Nie moge sobie poradzić z wirusem. Moj antywirus kaspersky wykrywa coś takiego: Rootkit.Win32.Agent.I Niby go usuwa, ale on chyba za każdym razem chyba wgywa się od nowa. Chciałam zrobić loga z HijackThis ale ten program nie chce mi odpalić. Ten komputer działa coraz gorzej. Cały czas sam chce mi sie łaczyć z internetem. Nie wiem co robić. Sróbuje jescze zrobić loga z Silent Runners ale nie wiem czy mi sie uda.
Gdzie jest on wykrywany (dokładna ścieżka)?
Jeżeli rzeczywiście jest to rootkit to HijackThis raczej nie pokaże go.
Daj na forum takie logi:
1. Zakładka Rootkit -> Zaznacz wszystko oprócz Pokaż wszystko -> Kliknij Szukaj -> Po skończeniu Kopiuj -> Wklej do posta (np. skrótem CRTL+V)
2. Zakładka Rootkit -> Zaznacz tylko Pokaż wszystko oraz Usługi -> Kliknij Szukaj -> Po skończeniu Kopiuj -> Wklej do posta (np. skrótem CRTL+V)
(po uruchomieniu gmer.exe poczekaj chwilę aby się uruchomił)
Logi z Gmera mogę się robić dosyć długo więc czekaj cierliwie.
UWAGA: Jeżeli logi z Gmera nie zmieszczą się do posta to wklej logi z notatnika (start>>uruchom>>>notepad>>ctrl+v>>plik>>>zapisz jako) i wrzuć na jakiś serwis hostingowy np. http://rapidshare.de/
Dobra mam loga z HijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 15:37:00, on 2006-09-24
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\QW5kcnVz\command.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\autoclk.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\WINDOWS\System32\svcchost.exe
C:\WINDOWS\System32\mysvcc.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RunDll32.exe
D:\WOJTEK\winamp\winampa.exe
C:\WINDOWS\System32\directxbt.exe
C:\WINDOWS\System32\directxclick.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\nwnmff_e13.exe
C:\dfndrff_e12.exe
C:\kybrdff_e12.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\directxclick.exe
C:\Windows\xpupdate.exe
C:\WINDOWS\System32\msconfigsu.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\dwwin.exe
C:\WINDOWS\system32\ssmc.exe
C:\WINDOWS\System32\internal.exe
D:\AGATA\hijackthis\hijackthis.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft explorer Update] internal.exe
O4 - HKLM\..\Run: [WinampAgent] D:\WOJTEK\winamp\winampa.exe
O4 - HKLM\..\Run: [Microsoft Directxsp] directxbt.exe
O4 - HKLM\..\Run: [Microsoft Directx click] directxclick.exe
O4 - HKLM\..\Run: [tnkcf0b7] RUNDLL32.EXE w001d358.dll,n 004cf0b30000000a001d358
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e13.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e12.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e12.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [Ms configsu] msconfigsu.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [Microsoft explorer Update] internal.exe
O4 - HKLM\..\RunServices: [Microsoft Directxsp] directxbt.exe
O4 - HKLM\..\RunServices: [Microsoft Directx click] directxclick.exe
O4 - HKLM\..\RunServices: [Ms configsu] msconfigsu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft explorer Update] internal.exe
O4 - HKCU\..\Run: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\Run: [Microsoft Directx click] directxclick.exe
O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe
O4 - HKCU\..\Run: [Ms configsu] msconfigsu.exe
O4 - HKCU\..\RunServices: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\RunServices: [Microsoft Directx click] directxclick.exe
O4 - HKCU\..\RunServices: [Ms configsu] msconfigsu.exe
O4 - HKCU\..\RunOnce: [Microsoft explorer Update] internal.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/22577e052556b8bd3105/netzip/RdxIE601.cab
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\n4l8le3u1h.dll
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\dnp8017ue.dll (file missing)
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW5kcnVz\command.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Remote Reader Machine - Unknown owner - C:\WINDOWS\system32\ssmc.exe
A ścieżka to to? C:\DOCUMENTSANDSETTINGS\ANDRUS\DIRECTX.SYS
Tylko teraz ten Gmer mi nie działa. Jak włanczam wyskakują jakieś błedy ale jeszcze poprubuje.
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (jeżeli jakieś znaczki są żółte, to niech takie zostaną). Po użyciu tego narzędzia wymagany jest reset sysa.
Użyj narzędzia Look2Me-Destroyer
Użyj narzędzia --> SmitFraudFix
Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe Command Service i Remote Reader Machine
Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz cmdService i ok
W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):
Po zabiegach nowy log z Hijacka + log z Silent Runners + KONIECZNIE log z l2mfix (wybierasz opcje 1)
Czyli to prawdopodobnie jest rootkit więc log z Gmera będzie potrzebny.
Jaki konkretnie błąd wyskakuje?
A woogle możesz uruchamiać pliki .exe?? Jeżeli nie to najpierw prosze zastosować Unhookexec.inf bo bez tego w takim przypadku nawet narzędzi podanych przez Bieniola nie uruchomisz.
(po zabiegach dodatkowo logi z Gmera. Tylko umieść je w plikach bo się nie zmieszczą do posta)
Otwórz notatnik i wklej w nim to:
Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.BAT
Otwierasz notatnik i wklejasz w nim to:
Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.REG
W trybie awaryjnym odpal pliki FIX.REG i FIX.BAT i restart komputera
Po zabiegach nowe logi
No to wklejam nowe logi. Tylko teraz nie moge zrobić w l2mfix wyłącza mi sie jak prubuje to zrobić.
Logfile of HijackThis v1.99.1
Scan saved at 16:12:23, on 2006-09-25
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\autoclk.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RunDll32.exe
D:\WOJTEK\winamp\winampa.exe
C:\WINDOWS\System32\directxbt.exe
C:\WINDOWS\System32\msconfigsu.exe
C:\WINDOWS\System32\directxclick.exe
C:\nwnmff_e14.exe
C:\dfndrff_e14.exe
C:\kybrdff_e14.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\internal.exe
D:\AGATA\hijackthis\hijackthis.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] D:\WOJTEK\winamp\winampa.exe
O4 - HKLM\..\Run: [Microsoft explorer Update] internal.exe
O4 - HKLM\..\Run: [Microsoft Directxsp] directxbt.exe
O4 - HKLM\..\Run: [Ms configsu] msconfigsu.exe
O4 - HKLM\..\Run: [Microsoft Directx click] directxclick.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e14.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e14.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e14.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [Microsoft explorer Update] internal.exe
O4 - HKLM\..\RunServices: [Microsoft Directxsp] directxbt.exe
O4 - HKLM\..\RunServices: [Microsoft Directx click] directxclick.exe
O4 - HKLM\..\RunServices: [Ms configsu] msconfigsu.exe
O4 - HKLM\..\RunOnce: [Microsoft explorer Update] internal.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Ms configsu] msconfigsu.exe
O4 - HKCU\..\Run: [Microsoft Directx click] directxclick.exe
O4 - HKCU\..\Run: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\Run: [Microsoft explorer Update] internal.exe
O4 - HKCU\..\RunServices: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\RunServices: [Microsoft Directx click] directxclick.exe
O4 - HKCU\..\RunServices: [Ms configsu] msconfigsu.exe
O4 - HKCU\..\RunOnce: [Microsoft explorer Update] internal.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/22577e052556b8bd3105/netzip/RdxIE601.cab
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
"Silent Runners.vbs", revision 48, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"Ms configsu" = "msconfigsu.exe" [null data]
"Microsoft Directx click" = "directxclick.exe" [null data]
"Microsoft Directxsp" = "directxbt.exe" [null data]
"Microsoft explorer Update" = "internal.exe" [null data]
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Microsoft explorer Update" = "internal.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"autoclk" = "autoclk.exe" [empty string]
"WOOWATCH" = "C:\PROGRA~1\WANADOO\Watch.exe" ["France Télécom R&D"]
"WOOTASKBARICON" = "C:\PROGRA~1\WANADOO\TaskbarIcon.exe" ["France Télécom R&D"]
"TkBellExe" = ""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"WinampAgent" = "D:\WOJTEK\winamp\winampa.exe" [null data]
"Microsoft explorer Update" = "internal.exe" [null data]
"Microsoft Directxsp" = "directxbt.exe" [null data]
"Ms configsu" = "msconfigsu.exe" [null data]
"Microsoft Directx click" = "directxclick.exe" [null data]
"KAVPersonal50" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]
"newname" = "C:\\nwnmff_e14.exe" ["..../.32..3.3..2..3.23..3..we.e.w.we.e3"]
"defender" = "C:\\dfndrff_e14.exe" ["de5"]
"keyboard" = "C:\\kybrdff_e14.exe" ["fdslj reditf8eru8turdtreduj54tr8u548"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Microsoft explorer Update" = "internal.exe" [null data]
HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{A8B28872-3324-4CD2-8AA3-7D555C872D96}\(Default) = (no title provided)
-> {HKLM...CLSID} = "DeskbarBHO"
\InProcServer32\(Default) = "C:\Program Files\Deskbar\deskbar.dll" ["Deskbar"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
-> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Rozszerzenie ikon plików programu Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "D:\AGATA\real\rpshell.dll" ["RealNetworks, Inc."]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! wzcnotif\DLLName = "wzcdlg.dll" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
Default executables:
--------------------
INFECTION WARNING! HKLM\Software\Classes\scrfile\shell\open\command\(Default) = ""%1" %*" [file not found]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\andrus\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]
Startup items in "andrus" & "All Users" startup folders:
--------------------------------------------------------
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe /W" [empty string]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Miscellaneous IE Hijack Points
------------------------------
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
Missing lines (compared with English-language version):
"{A8B28872-3324-4CD2-8AA3-7D555C872D96}" = (no title provided)
-> {HKLM...CLSID} = "DeskbarBHO"
\InProcServer32\(Default) = "C:\Program Files\Deskbar\deskbar.dll" ["Deskbar"]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
kavsvc, kavsvc, ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]
Microsoft explorer Update, Win32, ""C:\WINDOWS\System32\internal.exe" -netsvcs" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 102 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 15 seconds.
---------- (total run time: 171 seconds)
Nic z tego, co napisałem wyżej nie jest zrobione :roll:
Zrób to jeszcze raz
Czyli zrobiłam coś źle. Sprubowałam jeszcze raz i niby te logi się czymś różnią.
Logfile of HijackThis v1.99.1
Scan saved at 19:49:16, on 2006-09-25
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\autoclk.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RunDll32.exe
D:\WOJTEK\winamp\winampa.exe
C:\WINDOWS\System32\directxbt.exe
C:\WINDOWS\System32\msconfigsu.exe
C:\WINDOWS\System32\directxclick.exe
C:\nwnmff_e14.exe
C:\dfndrff_e14.exe
C:\kybrdff_e14.exe
C:\WINDOWS\system32\dumprep.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\internal.exe
C:\WINDOWS\System32\dwwin.exe
D:\AGATA\hijackthis\hijackthis.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] D:\WOJTEK\winamp\winampa.exe
O4 - HKLM\..\Run: [Microsoft explorer Update] internal.exe
O4 - HKLM\..\Run: [Microsoft Directxsp] directxbt.exe
O4 - HKLM\..\Run: [Ms configsu] msconfigsu.exe
O4 - HKLM\..\Run: [Microsoft Directx click] directxclick.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [newname] C:\\nwnmff_e14.exe
O4 - HKLM\..\Run: [defender] C:\\dfndrff_e14.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e14.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
O4 - HKLM\..\RunServices: [Microsoft explorer Update] internal.exe
O4 - HKLM\..\RunServices: [Microsoft Directxsp] directxbt.exe
O4 - HKLM\..\RunServices: [Microsoft Directx click] directxclick.exe
O4 - HKLM\..\RunServices: [Ms configsu] msconfigsu.exe
O4 - HKLM\..\RunOnce: [Microsoft explorer Update] internal.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Directx click] directxclick.exe
O4 - HKCU\..\Run: [Ms configsu] msconfigsu.exe
O4 - HKCU\..\Run: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\Run: [Microsoft explorer Update] internal.exe
O4 - HKCU\..\RunServices: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\RunServices: [Microsoft Directx click] directxclick.exe
O4 - HKCU\..\RunServices: [Ms configsu] msconfigsu.exe
O4 - HKCU\..\RunOnce: [Microsoft explorer Update] internal.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/22577e052556b8bd3105/netzip/RdxIE601.cab
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
"Silent Runners.vbs", revision 48, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"Microsoft Directx click" = "directxclick.exe" [null data]
"Ms configsu" = "msconfigsu.exe" [null data]
"Microsoft Directxsp" = "directxbt.exe" [null data]
"Microsoft explorer Update" = "internal.exe" [null data]
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Microsoft explorer Update" = "internal.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"autoclk" = "autoclk.exe" [empty string]
"WOOWATCH" = "C:\PROGRA~1\WANADOO\Watch.exe" ["France Télécom R&D"]
"WOOTASKBARICON" = "C:\PROGRA~1\WANADOO\TaskbarIcon.exe" ["France Télécom R&D"]
"TkBellExe" = ""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"WinampAgent" = "D:\WOJTEK\winamp\winampa.exe" [null data]
"Microsoft explorer Update" = "internal.exe" [null data]
"Microsoft Directxsp" = "directxbt.exe" [null data]
"Ms configsu" = "msconfigsu.exe" [null data]
"Microsoft Directx click" = "directxclick.exe" [null data]
"KAVPersonal50" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]
"newname" = "C:\\nwnmff_e14.exe" ["..../.32..3.3..2..3.23..3..we.e.w.we.e3"]
"defender" = "C:\\dfndrff_e14.exe" ["de5"]
"keyboard" = "C:\\kybrdff_e14.exe" ["fdslj reditf8eru8turdtreduj54tr8u548"]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"Microsoft explorer Update" = "internal.exe" [null data]
HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{A8B28872-3324-4CD2-8AA3-7D555C872D96}\(Default) = (no title provided)
-> {HKLM...CLSID} = "DeskbarBHO"
\InProcServer32\(Default) = "C:\Program Files\Deskbar\deskbar.dll" ["Deskbar"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
-> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Rozszerzenie ikon plików programu Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "D:\AGATA\real\rpshell.dll" ["RealNetworks, Inc."]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! wzcnotif\DLLName = "wzcdlg.dll" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
Default executables:
--------------------
INFECTION WARNING! HKLM\Software\Classes\scrfile\shell\open\command\(Default) = ""%1" %*" [file not found]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\andrus\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]
Startup items in "andrus" & "All Users" startup folders:
--------------------------------------------------------
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe /W" [empty string]
"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Miscellaneous IE Hijack Points
------------------------------
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
Missing lines (compared with English-language version):
"{A8B28872-3324-4CD2-8AA3-7D555C872D96}" = (no title provided)
-> {HKLM...CLSID} = "DeskbarBHO"
\InProcServer32\(Default) = "C:\Program Files\Deskbar\deskbar.dll" ["Deskbar"]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
kavsvc, kavsvc, ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]
Microsoft explorer Update, Win32, ""C:\WINDOWS\System32\internal.exe" -netsvcs" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 111 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 16 seconds.
---------- (total run time: 178 seconds)
Jak dalej jest źle to mi chyba musisz wytłumaczyć jak dla głupka bo ja jestem ciężko kapująca :mrgreen:
Początek chyba robie dobrze. Później są te 2 pliki FIX i jak pierwszy właczam wyskakuje napis czy dołączyć do rejestru, a drugi to takie białe napisy na czarnym tle sie przesuwają.
To tak miało być?
Otwórz notatnik i wklej w nim to:
Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.REG
Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot i All Files , w polu full path of file wklej ścieżkę:
C:\WINDOWS\System32\msconfigsu.exe
C:\WINDOWS\System32\directxclick.exe
C:\WINDOWS\System32\directxbt.exe
C:\WINDOWS\System32\internal.exe
C:\nwnmff_e14.exe
C:\dfndrff_e14.exe
C:\kybrdff_e14.exe
C:\WINDOWS\System32\macpxl32.dLL
C:\WINDOWS\System32\ssmc.exe
C:\WINDOWS\System32\mysvcc.exe
C:\WINDOWS\System32\svcchost.exe
C:\WINDOWS\System32\tnkcf0b7.dll
C:\WINDOWS\System32\w001d358.dll
C:\WINDOWS\System32\atmtd.dll
Klikasz X i restart kompa
Odpalasz Hijacka --> do a system scan only i zaznaczasz wpisy:
I klikasz na dole “fix checked”
Odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa
Po zabiegach 3 logi (Hijack + Silent + l2mfix)
Uruchamiasz narzędzie KillBox i zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki:
C:\WINDOWS\SYSTEM32\ atmtd.dll
C:\WINDOWS\SYSTEM32\macpxl32.dLL
C:\WINDOWS\SYSTEM32\ssmc.exe
C:\WINDOWS\SYSTEM32\w001d358.dll
C:\WINDOWS\SYSTEM32\tnkcf0b7.dll
i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.
Niestety VX2 powróciło :?
Użyj narzędzia Look2Me-Destroyer, następnie wrzuć log z programu l2mfix (wybierasz opcje 1)
PS> Czy Ty w ogóle robisz to, o co Cie prosimy?
Tak robie to wszystko.
Użyłam Look2Me-Destroyer, ale teraz znowu nie działa mi l2mfix tak samo jak przedtem.
Co to znaczy “nie działa”? Opisz dokładniej - jakieś błędy?
Otwiera sie ale odrazu samo się zamyka. Tak żę nie zdążę nic zrobić. Wcześniej raz też tak było a potem działało normalnie.
Spróbuj to zrobić w trybie awaryjnym
Tak zadziałało
L2MFIX find log 032106
Otwórz notatnik i wklej w nim to:
Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.BAT
W trybie awaryjnym kliknij dwa razy na plik FIX.BAT i restart kompa
Po zabiegach 3 nowe logi (Hijack, Silent, l2mfix)
Nic nie zorbiłeś, poczytaj od początku co masz zrobić i jak, wtedy wklej nowe log-i