Splus.dll,Regrun Partizan, Gmail Notifier, Helper.dll


(Czarekplpl) #1

Witam.

Kłoptów co nie miara.

Mam 2 kompy. Na jednym nazwijmy go "A'

Przy starcie Xp pojawia mi się przez kilka sekund niebieski ekran i napis : Regrun Partizan Anirootkit boot wanth Boot Wath Greatis Software ( nie wiem skad sie to wzięło, byc może zainstalowałem jakiegoś "darmowego spyware".

Jak już sie odpali XP to mam komunikat "Error loading C:\Progra~1\TENCENT\SSPlus\SPlus.dll". Uruchomienie SmitFraudFix nie pomogło. Log z Combofixa http://www.wklej.org/id/493566e7d0.

Do tego jeszcze mam podmieniony domyślny adres Gmail Notifier na http://%1%20"http://mail.google.com/mail/" tej strony oczywiscie nie ma wiec postawowa funkcja Notifiera mi nie dziala :frowning:

Komp nazwijmy go "B"

Po starcie Xp pojawia się komunikat "Error loading C:\Program files\3271\helper.dll" i to jest na 99% chiński rootkit bo tam mieszkam.

Załączam logi z Combofixa,Gmera i Gmiera tylko usługi:

http://www.wklej.org/id/d388db3bad

http://www.wklej.org/id/773b4badae

http://www.wklej.org/id/e335986c94

Czarek


(Gutek) #2

Do pierwszego komputera, zrobiłęs co prosiłem w teamcie - viewtopic.php?f=16&t=228925:

W drugim komputerze:

Wklej do Notatnika:

File::

C:\WINDOWS\system32\drivers\kfkikc.sys


Folder::

C:\PROGRA~1\WinKld

C:\Program files\3271


Registry::

[-HKEY_CLASSES_ROOT\clsid\{7febefe3-6b19-4349-98d2-ffb09d4b49ca}] 

[-HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar.1] 

[-HKEY_CLASSES_ROOT\CoIEPlg.CoToolbar]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"wallpaper"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 

"SysTime"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Czarekplpl) #3

Witam.

Jeśli chodzi o pierwszy komputer "Error loading C:\Progra~1\TENCENT\SSPlus\SPlus.dll" i podmieniona strona w Google Notifier,Regrun Partizan Anirootkit boot wanth Boot Wath Greatis Software) uruchomienie SmitFraudFix nie pomogło. Log z Combofixa http://www.wklej.org/id/493566e7d0.

Natomiast drugi komputer wygląda na naprawiony. Nie pojawia się komunitat o blędzie. Dzęki za pomoc.

Log z Combofixa: http://www.wklej.org/id/810a8920b7

Pozdrawiam

Czarek


(Gutek) #4

Pierwszy log

Wklej do Notatnika:

File::

C:\WINDOWS\juskwrap.dll 

C:\WINDOWS\juikwrap.dll


Folder::

C:\Progra~1\TENCENT


Driver::

abigacde

.NETSecurity

WinWLServiceNow

WinWMServiceNow



Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"bgswitch"=-

"stup.exe"=- 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 

"uwfdxes7gbtr8"=-

"xi"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] 

"FlashPlayerUpdate"=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] 

"{05397E9D-30D1-4216-AACB-F9EA1F1E4E85}"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Czarekplpl) #5

Witam.

Zrobiłem to co pisałeś. I częściowo pomogło. Nie ma już komunikatu o błędzie "Error loading C:\Progra~1\TENCENT\SSPlus\SPlus.dll".

Natomiast pozostały 2 problemy.

1.Przy starcie Xp pojawia mi się przez kilka sekund niebieski ekran i napis : Regrun Partizan Anirootkit boot wath Boot Wath Greatis Software - nie wiem co to jest i skad sie wzieło.

2.Mam podmieniony domyślny adres Gmail Notifier na http://%1%20"http://mail.google.com/mail/" tej strony oczywiscie nie ma wiec postawowa funkcja Notifiera mi nie dziala i nie mam pojęcia gdzie to można zmienić.

Loz z Combo: http://www.wklej.org/id/b40d39c160

Nic nie odpisałeś na temat drugiego kompa więc rozumiem, że jest czysty????

Czarek.


(Gutek) #6

Wklej do Notatnika:

File::

C:\WINDOWS\system32\nwizwmsjs.exe 

C:\WINDOWS\system32\nwizqjsj.exe


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{79702107-A10D-11cf-64CD-51FF5FE1CF41}] 

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{AA312103-F04D-11cf-64CD-11EF5011CF20}]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Czarekplpl) #7

Niestety ostatnia operacja nie pomogła. Te 2 problemy dalej są.

Proszę jeszcze raz o pomoc.

Log z Combofixa: http://www.wklej.org/id/4698e9e112

Czarek


(Gutek) #8

Wklej do Notatnika:

File::

C:\Program Files\ad261.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Czarekplpl) #9

Witam.

Zrobilem to co pisałeś ( w trybie awaryjnym) i niestety nie pomogło. Dalej 2 te same problemy nie ustąpiły.

Oprócz tych dwóch problemow zauważyłem jeszcze, że nie moge się zalogować do strony banku. Zawsze zostaje mi kilka elementów graficznych niezaładowanych ( czerwony X w kwadraciku :slight_smile: ) i pojawia się komunikat, że nie wszystkie elementy tej strony są bezpieczne, czy chce kontynuować. Czasem nie ładuje tej strony wcale - Strona nie może być załadowana "The page cannot be displayed". Na pewno to nie jest problem serwisu bankowego, bo moge się logować z drugiego kompa bez problemu.

Załączam log: http://wklej.org/id/903574cc1c

Czarek


(quantumrush) #11

http://www.greatis.com/security/Partizan.htm
http://greatis.com/unhackme/detail.htm

//Edit
Spróbuj tego to jest darmowa wersja programu RegRun Security Suite http://greatis.com/security/reanimator.html zrób raport i spróbuj wysłać - nie jesteś zarejestrowanym użytkownikiem i nie wiem czy przyjmią log. Utwórz nowy bilet http://www.greatissoftware.com/eticket/ załącz log zrobiony Reanimatorem i spróbuj wysłać. Otrzymasz email z odpowiednimi wskazówkami. Za pomocą Reanimatora możesz odinstalować Partizana.


(Acorus) #12

Czekał 9 lat i się doczekał.