Skradziono mi pulpit :(


(hinczyk_) #1

Witam,

Antywirus wykrył na moim kompie wirusa, a po jego usunięciu i restarcie straciłem dostęp do pulpitu (widzę jedynie tapetę a do pozostałych funkcji mogę się dostać za pomocą menadżera zadań alt+ctrl+del) Załączam logi i PROSZĘ O POMOC!

Logfile of HijackThis v1.99.1

Scan saved at 18:52:30, on 2008-02-16

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Comodo\common\CAVASpy\cavasm.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program Files\Spyware Doctor\svcntaux.exe

C:\Program Files\Spyware Doctor\swdsvc.exe

C:\Program Files\Spyware Doctor\SDTrayApp.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\mozilla.org\Mozilla\mozilla.exe

C:\Program Files\Spyware Doctor\swdoctor.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programy\Anty-wirusy\hijackthis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM..\Run: [LaunchApp] Alaunch

O4 - HKLM..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM..\Run: [synTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE

O4 - HKLM..\Run: [eRecoveryService] C:\Windows\System32\Check.exe

O4 - HKLM..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [sDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\Ringz Studio\Storm Codec\QTTask.exe" -atboottime

O4 - HKLM..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM..\Run: [cnfgCav] "C:\Program Files\Comodo\Comodo AntiVirus\CMain.exe" " /login"

O4 - HKLM..\Run: [Comodo Launch Pad Tray] C:\Program Files\Comodo\LaunchPad\CLPTray.exe

O4 - HKLM..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

O4 - HKCU..\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe

O4 - HKCU..\Run: [supervisor.exe] C:\WINDOWS\supervisor.exe

O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\Program Files\mozilla.org\Mozilla\plugins\GetFlash.exe -p

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - http://www.symantec.com/techsupp/asa/ctrl/LSSupCtl.cab

O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) - http://www.poczta.wp.pl/d105/mailcfg.ocx

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab

O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Urządzenie mobilne Apple (Apple Mobile Device) - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKService.exe (file missing)

O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\G DATA\AntiVirus 2007\AVK\AVKWCtl.exe (file missing)

O23 - Service: Comodo Anti-Virus and Anti-Spyware Service - Comodo Inc. - C:\Program Files\Comodo\common\CAVASpy\cavasm.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Usługa iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe


(Severus) #2

Zobacz w procesach, czy masz uruchomionego explorera :slight_smile:


(LeszekG) #3

Witam

usuń ten wpis

O4 - HKCU\..\Run: [supervisor.exe] C:\WINDOWS\supervisor.exe

po usunięciu daj nowe logi

Pozdrawiam


(hinczyk_) #4

Leszek Usunąłem! Reset i żadnych zmian. Dodatkowo jeszcze kilka wpisów - zwłaszcza apacha którego zainstalowałem dopiero co i który kompletnie zablokował funkcjonowanie kompa, wykorzystywał procka w 100% czy możesz mi powiedzieć dlaczego?.

Pod linkiem nowe logi

http://wklej.org/id/5a247b5f92

Servus - nie mam! Jak mogę go uruchomić?


(hinczyk_) #5

Zwykłe uruchomienie explorer.exe nic nie daje. Owszem pasek poajwia się na ułamek sekundy, później znika. Nie mogę go/nie potrafię dodać go do procesów na stałe.


(Dmirecki) #6

Ikonka Windows + r -> explorer.exe

jeśli się nic nie stanie, to: Ikonka Windows + r -> wpisz scf /scannow


(hinczyk_) #7

mam uruchomić plik explorer.exe + r ? (nie działą zaznaczam)

wpisz scf/scannow - gdzie mam to wspiać? w linię poleceń? (nie działa - od razu zaznaczam)

Dzięki za odpowiedź!


(Dmirecki) #8

W takim razie:

Ctrl + Alt + Del -> Aplikacje -> nowe zadanie... -> wpisz: explorer.exe

Jeśli się nic nie stanie, to: Ctrl + Alt + Del -> Aplikacje -> nowe zadanie... -> wpisz: scf /scannow

:slight_smile:


(hinczyk_) #9

scf/scannow - wysakakuje powiadomienie, że nie ma takiego pliku. Masz do tej komendy ścieżkę?


(hinczyk_) #10

Już wiem gdzie leżał problem

Właściwe polecenie to: sfc /scannow a nie scf/scannow :smiley:

Czekam z niecerpliwością na efekty


(Dmirecki) #11

ojj, przepraszam :oops: - pomyliłem się - ma być sfc /scannow


(hinczyk_) #12

Żadnej zmiany, skaner niczego nie wykrył. pulpitu wciąż brak


(Leon$) #13

Czy zrobiłeś to o co prosiłem cię w tym temacie? http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=224425

:slight_smile:


(hinczyk_) #14

Już jestem po całej operacji. Pulpitu brak, choć zauważyłem, że ilość procesów znacząco spadła.

Przesyłam log.

http://wklej.org/id/0788aeff94


(hinczyk_) #15

Po kilku próbach rozwiązania problemu doszedłem do wniosku, że całe zamieszanie wynika z pliku gj4fgo.dll Ten plik blokuje explorera. Ostatnio nod32 pobrał ten plik do analizy, a wiec prawdopodobnie jest to wirus.

Sprawdzałem na innych kompach i plik ten w systemie nie występuje.

U mnie zagnieżdził się w c:/windows/system32


(hinczyk_) #16

A tu jeszcze link do loga z Silent Runers

http://wklej.org/id/d9a71e592c

Pozdrawiam i dziękuję z góry za wszelką pomoc!


(hinczyk_) #17

Przesyłam dodatkowow logi z Silent Runers

http://wklej.org/id/d9a71e592c

Pozdrawiam i z góry dziekuję za wszelką pomoc!


(Leon$) #18

1.Plik C:\windows\system32\gj4fgo.dll przeskanuj na http://virusscan.jotti.org/ jeśli syf to usuń w trybie awaryjnym

2.Wracając do tego wątku http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=224425 sprawdź czy plik explorer.exe znajduje się tej lokalizacji C:\WINDOWS\explorer.exe

3.

bzdury piszesz u ciebie pisze Exploer.exe a nie Explorer.exe a więc otwórz notatnik i wklej

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"="Explorer.exe"

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

:slight_smile:


(hinczyk_) #19
  1. Pliku nie można dodać (próbowałem go już przeskanować tak wcześniej). Wyskakuje informacja, że plik ma 0 kb i że jest blokowany przez inny program lub jest to malvare. (The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file)

  2. Explorer.exe jest na swoim miejscu

  3. Gratuluje spostrzegawczości. Sam zmieniłem ten wpis w rejestrze, znalazłem na którymś forum osobę, która miała podobny problem i zmiana wpisu w rejetrze miała pomóc - niestety u mnie to nic nie dało.

  4. Próbowałem usuwać plik gj4fgo.dll róznymi programami (tak w trybie awaryjnym jak i normalnym)

HijackThis - brak efektów

Combofix - brak efektów.

  1. Przesyłam logi Combofix po próbie usuniecia gj4fgo.dll

http://wklej.org/id/26f8901df2

  1. NOD32 - jakiś miesiąc temu pobrał z dysku ten plik do analizy, a więc pewnie jest to jakiś wirus.

  2. Jakieś pomysły?


(hinczyk_) #20

Znalazłem taki wspis w systemie (tryb awaryjny, skan HijackThis)

04 - HKLM..\RunOnce: [gj4fgo]%systemroot%\system32\Rundll32.exe %systemroot%\system32\gj4fgo.dll,DllUnregisterServer - wpis usunąłem.

Co ciekawe wcześniej nigdzie wcześniej się nie pojawił. Po usunięciu żadnych zmian, ale może będzie to dal was jakaś wskazówka.