Proszę o sprawdzenie LOGA

bartus2003 · 19 Październik 2004 19:34

oto co :

Hijack:

Logfile of HijackThis v1.98.2 Scan saved at 21:19:54, on 2004-10-19 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\explorer.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Norton AntiVirus\SAVScan.exe E:\Barti\eMule\emule.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Symantec\pcAnywhere\awrem32.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Documents and Settings\Mlody\Pulpit\HijackThis 1.98.2\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bzdil.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bzdil.dll/sp.html#29126 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bzdil.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bzdil.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bzdil.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bzdil.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:808;gopher=192.168.0.1:808;http=192.168.0.1:808;https=192.168.0.1:808;socks=192.168.0.1:1080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - Default URLSearchHook is missing F2 - REG:system.ini: Shell=explorer.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM…\Run: [Jet Detection] “C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe” O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [CCProxy] C:\CCProxy\CCProxy.exe O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe” /s O4 - HKLM…\Run: [sSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\RunServices: [Windows Firewall Manager] msfw.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O15 - Trusted Zone: http://www.techland.pl O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\ksphyvbv.exe

Phylby · 20 Październik 2004 07:27

wyłacz przywracanie systemt

start do trybu awaryjnego

Masz trojana CWS więc ża pomocą HT usuń

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\bzdil.dll/sp.html#29126 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bzdil.dll/sp.html#29126 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bzdil.dll/sp.html#29126 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bzdil.dll/sp.html#29126 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bzdil.dll/sp.html#29126 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\bzdil.dll/sp.html#29126 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:808;gopher=192.168.0.1:808;http=192.168.0.1:808;https=192.168.0.1:808;socks=192.168.0.1:1080 

R3 - Default URLSearchHook is missing 

F2 - REG:system.ini: Shell=explorer.exe 

O4 - HKLM\..\Run: [CCProxy] C:\CCProxy\CCProxy.exe 

O15 - Trusted Zone: www.techland.pl 

O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\ksphyvbv.exe

Trojan siedzi w C:\WINDOWS i nazwał siebie bzdil.dll

Znajdz na dysku pliki/foldery o nazwach:

ksphyvbv.exe , CCProxy.exe , i je usuń ręcznie , szukaj też w kluczach rejestru

Wyrejestruj plik bzdil.dll z systemu

Start -> uruchom ->

regsvr32 \u C:\WINDOWS\System32\ tu wpisujesz nazwe pliku

i klikasz

Znajdujesz bzdil.dll i usuwasz jak ma proces -w co watpie zeby sie ujawnił - to ubij i dopiero usuwaj.

Teraz sprwdasz system programem

http://www.dobreprogramy.com/index.php?dz=2&id=657&t=55

Robisz restart , scan HT i jeszcze raz wklejasz nowego loga.

Ten trojanek nie jest taki prosty do usunięcia , ale zobaczymy…

bartus2003 · 20 Październik 2004 15:16

HijackThis:

Logfile of HijackThis v1.98.2 Scan saved at 17:09:28, on 2004-10-20 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Mlody\Pulpit\HijackThis 1.98.2\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:808;gopher=192.168.0.1:808;http=192.168.0.1:808;https=192.168.0.1:808;socks=192.168.0.1:1080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM…\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM…\Run: [Jet Detection] “C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe” O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [CCProxy] C:\CCProxy\CCProxy.exe O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe” /s O4 - HKLM…\Run: [sSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\RunServices: [Windows Firewall Manager] msfw.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O15 - Trusted Zone: http://www.searchengines.pl O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

Jednak ja nadal widze problem O15 - Trusted Zone: http://www.techland.pl

To mi nadal nie dziala tzn ta stronka… a po co było wogóle to włączanie awaryjnego??? czy bez niego nie usunął bym blizd.dll??

Aha i jeszcze jendo cały cas gdy włączam IE pokazuje mi sie u dołu “Zaufane witrtyny” a gdy zmieniam w opcjach IE “zabezpieczenia” na Internet to i tak po włączenie IE pokazują mi sięzaufane witryny :evil:

wins · 20 Październik 2004 15:27

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:808;gopher=192.168.0.1:808;http=192.168.0.1:808;https=192.168.0.1:808;socks=192.168.0.1:1080
O4 - HKLM\..\Run: [CCProxy] C:\CCProxy\CCProxy.exe
O4 - HKLM\..\RunServices: [Windows Firewall Manager] msfw.exe

bartus2003 · 20 Październik 2004 15:31

DUCH · 20 Październik 2004 15:44

Phylby · 20 Październik 2004 16:03

Start do awaryjnego

Usuń

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:808;gopher=192.168.0.1:808;http=192.168.0.1:808;https=192.168.0.1:808;socks=192.168.0.1:1080 


O4 - HKLM\..\RunServices: [Windows Firewall Manager] msfw.exe 

O15 - Trusted Zone: http://www.searchengines.pl

Znajdz i usuń msfw.exe Szukaj w plikach ukrytych. Przeszukaj klucze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce Sprawdz jeszcze HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

W każdym z kluczy z osobna wyszukaj w okienku po prawej stronie wartość o nazwie http. Powinno mieć przypisaną liczbę 3 a zapewne ma przypisaną 2. Kliknij podwójnie w http i w okienku wpisz 3.

Po restarcie sprawdz czy masz jeszcze wpis O15

bartus2003 · 20 Październik 2004 16:51

no ok usnięte

nie idzie odnależć nawet w ukrytych

rozumiem że tu miałem poszukac tych wirków które się usuchamiają RUN

nic nie znalazłem

po przeszukaniu pierwszy klucz “brudny” wpisalem 3, drugi klucz wartość 3

nie ma wpisu w HT 015

I co dalej??

Phylby · 20 Październik 2004 17:13

Nic - jest OK

A stronki chodzą prawidłowo?

Na wszelki wypadek przeleć jeszcze CWShredder 1.59.1

i odwiedz wszystkie scanery. Jak coś badzie do usunięcia i sie nie da to scan i usuwanie w awaryjnym

http://skaner.mks.com.pl/

http://security.symantec.com/sscv6/defa … &venid=sym

http://www.pandasoftware.com/activescan … IdPais=152

http://www.pestscan.com/

http://www.spywareinfo.com/xscan.php

http://www.webroot.com/services/spyaudit_03.htm

Na końcu zainstaluj

WinPatrol 8.0

SpywareBlaster

http://www.javacoolsoftware.com/spywareblaster.html

Wszystkie darmowe.

Ps.

W WinPatrol sprawdz jeszcze:

Na zakładce Opcje klikasz Pokaż plik HOSTS… Otworzy sie w notatniku.

Usuwasz wszysko za wyjątkiem 127.0.0.1 localhost

Zaznacz zablokuj plik HOSTS i ustaw WinPatrol na start z systemam. Od tej pory jak coś ci sie zacznie pchać do systemu to wyskoczy alert i usłyszysz szczekanie psa

bartus2003 · 20 Październik 2004 17:20

no własnie proble z odswierzaniem na stronkach tzn. nie odswierz bierzacych informacji ale to juz sie sam pobawie

do czego on służy???

jest wersja PL do niego??

Phylby · 20 Październik 2004 20:04

SpywareBlaster nie ma wersji pl. Dodaje odpowiednie wpisy do rejestru

dzięki czemu znane komponenty szpiegowskie sie nie instalują.

Tu krótki opis

Program jest prosty, nie zajmuje panięci .