Spyware.Cyberlog-X

Zacharek · 29 Czerwiec 2008 12:51

Logfile of HijackThis v1.99.1 Scan saved at 13:49:05, on 2008-06-29 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\dllcachex.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\WINDOWS\portsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\dwwin.exe C:\Program Files\Netscape\Navigator 9\navigator.exe C:\Documents and Settings\Marek\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\system32\spywarewarning.mht R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [egui] “C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” /hide /waitservice O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [iEUpdate] C:\WINDOWS\system32\dllcachex.exe O4 - HKLM…\RunServices: [iEUpdate] C:\WINDOWS\system32\dllcachex.exe O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU…\Run: [iEUpdate] C:\WINDOWS\system32\dllcachex.exe O4 - HKCU…\RunServices: [iEUpdate] C:\WINDOWS\system32\dllcachex.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/s … DEXAXO.cab O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: MsSecurity Updated (MsSecurity1.209.4) - Unknown owner - C:\WINDOWS\444.471.exe (file missing) O23 - Service: Plug and Play (RPC) (PlugPlayRPC) - Unknown owner - C:\WINDOWS\portsv.exe

Jestem świeżym użyszkodnikiem kompa więc prosze o naprawdę łopatologiczne tłumaczenie lub linki do miejsc, gdzie mógłbym sobie doczytać i doszkolić się…

Mam nadzieję, że dobrze wkleiłem loga HijackThis.

To wersja 1.99.1 bo innej wersji nie mogę ściągnąć- pojawia się komunikat o zamknięciu połączenia z serwerem. Skaner MKS-online, Ad-aware 2008 i NOD 32 nie znalazły niczego złego, oprócz tego, co wiem że jest i nie chcę usuwać

Objawy:

Pojawia się okienko informujące mnie o pojawieniu się krytycznego zagrożenia systemu w postaci Spyware.Cyberlog-X. IE ma zmienioną stronę startową na teoretycznie Windowsowskie ostrzeżenie o spyware. Nie znalazłem linku na pulpicie do Ad-aware2007, który na 10000% tam był, zainstalowałem Ad-aware 2008

Pozdrawiam i proszę o pomoc

huber2t · 29 Czerwiec 2008 13:07

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\dllcachex.exe

C:\WINDOWS\444.471.exe


Driver::

MsSecurity Updated

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

Zacharek · 29 Czerwiec 2008 13:26

Niestety- ComboFix’a najpierw w ogóle nie mogłem ściągnąć- pojawiał się komunikat “The connection to the server was reset while the page was loading.” Udało mi się go ściągnąć ze strony http://www.downloadnow.pl/d75_ComboFix.html , utworzyłem CFScript.txt i nasunąłem go na ikonkę ComboFix’a ale ten nie zadziałał a przynajmniej na to wygląda

Jakieś sugestie? POmysły? Co robić?

huber2t · 30 Czerwiec 2008 03:19

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\dllcachex.exe

C:\WINDOWS\444.471.exe


Drivers to delete:

MsSecurity Updated

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Zacharek · 1 Lipiec 2008 07:00

Mój brat zajął się wczoraj tym cyberlogiem i w jakiś sposób go wywalił ale dziękuję Forumowiczom za pomoc!

W dniu 01.07.2008 , o godzinie 9:00 został dopisany post przez Zacharek

Log z HijackThis

http://www.wklejto.pl/4542

Pozbyliśmy się Cyberloga, ale oprócz niego było coś jeszcze- gdy w IE kliknąłem na linka z wyników wyszukiwania Google’a to wyskakiwały strony m. in. fajnegiery.pl i temu podobne. Inne linki otwierał poprawnie a inne przeglądarki bez problemu otwierały linki z Google’a.

Tego syfu też już nie ma ale nadal ale nadal mamy coś w kompie- antywirusy niczego nie widzą ale nie odpala mi się Opera pomimo wywalenia jej i zainstalowania od nowa. Czy ktoś wie co może powodować taką blokadę?

huber2t · 1 Lipiec 2008 07:27

Podaj log z pliku main.txt z Deckard’s System Scanner

Zacharek · 2 Lipiec 2008 07:47

Niestety- nie mogę pobrać tego pliku z żadnej strony WWW- wejście na jakąkolwiek stronkę z plikiem jest blokowane przez jakiegoś syfa. Może mailem? Podałbym swój adres w PW…

huber2t · 2 Lipiec 2008 07:49

Podaj swój email wyśle ci

fairyqueen · 2 Lipiec 2008 21:04

Nie chcę Cię martwić, miałam to samo. Skany usunęły szytsko, problemy z przeglądarką takie same były; nawet w którymś momencie ustały, ale szybko komputer się całkowicie zawiesił. No i ciągłe alerty, ze mam cyberloga.

Dysk trzeba bylo sformatowac.

Zgrywaj, co sie da z danych , póki jeszcze można…

Zacharek · 3 Lipiec 2008 07:19

http://www.wklejto.pl/4750 log z DSS’a.

Fairyqueen- u mnie na szczęście komunikaty o Cyberlogu zniknęły- mój brat się nim zajął na samym początku.

huber2t · 3 Lipiec 2008 08:51

Pobierz The Avenger

wklej do niego ten tekst:

Registry Keys to delete:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}


Folders to delete:

C:\FOUND.000

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Zacharek · 3 Lipiec 2008 17:46

http://www.wklejto.pl/4805 log z Avengera

Niestety, w IE nadal nie otwierają się prawidłowe strony gdy klikam wyniki wyszukiwania Google’a

Gutek · 3 Lipiec 2008 19:34

Przeskanuj http://www.freedrweb.com/ i wklej log

Zacharek · 3 Lipiec 2008 19:52

Nie pozwala mi wejść na tę stronkę

Gutek · 3 Lipiec 2008 19:53

A w IE działa http://www.kaspersky.pl/virusscanner.html

Zacharek · 4 Lipiec 2008 15:10

Nie, nie działa- na stronkę wejść mogę ale nie mogę pobrać pliku master.xml pomimo, że mam konto administratora. Skaner działa tylko pod IE. Ale za to już nie mam kłopotu z linkami z Google’a- DZIĘKI