files\dvdshrink32setup.exe
2007-06-14 15:22:12 88 --sh–r C:\WINDOWS\system32\66C1C6DE11.sys
2007-06-14 15:22:44 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE~\Browser Helper Objects{64fc9ca8-1dd2-11b2-91f9-b275d6dd0338}]
2007-08-01 10:37 90112 --a------ C:\WINDOWS\system32\qoAXING0.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
“{23ED2206-856D-461A-BBCF-1C2466AC5AE3}”= C:\Program Files\Video Add-on\ictmdl.dll [2007-10-18 08:00 80896]
[HKEY_CLASSES_ROOT\CLSID{23ED2206-856D-461A-BBCF-1C2466AC5AE3}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
“{23ED2206-856D-461A-BBCF-1C2466AC5AE3}”= C:\Program Files\Video Add-on\ictmdl.dll [2007-10-18 08:00 80896]
[HKEY_CLASSES_ROOT\CLSID{23ED2206-856D-461A-BBCF-1C2466AC5AE3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2007-02-13 20:29]
“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” [2007-03-14 03:43]
“SoundMAXPnP”=“C:\Program Files\Analog Devices\Core\smax4pnp.exe” [2005-05-18 10:00]
“SoundMAX”=“C:\Program Files\Analog Devices\SoundMAX\Smax4.exe” [2005-07-26 09:54]
“nwiz”=“nwiz.exe” [2006-06-01 11:22 C:\WINDOWS\system32\nwiz.exe]
“NvMediaCenter”=“NvMCTray.dll” [2006-06-01 11:22 C:\WINDOWS\system32\nvmctray.dll]
“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-06-01 11:22]
“NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 11:50]
“High Definition Audio Property Page Shortcut”=“HDAShCut.exe” [2004-10-27 15:21 C:\WINDOWS\system32\HdAShCut.exe]
“GameFace Messenger”=“C:\Program Files\GameFace Messenger\GameFace.exe” []
“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-09-06 12:06]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Komunikator”=“C:\Program Files\Tlen.pl\tlen.exe” [2007-02-12 12:01]
“swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-06-28 10:15]
“MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-10-13 18:24]
“eMuleAutoStart”=“C:\Documents and Settings\domek\Moje dokumenty\pobrane\eMule\emule.exe” []
“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44]
“BitTorrent”=“C:\Program Files\BitTorrent\bittorrent.exe” [2007-03-02 01:11]
“AntiSpywareShield”=“C:\Program Files\AntiSpywareShield\AntiSpywareShield.exe” []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
“{93994DE8-8239-4655-B1D1-5F4E91300429}”= C:\PROGRA~1\DVDREG~1\DVDShell.dll [2004-10-09 15:18 49152]
R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys
S3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command - E:_AUTORUN\AUTORUN.EXE
.
**************************************************************************
catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-21 22:01:43
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-10-21 22:02:54 - machine was rebooted
.
— E O F —
Wklej do Notatnika :
File::
C:\WINDOWS\system32\qoAXING0.dll
C:\Program Files\Video Add-on\ictmdl.dll
Folder::
C:\Program Files\Video Add-on
C:\VundoFix Backups
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{64fc9ca8-1dd2-11b2-91f9-b275d6dd0338}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{23ED2206-856D-461A-BBCF-1C2466AC5AE3}"=-
[-HKEY_CLASSES_ROOT\CLSID\{23ED2206-856D-461A-BBCF-1C2466AC5AE3}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{23ED2206-856D-461A-BBCF-1C2466AC5AE3}"=-
[-HKEY_CLASSES_ROOT\CLSID\{23ED2206-856D-461A-BBCF-1C2466AC5AE3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GameFace Messenger"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AntiSpywareShield"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Daj ten log z ComboFixa.
jessi
Wygląda, że wszystko ok. Zniknął security toolbar z przeglądarki. W trakcie skanowania combofixa pojawił się komunikat o zamknięciu aplikacji sed.cfexe nie wiem czy to istotne. Podaję loga i dołączam stokrotne dzięki 
ComboFix 07-10-21.1** - domek 2007-10-22 15:33:26.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.242 [GMT 2:00]
Running from: C:\Documents and Settings\domek\Moje dokumenty\pobrane\ComboFix.exe
Command switches used :: C:\Documents and Settings\domek\Moje dokumenty\pobrane\CFScript.txt.txt
* Created a new restore point
FILE::
C:\Program Files\Video Add-on\ictmdl.dll
C:\WINDOWS\system32\qoAXING0.dll
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Program Files\Video Add-on
C:\Program Files\Video Add-on\ictmdl.dll
C:\Program Files\Video Add-on\ictun.exe
C:\Program Files\Video Add-on\ot.ico
C:\Program Files\Video Add-on\ts.ico
C:\VundoFix Backups
C:\WINDOWS\system32\qoAXING0.dll
.
((((((((((((((((((((((((( Files Created from 2007-09-22 to 2007-10-22 )))))))))))))))))))))))))))))))
.
2007-10-21 21:58 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-21 21:52 3,118 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-21 21:39
2007-10-21 20:25
2007-10-19 16:09
2007-10-19 14:04
2007-10-11 17:14
2007-10-11 17:14
2007-10-02 17:23
2007-10-02 17:13
2007-10-02 17:02
2007-10-02 16:53
2007-10-02 16:53
2007-10-02 16:42
2007-09-25 20:57
2007-09-25 20:57
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-21 20:16 --------- d-----w C:\Program Files\Java
2007-10-14 20:20 --------- d-----w C:\Program Files\Honor_pol
2007-10-14 13:07 --------- d-----w C:\Program Files\BitLord
2007-10-05 17:41 --------- d-----w C:\Program Files\Soulseek
2007-09-27 10:37 --------- d-----w C:\Program Files\Winamp
2007-09-19 16:04 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\DVD Shrink
2007-09-19 14:10 --------- d-----w C:\Program Files\DVD Decrypter
2007-09-19 14:06 --------- d-----w C:\Program Files\DVD Shrink
2007-09-10 09:44 --------- d-----w C:\Program Files\Common Files\Totem Shared
2007-09-06 10:09 801,144 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-09-06 10:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-09-06 10:05 92,848 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-09-06 10:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-09-06 10:02 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-09-06 10:00 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr
2007-09-06 10:00 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2007-06-14 12:35 1,049,255 ----a-w C:\Program Files\wrar362pl.exe
2007-06-13 16:13 705 ----a-w C:\Program Files\Dziobas Rar Player.lnk
2007-02-07 19:28 1,273,572 ----a-w C:\Program Files\wrar370b3pl.exe
2006-12-05 19:13 82,944 ----a-w C:\Program Files\patch.exe
2004-07-26 01:16 1,117,491 ----a-w C:\Program Files\dvdshrink32setup.exe
2007-06-14 15:22:12 88 --sh–r C:\WINDOWS\system32\66C1C6DE11.sys
2007-06-14 15:22:44 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((( snapshot@2007-10-21_22.02.16.32 )))))))))))))))))))))))))))))))))))))))))
.
2007-09-24 21:31:42 139,264 ----a-w C:\WINDOWS\system32\javaws.exe
2007-10-22 13:39:40 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_56c.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2007-02-13 20:29]
“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 01:11]
“SoundMAXPnP”=“C:\Program Files\Analog Devices\Core\smax4pnp.exe” [2005-05-18 10:00]
“SoundMAX”=“C:\Program Files\Analog Devices\SoundMAX\Smax4.exe” [2005-07-26 09:54]
“nwiz”=“nwiz.exe” [2006-06-01 11:22 C:\WINDOWS\system32\nwiz.exe]
“NvMediaCenter”=“NvMCTray.dll” [2006-06-01 11:22 C:\WINDOWS\system32\nvmctray.dll]
“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-06-01 11:22]
“NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 11:50]
“High Definition Audio Property Page Shortcut”=“HDAShCut.exe” [2004-10-27 15:21 C:\WINDOWS\system32\HdAShCut.exe]
“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-09-06 12:06]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Komunikator”=“C:\Program Files\Tlen.pl\tlen.exe” [2007-02-12 12:01]
“swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-06-28 10:15]
“MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-10-13 18:24]
“eMuleAutoStart”=“C:\Documents and Settings\domek\Moje dokumenty\pobrane\eMule\emule.exe” []
“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44]
“BitTorrent”=“C:\Program Files\BitTorrent\bittorrent.exe” [2007-03-02 01:11]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
“{93994DE8-8239-4655-B1D1-5F4E91300429}”= C:\PROGRA~1\DVDREG~1\DVDShell.dll [2004-10-09 15:18 49152]
R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys
S3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys
.
**************************************************************************
catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-22 15:39:52
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2007-10-22 15:41:14 - machine was rebooted
C:\ComboFix2.txt … 2007-10-21 22:02
.
— E O F —
pietkiew
Brak tagów, opcja zmień i popraw posty.JNJN
Wygląda na to, że jest OK.
jessi