Problem ze Spy Bot 1.3,Z-Demon


(Marcin Kar1) #1

właczam ten program ,sprawdzanie i w momencie gdy sprawdza Z-demon,zatrzymuje się i pokazuje że jest problem z Z-demon i coś po niemiecku,zaznaczam to on coś tam usuwa i włączam ponownie i on znowu to samo POMOCY


(Figc) #2

najlepiej zrób skan HiJack This i potem wklej go tutaj!!

szpece w dziedzinie logów poistruują co dalej :smiley:


(Qbek50) #3

mam ten sam syf. Dostałem go od kazy. Nie wiem co zrobić. Gdzieś niedawno był ten problem poruszany na forum ale nie chce mi sie szukać. Może ktoś zapoda lina do niego .

Logfile of HijackThis v1.99.0

Scan saved at 22:45:44, on 2005-01-11

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Wanadoo\Watch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Ważne\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dobreprogramy.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PestPatrol\PPControl.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{6CB9835A-43FB-444F-8E14-9C76CF3177AA}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

(Marcin Kar1) #4

Logfile of HijackThis v1.98.2

Scan saved at 22:53:46, on 2005-01-11

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Opera\Opera.exe

C:\Documents and Settings\v\Pulpit\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.popupsearches.com/sidesearch.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.popupsearches.com/sidesearch.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.popupsearches.com/sidesearch.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.pol.chello.pl/ssi/welcome/w ... p?url=home

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.pol.chello.pl/ssi/welcome/w ... p?url=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.popupsearches.com/sidesearch.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.popupsearches.com/sidesearch.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\system32\winb2s32.dll

O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\system32\dsktrf.dll

O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\system32\winb2s32.dll

O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKLM..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM..\Run: [shStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip..{986C81BA-787A-4D7B-817F-6FD4F5C70E47}: NameServer = 62.179.1.60,62.179.1.61,213.46.243.88

O17 - HKLM\System\CS1\Services\Tcpip..{986C81BA-787A-4D7B-817F-6FD4F5C70E47}: NameServer = 62.179.1.60,62.179.1.61,213.46.243.88

O17 - HKLM\System\CS2\Services\Tcpip..{986C81BA-787A-4D7B-817F-6FD4F5C70E47}: NameServer = 62.179.1.60,62.179.1.61,213.46.243.88


(Qbek50) #5

odinstaluj Messengera, ponoć niepotrzebny


(Marcin Kar1) #6

jakiego messengera?


(Figc) #7

koledze chodzi o MSN Messenger (taki komunikator)

ale na razie wstrzymaj się z czym kolwiek aż do pojawienia się tutaj specjalistów od logów!!

cierpliwości :slight_smile:


(Marcin Kar1) #8

ok już wiem


(Qbek50) #9

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

"Uruchom" wpisz = RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove


(Adarek) #10

marcin_kar

Wyłacz przywracanie systemu

Start kompa do awaryjnego

Usuń

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.popupsearches.com/sidesearch.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.popupsearches.com/sidesearch.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.popupsearches.com/sidesearch.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.pol.chello.pl/ssi/welcome/welcome.php?url=home

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.pol.chello.pl/ssi/welcome/welcome.php?url=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.popupsearches.com/sidesearch.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.popupsearches.com/sidesearch.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1 

O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll 

O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\system32\winb2s32.dll

O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\system32\dsktrf.dll


O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\system32\winb2s32.dll 

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

Wyrejestruj z systemu następujące pliki dll. winb2s32.dll , dsktrf.dll ,BTGrab.dll

:arrow: Start -> uruchom ->

regsvr32 \u C:\WINDOWS\System32\:arrow: tu wpisujesz nazwe pliku

  • i klikasz:arrow:

:arrow: Teraz szukasz ich w ukrytych i usuwasz z dysku.

Restart i skan programami :

:arrow:

Pestpatrol

:arrow:

Ewido Free Security Suite

:arrow:

ETD Security Scanner 3.0

http://www.download.com/ETD-Security-Sc ... 29424.html

Zdemon :

Znaleść na dysku i w kluczach rejestru Z100 :arrow: usunąć

Zamknąć porty 10001 i 10002

Może być też pod inną nazwą np. Z101

Sprawdzić plik :arrow: System.ini,

Czyli kasujemy w nim wszystko za wyjątiem :arrow: shell=Explorer.exe


(Marcin Kar1) #11

jak Wyłaczyć przywracanie systemu i co oznacza

Start kompa do awaryjnego


(Marcin Kar1) #12

jak wyrejestrować te pliki: winb2s32.dll , dsktrf.dll ,BTGrab.dll


(Marcin Kar1) #13

pokazuje mi się że funkja LoadLibrary ("\u") nie powiodła się,nie można odnaleźć określonego modułu


(Qbek50) #14

mój sytem.ini tak wygląda:

; for 16-bit app support

[drivers]

wave=mmdrv.dll

timer=timer.drv

[mci]

[driver32]

[386enh]

woafont=app852.FON

EGA80WOA.FON=EGA80852.FON

EGA40WOA.FON=EGA40852.FON

CGA80WOA.FON=CGA80852.FON

CGA40WOA.FON=CGA40852.FON

device=dva.386

tzn ze mam tego trojana ?


(Marcin Kar1) #15

mój wygląda tak:

; for 16-bit app support

[drivers]

wave=mmdrv.dll

timer=timer.drv

[mci]

[driver32]

[386enh]

woafont=app852.FON

EGA80WOA.FON=EGA80852.FON

EGA40WOA.FON=EGA40852.FON

CGA80WOA.FON=CGA80852.FON

CGA40WOA.FON=CGA40852.FON


(Marcin Kar1) #16

to mi się pokazuje w Spy-Bot:

Błąd podczas skanowania!: Z-Demon (Ungültiger Datentyp für '') ()

DSO Exploit: Data source object exploit (Zmiany w rejestrze, nothing done)

HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Zmiany w rejestrze, nothing done)

HKEY_USERS\S-1-5-21-117609710-1935655697-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Zmiany w rejestrze, nothing done)

HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Zmiany w rejestrze, nothing done)

HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Zmiany w rejestrze, nothing done)

HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

--- Spybot - Search && Destroy version: 1.3 ---

2004-05-12 Includes\LSP.sbi

2004-11-29 Includes\Cookies.sbi

2004-12-15 Includes\Dialer.sbi

2004-12-16 Includes\Hijackers.sbi

2004-12-15 Includes\Keyloggers.sbi

2004-12-15 Includes\Malware.sbi

2004-11-29 Includes\Revision.sbi

2004-11-29 Includes\Security.sbi

2004-12-16 Includes\Spybots.sbi

2004-12-15 Includes\Trojans.sbi

2004-11-29 Includes\Tracks.uti

2004-08-11 Includes\plugin-ignore.ini


(Qbek50) #17

Mam to samo i nie wiem jak to usunąć. Poza tym chyba system ini mam czysty. Jeżeli chodzi o DSO EXPLOIT to nie zwracaj na to uwagi, bo to jest jakiś błąd Spybota.


(Adarek) #18

marcin_kar

System sytem.ini masz OK.

detektyw 997

Czy ty masz program Photo Show 3D albo coś podobnego ??

jesli tak to jest ok.

Spawdzcie jeszcze programem http://www.pcworld.pl/ftp/pc/programy/4 ... r.2.1.html

Jeszcze jedna metoda na sprawdzenie to

Start >>> Uruchom >>> wpisać >>> WIN.INI

Co tam pisze ??


(Adarek) #19

To nie żaden trojan !!

W uruchom wpiszcie regedit Enter

W tych kluczach :

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0

HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0

HKEY_USERS/S-1-5-18/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0

HKEY_USERS/S-1-5-19/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0

HKEY_USERS/S-1-5-20/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0

wartość reg_dword 1004 ma być równa 3

Czytać i oglądać :arrow: http://forum.dobreprogramy.pl/viewtopic ... so+exploit

Co do tedo Z-Demon :

Coś znalazłem na temat tego .Pest patrol powinien dać sobie z tym radę :

Pestpatrol

Info:

http://computercops.biz/postt88506.html

Jak ktoś zna niemiecki to niech powie o co chozdi:

http://www.google.pl/search?hl=plq=Ung ... lr=lang_pl

Tu też coś piszą :

http://securityresponse.symantec.com/av ... demon.html

A tu ich scaner

http://security.symantec.com/sscv6/defa ... venid=sym


(Marcin Kar1) #20

ok chyba podziałało dzięki :slight_smile: