właczam ten program ,sprawdzanie i w momencie gdy sprawdza Z-demon,zatrzymuje się i pokazuje że jest problem z Z-demon i coś po niemiecku,zaznaczam to on coś tam usuwa i włączam ponownie i on znowu to samo POMOCY
najlepiej zrób skan HiJack This i potem wklej go tutaj!!
szpece w dziedzinie logów poistruują co dalej
mam ten sam syf. Dostałem go od kazy. Nie wiem co zrobić. Gdzieś niedawno był ten problem poruszany na forum ale nie chce mi sie szukać. Może ktoś zapoda lina do niego .
Logfile of HijackThis v1.99.0
Scan saved at 22:45:44, on 2005-01-11
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Ważne\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dobreprogramy.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PestPatrol\PPControl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CB9835A-43FB-444F-8E14-9C76CF3177AA}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
Logfile of HijackThis v1.98.2
Scan saved at 22:53:46, on 2005-01-11
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Opera\Opera.exe
C:\Documents and Settings\v\Pulpit\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.popupsearches.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.popupsearches.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.popupsearches.com/sidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.pol.chello.pl/ssi/welcome/w … p?url=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.pol.chello.pl/ssi/welcome/w … p?url=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.popupsearches.com/sidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.popupsearches.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\system32\winb2s32.dll
O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\system32\dsktrf.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\system32\winb2s32.dll
O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM…\Run: [McAfeeUpdaterUI] “C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe” /StartedFromRunKey
O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [Network Associates Error Reporting Service] “C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe”
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM…\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM…\Run: [shStatEXE] “C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE” /STANDALONE
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip…{986C81BA-787A-4D7B-817F-6FD4F5C70E47}: NameServer = 62.179.1.60,62.179.1.61,213.46.243.88
O17 - HKLM\System\CS1\Services\Tcpip…{986C81BA-787A-4D7B-817F-6FD4F5C70E47}: NameServer = 62.179.1.60,62.179.1.61,213.46.243.88
O17 - HKLM\System\CS2\Services\Tcpip…{986C81BA-787A-4D7B-817F-6FD4F5C70E47}: NameServer = 62.179.1.60,62.179.1.61,213.46.243.88
odinstaluj Messengera, ponoć niepotrzebny
jakiego messengera?
koledze chodzi o MSN Messenger (taki komunikator)
ale na razie wstrzymaj się z czym kolwiek aż do pojawienia się tutaj specjalistów od logów!!
cierpliwości
ok już wiem
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
“Uruchom” wpisz = RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove
marcin_kar
Wyłacz przywracanie systemu
Start kompa do awaryjnego
Usuń
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.popupsearches.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.popupsearches.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.popupsearches.com/sidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.pol.chello.pl/ssi/welcome/welcome.php?url=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.pol.chello.pl/ssi/welcome/welcome.php?url=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.popupsearches.com/sidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.popupsearches.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://192.168.1.1
O2 - BHO: BTGrabObj Class - {00000000-F09C-02B4-6EC2-AD0300000000} - C:\WINDOWS\BTGrab.dll
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\system32\winb2s32.dll
O2 - BHO: ohb - {CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\system32\dsktrf.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\system32\winb2s32.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
Wyrejestruj z systemu następujące pliki dll. winb2s32.dll , dsktrf.dll ,BTGrab.dll
Start -> uruchom ->
regsvr32 \u C:\WINDOWS\System32:arrow: tu wpisujesz nazwe pliku
- i klikasz:arrow:
Teraz szukasz ich w ukrytych i usuwasz z dysku.
Restart i skan programami :
ETD Security Scanner 3.0
http://www.download.com/ETD-Security-Sc … 29424.html
Zdemon :
Znaleść na dysku i w kluczach rejestru Z100 usunąć
Zamknąć porty 10001 i 10002
Może być też pod inną nazwą np. Z101
Sprawdzić plik System.ini,
Czyli kasujemy w nim wszystko za wyjątiem shell=Explorer.exe
jak Wyłaczyć przywracanie systemu i co oznacza
Start kompa do awaryjnego
jak wyrejestrować te pliki: winb2s32.dll , dsktrf.dll ,BTGrab.dll
pokazuje mi się że funkja LoadLibrary ("\u") nie powiodła się,nie można odnaleźć określonego modułu
mój sytem.ini tak wygląda:
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app852.FON
EGA80WOA.FON=EGA80852.FON
EGA40WOA.FON=EGA40852.FON
CGA80WOA.FON=CGA80852.FON
CGA40WOA.FON=CGA40852.FON
device=dva.386
tzn ze mam tego trojana ?
mój wygląda tak:
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app852.FON
EGA80WOA.FON=EGA80852.FON
EGA40WOA.FON=EGA40852.FON
CGA80WOA.FON=CGA80852.FON
CGA40WOA.FON=CGA40852.FON
to mi się pokazuje w Spy-Bot:
Błąd podczas skanowania!: Z-Demon (Ungültiger Datentyp für ‘’) ()
DSO Exploit: Data source object exploit (Zmiany w rejestrze, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Zmiany w rejestrze, nothing done)
HKEY_USERS\S-1-5-21-117609710-1935655697-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Zmiany w rejestrze, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Zmiany w rejestrze, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Zmiany w rejestrze, nothing done)
HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3
— Spybot - Search && Destroy version: 1.3 —
2004-05-12 Includes\LSP.sbi
2004-11-29 Includes\Cookies.sbi
2004-12-15 Includes\Dialer.sbi
2004-12-16 Includes\Hijackers.sbi
2004-12-15 Includes\Keyloggers.sbi
2004-12-15 Includes\Malware.sbi
2004-11-29 Includes\Revision.sbi
2004-11-29 Includes\Security.sbi
2004-12-16 Includes\Spybots.sbi
2004-12-15 Includes\Trojans.sbi
2004-11-29 Includes\Tracks.uti
2004-08-11 Includes\plugin-ignore.ini
Mam to samo i nie wiem jak to usunąć. Poza tym chyba system ini mam czysty. Jeżeli chodzi o DSO EXPLOIT to nie zwracaj na to uwagi, bo to jest jakiś błąd Spybota.
marcin_kar
System sytem.ini masz OK.
detektyw 997
Czy ty masz program Photo Show 3D albo coś podobnego ??
jesli tak to jest ok.
Spawdzcie jeszcze programem http://www.pcworld.pl/ftp/pc/programy/4 … r.2.1.html
Jeszcze jedna metoda na sprawdzenie to
Start >>> Uruchom >>> wpisać >>> WIN.INI
Co tam pisze ??
To nie żaden trojan
W uruchom wpiszcie regedit Enter
W tych kluczach :
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0
HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0
HKEY_USERS/S-1-5-18/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0
HKEY_USERS/S-1-5-19/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0
HKEY_USERS/S-1-5-20/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/0
wartość reg_dword 1004 ma być równa 3
Czytać i oglądać http://forum.dobreprogramy.pl/viewtopic … so+exploit
Co do tedo Z-Demon :
Coś znalazłem na temat tego .Pest patrol powinien dać sobie z tym radę :
Info:
http://computercops.biz/postt88506.html
Jak ktoś zna niemiecki to niech powie o co chozdi:
http://www.google.pl/search?hl=plq=Ung … lr=lang_pl
Tu też coś piszą :
http://securityresponse.symantec.com/av … demon.html
A tu ich scaner
ok chyba podziałało dzięki