Problemy: Skutki działania jakichś trojanów


(Elenka1984) #1

Mam automatyczne odbieranie plików ustawione zarówno na gg jak i na tlenie. Wczoraj patrzę a mam na pulpicie jakieś nowe archiwum. Było późno i głupota zmusiła bym 2 razy na niego kliknęłam.... Nod32 zwariował i pojawiła się czerwona ikonka w prawym dolnym rogu "Your computer is iffected" i wsio... makabra... No więc wyłączyłam neta... i przełączyłam się na Tryb Bezpieczny i uruchomiłam HijackThis... super około 20 wpisów co najmniej podejrzanych... -> Out... Parę plików musiałam usunąć ręcznie :confused: A więc... Włączam Windows z powrotem -> jest niby wsio super... ale... pierwsze co mi rzuciło się w oczy to brak mojej tapety, wchodzę we właściwości -> mam zablokowaną zmianę tapety, Ctrl + Alt + Delete -> nie mam TaskManagera.

Błagam HELP!!

P.S. Logi są czyste :frowning: więc pewnie są to jakieś skutki zmian w rejestrze :frowning:


(adam9870) #2

Użyj narzędzia SmitFraudFix z opcji numer 2 w trybie awaryjnym z wyłączonym przywracaniem systemu.

Po wykonaniu pokaż log z hjt, SilentRunners oraz c:\rapport.txt

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.


(Elenka1984) #3

Log z HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 16:16:37, on 2007-01-18

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\explorer.exe

D:\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = 


http://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - 


C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - 


C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - 


{AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 


8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - 


C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - 


C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - 


C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" 


/WAITSERVICE

O4 - HKLM\..\Run: [googletalk] C:\Program Files\Google\Google 


Talk\googletalk.exe /autostart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE 


C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program 


Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [D] D:\Program 


Files\NetMeter\NetMeter.exe

O8 - Extra context menu item: Append to existing PDF - res://C:\Program 


Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Sothink SWF Catcher - C:\Program Files\Common 


Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 


C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - 


{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program 


Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Wyślij do programu OneNote - 


{2670000A-7350-4f3c-8081-5663EE0C6C49} - 


C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - 


{2670000A-7350-4f3c-8081-5663EE0C6C49} - 


C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - 


C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Sothink SWF Catcher - 


{E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common 


Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - 


{E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Program Files\Common 


Files\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - 


%windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - 


{e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network 


Diagnostic\xpnetdiag.exe (file missing)

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - 


C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - 


C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program 


Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common 


Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 


7\InCD\InCDsrv.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - 


C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: MySql - Unknown owner - c:\usr/MYSQL/bin/mysqld.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero 


BackItUp\NBService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program 


Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - 


C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - 


C:\WINDOWS\system32\oodag.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown 


owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

O23 - Service: Steganos Live Encryption Engine 8.1 [Service] 


(SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - 


Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. 


- C:\Program Files\VMware\VMware Workstation\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - 


C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, 


Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image 


Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - 


C:\WINDOWS\system32\vmnat.exe

Raport.txt

SmitFraudFix v2.132


Scan done at 16:13:33,53, 2007-01-18

Run from C:\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode


»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!Attention, following keys are not inevitably infected!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Killing process



»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix


GenericRenosFix by S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


C:\Documents and Settings\Administrator\Application Data\Install.dat Deleted


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!Attention, following keys are not inevitably infected!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""



»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning


Registry Cleaning done. 


»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!Attention, following keys are not inevitably infected!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll



»»»»»»»»»»»»»»»»»»»»»»»» End


[/code]

adam9870 Wielkie dzięki... już wsio działa, tylko dziwny jest pulpit, przy wszystkich włączonych efektach mam takie coś:

7dbe490b79b8ebccm.png

Wiem że to błahostka... ale jak się to da naprawić... to bardzo byłabym wdzięczna :slight_smile:

A z SilentRunners mam mały problem z odpaleniem cały czas mi wywala, że nie jest to dozwolona aplikacja Win32 :frowning: Chociaż postępowałam tak jak było to opisane na forum i na stronie... i nic...


(Edlib) #4

ekran >wygląd>efekty - zaznacz pokaż cienie pod menu


(Elenka1984) #5

Różnie kombinowałam i nic...

nie działa :frowning:

dobrze, że przynajmniej mi wsio inne się odblokowało... a takie te problemy -> to nie jest problem -> ale takie bzdety chyba najbardziej denerwują

A propos: System mi się szybciej zaczął uruchamiać :wink: