Rootkit.Win32.Agent.I


(Agata678) #1

Nie moge sobie poradzić z wirusem. Moj antywirus kaspersky wykrywa coś takiego: Rootkit.Win32.Agent.I Niby go usuwa, ale on chyba za każdym razem chyba wgywa się od nowa. Chciałam zrobić loga z HijackThis ale ten program nie chce mi odpalić. Ten komputer działa coraz gorzej. Cały czas sam chce mi sie łaczyć z internetem. Nie wiem co robić. Sróbuje jescze zrobić loga z Silent Runners ale nie wiem czy mi sie uda.


(Arek F.) #2

A czy ta wersja Hijacka się odpala?? Jeżeli tak to daj logi do sprawdzenia :slight_smile:


(adam9870) #3

Gdzie jest on wykrywany (dokładna ścieżka)?

Jeżeli rzeczywiście jest to rootkit to HijackThis raczej nie pokaże go.

Daj na forum takie logi:

  • HijackThis tylko, że z wersją .com pobierz

  • oraz dwa logi z Gmera z takimi ustawieniami:

1. Zakładka Rootkit -> Zaznacz wszystko oprócz Pokaż wszystko -> Kliknij Szukaj -> Po skończeniu Kopiuj -> Wklej do posta (np. skrótem CRTL+V)

2. Zakładka Rootkit -> Zaznacz tylko Pokaż wszystko oraz Usługi -> Kliknij Szukaj -> Po skończeniu Kopiuj -> Wklej do posta (np. skrótem CRTL+V)

(po uruchomieniu gmer.exe poczekaj chwilę aby się uruchomił)

Logi z Gmera mogę się robić dosyć długo więc czekaj cierliwie.

UWAGA: Jeżeli logi z Gmera nie zmieszczą się do posta to wklej logi z notatnika (start>>uruchom>>>notepad>>ctrl+v>>plik>>>zapisz jako) i wrzuć na jakiś serwis hostingowy np. http://rapidshare.de/


(Agata678) #4

Dobra mam loga z HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 15:37:00, on 2006-09-24

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\rundll32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\QW5kcnVz\command.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\autoclk.exe

C:\PROGRA~1\WANADOO\TaskbarIcon.exe

C:\WINDOWS\System32\svcchost.exe

C:\WINDOWS\System32\mysvcc.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\RunDll32.exe

D:\WOJTEK\winamp\winampa.exe

C:\WINDOWS\System32\directxbt.exe

C:\WINDOWS\System32\directxclick.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\nwnmff_e13.exe

C:\dfndrff_e12.exe

C:\kybrdff_e12.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\directxclick.exe

C:\Windows\xpupdate.exe

C:\WINDOWS\System32\msconfigsu.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\System32\dwwin.exe

C:\WINDOWS\system32\ssmc.exe

C:\WINDOWS\System32\internal.exe

D:\AGATA\hijackthis\hijackthis.com


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe

O4 - HKLM\..\Run: [msvcc25] svcchost.exe

O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Microsoft explorer Update] internal.exe

O4 - HKLM\..\Run: [WinampAgent] D:\WOJTEK\winamp\winampa.exe

O4 - HKLM\..\Run: [Microsoft Directxsp] directxbt.exe

O4 - HKLM\..\Run: [Microsoft Directx click] directxclick.exe

O4 - HKLM\..\Run: [tnkcf0b7] RUNDLL32.EXE w001d358.dll,n 004cf0b30000000a001d358

O4 - HKLM\..\Run: [newname] C:\\nwnmff_e13.exe

O4 - HKLM\..\Run: [defender] C:\\dfndrff_e12.exe

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e12.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [Ms configsu] msconfigsu.exe

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe

O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe

O4 - HKLM\..\RunServices: [Microsoft explorer Update] internal.exe

O4 - HKLM\..\RunServices: [Microsoft Directxsp] directxbt.exe

O4 - HKLM\..\RunServices: [Microsoft Directx click] directxclick.exe

O4 - HKLM\..\RunServices: [Ms configsu] msconfigsu.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft explorer Update] internal.exe

O4 - HKCU\..\Run: [Microsoft Directxsp] directxbt.exe

O4 - HKCU\..\Run: [Microsoft Directx click] directxclick.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - HKCU\..\Run: [Ms configsu] msconfigsu.exe

O4 - HKCU\..\RunServices: [Microsoft Directxsp] directxbt.exe

O4 - HKCU\..\RunServices: [Microsoft Directx click] directxclick.exe

O4 - HKCU\..\RunServices: [Ms configsu] msconfigsu.exe

O4 - HKCU\..\RunOnce: [Microsoft explorer Update] internal.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/22577e052556b8bd3105/netzip/RdxIE601.cab

O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\n4l8le3u1h.dll

O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\dnp8017ue.dll (file missing)

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QW5kcnVz\command.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Remote Reader Machine - Unknown owner - C:\WINDOWS\system32\ssmc.exe

A ścieżka to to? C:\DOCUMENTSANDSETTINGS\ANDRUS\DIRECTX.SYS

Tylko teraz ten Gmer mi nie działa. Jak włanczam wyskakują jakieś błedy ale jeszcze poprubuje.


(Bbieniol) #5

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (jeżeli jakieś znaczki są żółte, to niech takie zostaną). Po użyciu tego narzędzia wymagany jest reset sysa.

Użyj narzędzia Look2Me-Destroyer

Użyj narzędzia --> SmitFraudFix

Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe Command Service i Remote Reader Machine

Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz cmdService i ok

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):

Po zabiegach nowy log z Hijacka + log z Silent Runners + KONIECZNIE log z l2mfix (wybierasz opcje 1)


(adam9870) #6

Czyli to prawdopodobnie jest rootkit więc log z Gmera będzie potrzebny.

Jaki konkretnie błąd wyskakuje?

A woogle możesz uruchamiać pliki .exe?? Jeżeli nie to najpierw prosze zastosować Unhookexec.inf bo bez tego w takim przypadku nawet narzędzi podanych przez Bieniola nie uruchomisz.

(po zabiegach dodatkowo logi z Gmera. Tylko umieść je w plikach bo się nie zmieszczą do posta)


(Bbieniol) #7

Otwórz notatnik i wklej w nim to:

Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.BAT

Otwierasz notatnik i wklejasz w nim to:

Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.REG

W trybie awaryjnym odpal pliki FIX.REG i FIX.BAT i restart komputera :slight_smile:

Po zabiegach nowe logi :slight_smile:


(Agata678) #8

No to wklejam nowe logi. Tylko teraz nie moge zrobić w l2mfix wyłącza mi sie jak prubuje to zrobić.

Logfile of HijackThis v1.99.1

Scan saved at 16:12:23, on 2006-09-25

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\autoclk.exe

C:\PROGRA~1\WANADOO\TaskbarIcon.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\RunDll32.exe

D:\WOJTEK\winamp\winampa.exe

C:\WINDOWS\System32\directxbt.exe

C:\WINDOWS\System32\msconfigsu.exe

C:\WINDOWS\System32\directxclick.exe

C:\nwnmff_e14.exe

C:\dfndrff_e14.exe

C:\kybrdff_e14.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\System32\internal.exe

D:\AGATA\hijackthis\hijackthis.com


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll

O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [WinampAgent] D:\WOJTEK\winamp\winampa.exe

O4 - HKLM\..\Run: [Microsoft explorer Update] internal.exe

O4 - HKLM\..\Run: [Microsoft Directxsp] directxbt.exe

O4 - HKLM\..\Run: [Ms configsu] msconfigsu.exe

O4 - HKLM\..\Run: [Microsoft Directx click] directxclick.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [newname] C:\\nwnmff_e14.exe

O4 - HKLM\..\Run: [defender] C:\\dfndrff_e14.exe

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e14.exe

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe

O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe

O4 - HKLM\..\RunServices: [Microsoft explorer Update] internal.exe

O4 - HKLM\..\RunServices: [Microsoft Directxsp] directxbt.exe

O4 - HKLM\..\RunServices: [Microsoft Directx click] directxclick.exe

O4 - HKLM\..\RunServices: [Ms configsu] msconfigsu.exe

O4 - HKLM\..\RunOnce: [Microsoft explorer Update] internal.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Ms configsu] msconfigsu.exe

O4 - HKCU\..\Run: [Microsoft Directx click] directxclick.exe

O4 - HKCU\..\Run: [Microsoft Directxsp] directxbt.exe

O4 - HKCU\..\Run: [Microsoft explorer Update] internal.exe

O4 - HKCU\..\RunServices: [Microsoft Directxsp] directxbt.exe

O4 - HKCU\..\RunServices: [Microsoft Directx click] directxclick.exe

O4 - HKCU\..\RunServices: [Ms configsu] msconfigsu.exe

O4 - HKCU\..\RunOnce: [Microsoft explorer Update] internal.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/22577e052556b8bd3105/netzip/RdxIE601.cab

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

"Silent Runners.vbs", revision 48, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

"Ms configsu" = "msconfigsu.exe" [null data]

"Microsoft Directx click" = "directxclick.exe" [null data]

"Microsoft Directxsp" = "directxbt.exe" [null data]

"Microsoft explorer Update" = "internal.exe" [null data]


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}

"Microsoft explorer Update" = "internal.exe" [null data]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"autoclk" = "autoclk.exe" [empty string]

"WOOWATCH" = "C:\PROGRA~1\WANADOO\Watch.exe" ["France Télécom R&D"]

"WOOTASKBARICON" = "C:\PROGRA~1\WANADOO\TaskbarIcon.exe" ["France Télécom R&D"]

"TkBellExe" = ""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]

"WinampAgent" = "D:\WOJTEK\winamp\winampa.exe" [null data]

"Microsoft explorer Update" = "internal.exe" [null data]

"Microsoft Directxsp" = "directxbt.exe" [null data]

"Ms configsu" = "msconfigsu.exe" [null data]

"Microsoft Directx click" = "directxclick.exe" [null data]

"KAVPersonal50" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]

"newname" = "C:\\nwnmff_e14.exe" ["..../.32..3.3..2..3.23..3..we.e.w.we.e3"]

"defender" = "C:\\dfndrff_e14.exe" ["de5"]

"keyboard" = "C:\\kybrdff_e14.exe" ["fdslj reditf8eru8turdtreduj54tr8u548"]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}

"Microsoft explorer Update" = "internal.exe" [null data]


HKLM\Software\Microsoft\Active Setup\Installed Components\

{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)

                                       \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{A8B28872-3324-4CD2-8AA3-7D555C872D96}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "DeskbarBHO"

                   \InProcServer32\(Default) = "C:\Program Files\Deskbar\deskbar.dll" ["Deskbar"]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Rozszerzenie ikon plików programu Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"

                   \InProcServer32\(Default) = "D:\AGATA\real\rpshell.dll" ["RealNetworks, Inc."]


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! wzcnotif\DLLName = "wzcdlg.dll" [MS]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]



Default executables:

--------------------


INFECTION WARNING! HKLM\Software\Classes\scrfile\shell\open\command\(Default) = ""%1" %*" [file not found]



Active Desktop and Wallpaper:

-----------------------------


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Documents and Settings\andrus\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"



Enabled Screen Saver:

---------------------


HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]



Startup items in "andrus" & "All Users" startup folders:

--------------------------------------------------------


C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

"DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe /W" [empty string]

"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



Miscellaneous IE Hijack Points

------------------------------


HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\


Missing lines (compared with English-language version):

"{A8B28872-3324-4CD2-8AA3-7D555C872D96}" = (no title provided)

  -> {HKLM...CLSID} = "DeskbarBHO"

                   \InProcServer32\(Default) = "C:\Program Files\Deskbar\deskbar.dll" ["Deskbar"]



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


kavsvc, kavsvc, ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]

Microsoft explorer Update, Win32, ""C:\WINDOWS\System32\internal.exe" -netsvcs" [null data]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]



----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 102 seconds.

+ The search for all Registry CLSIDs containing dormant Explorer Bars

  took 15 seconds.

---------- (total run time: 171 seconds)

(Bbieniol) #9

Nic z tego, co napisałem wyżej nie jest zrobione :roll:

Zrób to jeszcze raz :slight_smile:


(Agata678) #10

Czyli zrobiłam coś źle. Sprubowałam jeszcze raz i niby te logi się czymś różnią.

Logfile of HijackThis v1.99.1

Scan saved at 19:49:16, on 2006-09-25

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\autoclk.exe

C:\PROGRA~1\WANADOO\TaskbarIcon.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\RunDll32.exe

D:\WOJTEK\winamp\winampa.exe

C:\WINDOWS\System32\directxbt.exe

C:\WINDOWS\System32\msconfigsu.exe

C:\WINDOWS\System32\directxclick.exe

C:\nwnmff_e14.exe

C:\dfndrff_e14.exe

C:\kybrdff_e14.exe

C:\WINDOWS\system32\dumprep.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\System32\internal.exe

C:\WINDOWS\System32\dwwin.exe

D:\AGATA\hijackthis\hijackthis.com


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll

O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [WinampAgent] D:\WOJTEK\winamp\winampa.exe

O4 - HKLM\..\Run: [Microsoft explorer Update] internal.exe

O4 - HKLM\..\Run: [Microsoft Directxsp] directxbt.exe

O4 - HKLM\..\Run: [Ms configsu] msconfigsu.exe

O4 - HKLM\..\Run: [Microsoft Directx click] directxclick.exe

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [newname] C:\\nwnmff_e14.exe

O4 - HKLM\..\Run: [defender] C:\\dfndrff_e14.exe

O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_e14.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe

O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe

O4 - HKLM\..\RunServices: [Microsoft explorer Update] internal.exe

O4 - HKLM\..\RunServices: [Microsoft Directxsp] directxbt.exe

O4 - HKLM\..\RunServices: [Microsoft Directx click] directxclick.exe

O4 - HKLM\..\RunServices: [Ms configsu] msconfigsu.exe

O4 - HKLM\..\RunOnce: [Microsoft explorer Update] internal.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Microsoft Directx click] directxclick.exe

O4 - HKCU\..\Run: [Ms configsu] msconfigsu.exe

O4 - HKCU\..\Run: [Microsoft Directxsp] directxbt.exe

O4 - HKCU\..\Run: [Microsoft explorer Update] internal.exe

O4 - HKCU\..\RunServices: [Microsoft Directxsp] directxbt.exe

O4 - HKCU\..\RunServices: [Microsoft Directx click] directxclick.exe

O4 - HKCU\..\RunServices: [Ms configsu] msconfigsu.exe

O4 - HKCU\..\RunOnce: [Microsoft explorer Update] internal.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/22577e052556b8bd3105/netzip/RdxIE601.cab

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

"Silent Runners.vbs", revision 48, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

"Microsoft Directx click" = "directxclick.exe" [null data]

"Ms configsu" = "msconfigsu.exe" [null data]

"Microsoft Directxsp" = "directxbt.exe" [null data]

"Microsoft explorer Update" = "internal.exe" [null data]


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}

"Microsoft explorer Update" = "internal.exe" [null data]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"autoclk" = "autoclk.exe" [empty string]

"WOOWATCH" = "C:\PROGRA~1\WANADOO\Watch.exe" ["France Télécom R&D"]

"WOOTASKBARICON" = "C:\PROGRA~1\WANADOO\TaskbarIcon.exe" ["France Télécom R&D"]

"TkBellExe" = ""C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]

"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]

"WinampAgent" = "D:\WOJTEK\winamp\winampa.exe" [null data]

"Microsoft explorer Update" = "internal.exe" [null data]

"Microsoft Directxsp" = "directxbt.exe" [null data]

"Ms configsu" = "msconfigsu.exe" [null data]

"Microsoft Directx click" = "directxclick.exe" [null data]

"KAVPersonal50" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize" ["Kaspersky Lab"]

"newname" = "C:\\nwnmff_e14.exe" ["..../.32..3.3..2..3.23..3..we.e.w.we.e3"]

"defender" = "C:\\dfndrff_e14.exe" ["de5"]

"keyboard" = "C:\\kybrdff_e14.exe" ["fdslj reditf8eru8turdtreduj54tr8u548"]

"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}

"Microsoft explorer Update" = "internal.exe" [null data]


HKLM\Software\Microsoft\Active Setup\Installed Components\

{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)

                                       \StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Program Files\Messenger\msgsc.dll",ShowIconsUser" [MS]


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{A8B28872-3324-4CD2-8AA3-7D555C872D96}\(Default) = (no title provided)

  -> {HKLM...CLSID} = "DeskbarBHO"

                   \InProcServer32\(Default) = "C:\Program Files\Deskbar\deskbar.dll" ["Deskbar"]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"

                   \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"

  -> {HKLM...CLSID} = "Rozszerzenie ikon plików programu Outlook"

                   \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]

"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"

  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"

                   \InProcServer32\(Default) = "D:\AGATA\real\rpshell.dll" ["RealNetworks, Inc."]


HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! wzcnotif\DLLName = "wzcdlg.dll" [MS]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]



Default executables:

--------------------


INFECTION WARNING! HKLM\Software\Classes\scrfile\shell\open\command\(Default) = ""%1" %*" [file not found]



Active Desktop and Wallpaper:

-----------------------------


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Documents and Settings\andrus\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"



Enabled Screen Saver:

---------------------


HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]



Startup items in "andrus" & "All Users" startup folders:

--------------------------------------------------------


C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

"DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe /W" [empty string]

"Microsoft Office" -> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l" [MS]



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



Miscellaneous IE Hijack Points

------------------------------


HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\


Missing lines (compared with English-language version):

"{A8B28872-3324-4CD2-8AA3-7D555C872D96}" = (no title provided)

  -> {HKLM...CLSID} = "DeskbarBHO"

                   \InProcServer32\(Default) = "C:\Program Files\Deskbar\deskbar.dll" ["Deskbar"]



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


kavsvc, kavsvc, ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"" ["Kaspersky Lab"]

Microsoft explorer Update, Win32, ""C:\WINDOWS\System32\internal.exe" -netsvcs" [null data]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]



----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 111 seconds.

+ The search for all Registry CLSIDs containing dormant Explorer Bars

  took 16 seconds.

---------- (total run time: 178 seconds)

Jak dalej jest źle to mi chyba musisz wytłumaczyć jak dla głupka bo ja jestem ciężko kapująca :mrgreen:

Początek chyba robie dobrze. Później są te 2 pliki FIX i jak pierwszy właczam wyskakuje napis czy dołączyć do rejestru, a drugi to takie białe napisy na czarnym tle sie przesuwają.

To tak miało być?


(Bbieniol) #11

Otwórz notatnik i wklej w nim to:

Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.REG

Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot i All Files , w polu full path of file wklej ścieżkę:

C:\WINDOWS\System32\msconfigsu.exe

C:\WINDOWS\System32\directxclick.exe

C:\WINDOWS\System32\directxbt.exe

C:\WINDOWS\System32\internal.exe

C:\nwnmff_e14.exe

C:\dfndrff_e14.exe

C:\kybrdff_e14.exe

C:\WINDOWS\System32\macpxl32.dLL

C:\WINDOWS\System32\ssmc.exe

C:\WINDOWS\System32\mysvcc.exe

C:\WINDOWS\System32\svcchost.exe

C:\WINDOWS\System32\tnkcf0b7.dll

C:\WINDOWS\System32\w001d358.dll

C:\WINDOWS\System32\atmtd.dll

Klikasz X i restart kompa :slight_smile:

Odpalasz Hijacka --> do a system scan only i zaznaczasz wpisy:

I klikasz na dole "fix checked" :slight_smile:

Odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa :slight_smile:

Po zabiegach 3 logi (Hijack + Silent + l2mfix) :slight_smile:


(Gutek) #12

Uruchamiasz narzędzie KillBox i zaznaczasz opcję Delete on Reboot oraz All Files i w polu Full Path of File to Delete wklejasz ścieżki:

C:\WINDOWS\SYSTEM32\ atmtd.dll

C:\WINDOWS\SYSTEM32\macpxl32.dLL

C:\WINDOWS\SYSTEM32\ssmc.exe

C:\WINDOWS\SYSTEM32\w001d358.dll

C:\WINDOWS\SYSTEM32\tnkcf0b7.dll

i naciskasz X czerwony. Program poprosi o reset kompa ... czyli resetujesz.


(Bbieniol) #13

Niestety VX2 powróciło :?

Użyj narzędzia Look2Me-Destroyer, następnie wrzuć log z programu l2mfix (wybierasz opcje 1)

PS> Czy Ty w ogóle robisz to, o co Cie prosimy?


(Agata678) #14

Tak robie to wszystko.

Użyłam Look2Me-Destroyer, ale teraz znowu nie działa mi l2mfix :frowning: tak samo jak przedtem.


(Bbieniol) #15

Co to znaczy "nie działa"? Opisz dokładniej - jakieś błędy?


(Agata678) #16

Otwiera sie ale odrazu samo się zamyka. Tak żę nie zdążę nic zrobić. Wcześniej raz też tak było a potem działało normalnie.


(Bbieniol) #17

Spróbuj to zrobić w trybie awaryjnym :slight_smile:


(Agata678) #18

Tak zadziałało :smiley:

L2MFIX find log 032106

(Bbieniol) #19

Otwórz notatnik i wklej w nim to:

Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.BAT

W trybie awaryjnym kliknij dwa razy na plik FIX.BAT i restart kompa :slight_smile:

Po zabiegach 3 nowe logi (Hijack, Silent, l2mfix) :slight_smile:


(Gutek) #20

Nic nie zorbiłeś, poczytaj od początku co masz zrobić i jak, wtedy wklej nowe log-i :slight_smile: