Arizona
(Arizona)
27 Grudzień 2006 00:50
#1
Objawy jak w temacie…a co do gg to ja moge odczytywac wiadomosci, ale inni nie otrzymuja wiadomosci ode mnie…
oto log:
Logfile of HijackThis v1.99.1 Scan saved at 01:52:48, on 2006-12-27 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\wscntfy.exe D:\programy\Gadu-Gadu\gg.exe C:\Documents and Settings\ALL\Pulpit\ArcaMicroScan\ArcaMicroScan.exe C:\Program Files\Mozilla Firefox\firefox.exe E:\instalki\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.start24.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programy\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM…\RunServices: [˙_zskdk]bah^ibfmvi[lyniwmdksz_] c:\windows\system32_zskdmwinyl[ivmfbi^hab]kd.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {9242BB35-0DB0-43AC-8DFC-8EA07E63B92A} - http://bismark.extracon.it/mirrorcoolst … Beta02.exe O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - http://skaner.mks.com.pl/SkanerOnline.cab
Gutek
(Gutek)
27 Grudzień 2006 01:39
#2
wpisy usuń HJT po raz n-ty masz kłopt z plikiem - _zskdmwinyl[ivmfbi^hab]kd.exe
Ściągnij program Gmer>>>uruchom>>>przejdź do zakładki rootkit>>>wybierz szukaj>>>czekaż aż program zakończy pracę>>> i klikasz kopiuj>>>ctrl + v i wklej do posta.
Arizona
(Arizona)
27 Grudzień 2006 12:01
#3
Wpisy usuniete :
Logfile of HijackThis v1.99.1 Scan saved at 13:02:58, on 2006-12-27 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\programy\Gadu-Gadu\gg.exe C:\WINDOWS\system32\wuauclt.exe E:\instalki\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.start24.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programy\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM…\RunServices: [˙_zskdk]bah^ibfmvi[lyniwmdksz_] c:\windows\system32_zskdmwinyl[ivmfbi^hab]kd.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {9242BB35-0DB0-43AC-8DFC-8EA07E63B92A} - http://bismark.extracon.it/mirrorcoolst … Beta02.exe O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - http://skaner.mks.com.pl/SkanerOnline.cab
Jak mozna zauwazyc te wpis
nadal jest (schodzilem ze awaryjnego z wylaczonym przywracaniem sysyemu)
A oto log z Gmera
adam9870
(adam9870)
27 Grudzień 2006 12:08
#4
W Gmerze:
W zakładce Procesy kliknij Zabij wszystko
Kliknij Pliki i skasuj następujący plik:
c:\windows\system32* * _zskdmwinyl[ivmfbi^hab]kd.exe**
Przez … (trzy kropki) wskaż hijacka i usuń wpis:
Restart i pokaż nowe logi:
Gmer na opcjach:
Zakładka Rootkit >>> Zaznaczone wszystko oprócz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy
Zakładka Rootkit >>> Zaznaczone tylko Usługi oraz Pokaż wszystko >>> kliknij Szukaj >>> Czekaj cierpliwie aż skończy
Silent.
Arizona
(Arizona)
27 Grudzień 2006 18:34
#5
Zrobilem tak jak napisales, ale
taki plik u mnie nie istnieje (domniemam, ze to po prostu pozostalosc po tym jak mialem ten syf…ale fizycznie nie ma go w tym katalogu wiec nie raczej nie istnieje)
Logi:
Uslugi:
calosc :
adam9870
(adam9870)
27 Grudzień 2006 19:04
#6
Syfu nie widać.
Wklej jeszcze kontrolne logi z hijacka i silenta.
adam9870
(adam9870)
27 Grudzień 2006 19:27
#8
Usuń w hjt i pokaż nowy log z hijacka.
Arizona
(Arizona)
27 Grudzień 2006 21:01
#9
OK, teraz dla odmiany przy normalnym uruchomieniu kompa usunalem ten wpis, ale nadal siedzi…czy to normalne ? ;>
Logfile of HijackThis v1.99.1 Scan saved at 22:04:20, on 2006-12-27 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe E:\instalki\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.start24.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programy\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM…\RunServices: [˙_zskdk]bah^ibfmvi[lyniwmdksz_] c:\windows\system32_zskdmwinyl[ivmfbi^hab]kd.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {9242BB35-0DB0-43AC-8DFC-8EA07E63B92A} - http://bismark.extracon.it/mirrorcoolst … Beta02.exe O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - http://skaner.mks.com.pl/SkanerOnline.cab
Bieniol
(Bbieniol)
27 Grudzień 2006 21:04
#10
Uruchamiasz narzędzie KillBox , zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:
c:\windows\system32_zskdmwinyl[ivmfbi^hab]kd.exe
Klikasz X i restart kompa
Usuwasz wpis:
Dajesz nowe logi
Arizona
(Arizona)
27 Grudzień 2006 21:30
#11
Jak wklejam ta sciezke do pliku w KillBoxie to mi nic nie wyswietla - wniosek ? tego pliku nie ma - pytanie - czemu wpis caly czas pozostaje ??
Dwa pozostale wpisy ciachniete:
oto log
Logfile of HijackThis v1.99.1 Scan saved at 22:31:34, on 2006-12-27 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe E:\instalki\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.start24.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programy\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM…\RunServices: [˙_zskdk]bah^ibfmvi[lyniwmdksz_] c:\windows\system32_zskdmwinyl[ivmfbi^hab]kd.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {9242BB35-0DB0-43AC-8DFC-8EA07E63B92A} - http://bismark.extracon.it/mirrorcoolst … Beta02.exe O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - http://skaner.mks.com.pl/SkanerOnline.cab
Bieniol
(Bbieniol)
27 Grudzień 2006 21:32
#12
Pobierz i uruchom narzędzie The Avenger . Zaznacz opcję Input script manually i kliknij na Lupkę z prawej strony. W okienku, które się otworzy wklejasz:
Klikasz Done , a następnie zielone światełko i zgadzasz się na restart klikając OK .
Kasujesz ręcznie z dysku plik: C:\Avenger\ backup.zip i wklejasz na forum raport: C:\ avenger.txt
Arizona
(Arizona)
28 Grudzień 2006 02:24
#13
Raport sam mi sie pojawil po wykonaniu restartu:
Logfile of The Avenger version 1, by Swandog46 Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\qajaurqh ******************* Script file located at: ??\C:\Program Files\bewgvokg.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File c:\windows\system32_zskdmwinyl[ivmfbi^hab]kd.exe not found! Deletion of file c:\windows\system32_zskdmwinyl[ivmfbi^hab]kd.exe failed! Could not process line: c:\windows\system32_zskdmwinyl[ivmfbi^hab]kd.exe Status: 0xc0000034 Completed script processing. ******************* Finished! Terminate.
Bieniol
(Bbieniol)
28 Grudzień 2006 08:18
#14
Po przetłumaczeniu: Pliku nie znaleziono…
Czy nadal jest w Hijacku?
Arizona
(Arizona)
28 Grudzień 2006 10:38
#15
Nadal jest…dziwne…zastanawiam sie co moge robic zle…ze ten wpis nadal siedzi ;/
Logfile of HijackThis v1.99.1 Scan saved at 11:41:23, on 2006-12-28 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe C:\WINDOWS\system32\wscntfy.exe D:\programy\Gadu-Gadu\gg.exe C:\Program Files\Mozilla Firefox\firefox.exe E:\instalki\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.start24.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programy\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM…\RunServices: [˙_zskdk]bah^ibfmvi[lyniwmdksz_] c:\windows\system32_zskdmwinyl[ivmfbi^hab]kd.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {9242BB35-0DB0-43AC-8DFC-8EA07E63B92A} - http://bismark.extracon.it/mirrorcoolst … Beta02.exe O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - http://skaner.mks.com.pl/SkanerOnline.cab
adam9870
(adam9870)
28 Grudzień 2006 10:44
#16
Start => uruchom => wpisz regedit i kliknij ok => przejdź do klucza:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
i sprawdź czy znajduje się tam wartość ˙_zskdk]bah^ibfmvi[lyniwmdksz_ , a jeśli tak to usuń ją z prawokliku.
Arizona
(Arizona)
28 Grudzień 2006 11:17
#17
Takowa wartosc znajdowala sie tam, oczywiscie usunalem ja.
Jak widac, niechcianej pozycji nie ma, wiec domniemam, ze wszystko ok
Oto log:
Logfile of HijackThis v1.99.1 Scan saved at 12:18:23, on 2006-12-28 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe D:\programy\Gadu-Gadu\gg.exe E:\instalki\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.start24.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programy\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {9242BB35-0DB0-43AC-8DFC-8EA07E63B92A} - http://bismark.extracon.it/mirrorcoolst … Beta02.exe O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - http://skaner.mks.com.pl/SkanerOnline.cab
Mam jeszcze takie pytanko…otoz jak wchodze w zaklade autorun to mam tylko odchaczone ze ma sie uruchamiac drukarka wraz z systemem…moge ja wylaczyc ? ;>
adam9870
(adam9870)
28 Grudzień 2006 11:23
#18
Już jest ok.
Przejrzyj "ZBĘDNIKI " w autostarcie. .
BTW. Czy Ty nie masz żadnych programów zabezpieczających, bo w logu nie widać? Jeśli rzeczywiście tak jest to koniecznie jakiś zainstaluj:
http://forum.dobreprogramy.pl/viewtopic.php?t=60116
Arizona
(Arizona)
28 Grudzień 2006 13:37
#19
Juz mam zainstalowalem NOD’a…(zwlekalem z tym bo na tym komputerze zamieszczony jest modul 128 pamieci sdram - tylko ;-p )
A co do autorun’a to tam jest tylko ta drukarka…nie powinna byc wlaczona jakas windowsowska pozycja ? ;> bo to troche dziwne ze nic tam nie ma
adam9870
(adam9870)
28 Grudzień 2006 14:00
#20
Jak zapewne zauważyłeś zlinkowanym przeze mnie w temacie o zbędnikach w autostarcie to pozycje w autostarcie można ograniczyć naprawdę minimum.
W autostarcie powinien być koniecznie program zabezpieczający (np. antyvirus) oraz sterowniki do karty graficznej jeśli tego wymagają.