witam,
Spybot podczas skanowania wykrył szkodliwy wpis
Smitfraud-C.Toolbar888 C:\WINDOWS\system32\unsvchosts.Izma
i nie jestem pewien czy go usunął, poza tym nod32 podczas ostatniego skanowania wyrył następującego szkodnika
C:\System Volume Information\_restore{7CE2AF34-E544-4BA7-801F-4FD9D51D857B}\RP1\A0000042.dll - Win32/Adware.Toolbar.888Bar
poniżej zamieszczam log z HijackThis i Silent Runners
Logfile of HijackThis v1.99.1
Scan saved at 22:52:50, on 2007-01-05
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\PowerGG.exe"
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
adam9870
5 Styczeń 2007 22:01
#2
Log masz ok.
Wrzuć jeszcze log z SilentRunners .
Usuwanie szkodników z folderu System Volume Information 1. Najpierw wyłączamy przywracanie systemu ponieważ w folderze System Volume Information są przechowywane punkty przywracania. W tym celu klikamy prawym klawiszem myszki na ikonę Mój komputer => wybieramy Właściwości => przechodzimy na zakładkę Przywracanie systemu => zaznaczamy opcję Wyłącz Przywracanie systemu na wszystkich dyskach => teraz tylko potwierdzamy klikając na Zastosuj i OK. 2. Włączamy pokazywanie ukrytych plików i folderów ponieważ folder System Volume Information jest ukryty. W tym celu otwieramy Mój komputer = u góry wybieramy Narzędzia = Opcje folderów… = w okienku, które się otworzy przechodzimy na zakładkę Widok = w części Ukryte pliki i foldery zaznaczamy opcję Pokaż ukryte pliki i foldery = dalej wystarczy tylko potwierdzić klikając na Zastosuj i OK. 3. Uruchamiamy system w trybie awaryjnym. W tym celu gdy komputer będzie wyłączony wciskamy klawisz F5 bądź F8 = włączamy komputer = gdy pojawi się ekran wyboru systemu puszczamy klawisz i za pomocą strzałek na klawiaturze wybieramy pozycję Tryb awaryjny i potwierdzamy wciskając klawisz Enter. Będąc w trybie awaryjnym wchodzimy do lokalizacji gdzie jest zainfekowany obiekt = klikamy na niego prawym klawiszem myszki = wybieramy Usuń i potwierdzamy. Czyli np. w tym przypadku: wchodzimy do lokalizacji: C:\System Volume Information_restore{833884EB-BC7B-42B3-8E66-1EA709E558E6}\RP7 i kasujemy znajdujący się tam plik A0005350.exe. UWAGI: Jeśli podczas wchodzenia do folderu System Volume Information naszym oczom okaże się komunikat Odmowa dostępu, to musimy poczytać na temat przejmowania na własność pliku lub folderu. W przypadku system Windows XP opis jest dostępny tutaj: http://support.microsoft.com/default.aspx?scid=kb;pl;308421 Ewentualnie możemy wykonać tylko punkt pierwszy z tego opisu, a następnie przeskanować jakimś skanerem i jeśli zostaną wykryte zainfekowane pliki, to opcja w stylu Usuń w nim powinna sobie w zupełności poradzić. Oczywiście po usuwaniu szkodników możemy włączyć przywracanie systemu jeśli korzystamy z tej funkcji.
nie wiem co jest grane ale podczas otwarcia Silent Runners otwiera się notatnik z takim oto m.in. komunikatem
'Silent Runners.vbs – find out what programs start up with Windows! ’ 'DO NOT REMOVE THIS HEADER! ’ 'Copyright Andrew ARONOFF 07 October 2005, http://www.silentrunners.org/ 'This script is provided without any warranty, either expressed or implied 'It may not be copied or distributed without permission ’ '** YOU RUN THIS SCRIPT AT YOUR OWN RISK! ** 'HEADER ENDS HERE
poza tym dziwne jest że tylko Spybot wskazuje wpis
Smitfraud-C.Toolbar888 C:\WINDOWS\system32\unsvchosts.Izma
jako szkodliwy, natomiast AVG-AntiSpyware i a-squared Free nic niepokojącego nie wskazują. Ostanim czasem miałem podobny problem z tym szkodnikem i został definitywnie usunięty natomiast dzisiaj znowu powrócił
exJuno
5 Styczeń 2007 22:13
#4
Po ściągnięciu czy przed?
Bo jak przed to klikasz prawym przyciskiem na HyperLink do pobrania i wybierasz Zapisz Jako…
exJuno nie rozumiem o co pytasz, możesz jaśniej
Joan
5 Styczeń 2007 23:19
#6
Użyj SmitFraudFix z opcji 2 w trybie awaryjnym, wklej raport.
O problemach z Silentem poczytaj tutaj -> KLIK
przepraszam że tak długo nie odpisywałem ale nie mogłem
po pierwsze w dalszym ciagu nie mogę użyć Silent Runners pomimo tego że zrobiłem wszystko co wskazała Joan
po drugie podczas użycia narzędzia SmitFraudFix po naciśnięciu dowolnego klawisza później nic się już nie dzieje, nie wiem co robić
adam9870
6 Styczeń 2007 13:25
#8
Czy przypadkiem antywirus nie blokuje Ci SmitFraudFix? Spróbuj go wyłączyć na czas czyszczenia.
Jeśli nie będziesz mógł uruchomić w dalszym ciągu silenta to wrzuć log z ComboFix’a
Rowan Atkinson - 07-01-06 14:46:30,76 Dodatek Service Pack 2
Gutek
7 Styczeń 2007 00:38
#10
Jest Ok log, silver35 twój OT kosz
Ok klaustrofobian zobacz - http://www.spywareremove.com/removeToolbar888.html
