Trojan spooner i dziwny blad "sa.dll". jak usunac?


(system) #1

Mam problem, duzy problem. Po pierwsze nie moge usunac tojana Spooner.A, wykrywany jest jedynie przez SpySweeper (antyszpieg). Usuwa go on niby z systemu ale to tylko pozory. Po drugie (wydaje mi sie ze zwiazane z pierwszym problemem), nie moge poradzic sobie z wyskakujacym bledem "C:/documents and settings/profil/ustawienia lokalne/temp/sa.dll,dllInstal - blad wyjatku". O co w tym chodzi? Przeskanowalem system wszystkimi antyszpiegami jakie tylko znalazlem, podobna iloscia antyvirusow i czyscicielow rejestru. W 'regedit' wywalilem wszystkie wpisy ktore odnosily sie do pliku sa.dll, ale nie pomoglo. Nawet po usunieciu tego pliku z katalogu temp, w momencie uruchomienia np. IE albo Mojego komputera, blad ponownie wyskakuje a plik pojawia sie w tempie na nowo. Nic nie pomaga. Poza tym plik ten sa.dll wpisany jest do autostartu, skad takze nie mozna go zadnymi sposobami usunac... Jak sobie z tym poradzic?

P.S. Nie wiem czy to ma zwiazek, ale w systemie caly czas siedzi jakis robak ktory zmienia strone glowna na http://www.search.com. Nie mozna go usunac zadnym antyszpiegiem. Po skanowaniu systemu i usunieciu wszystkich wykrytych szpiegow strona glowna wciaz ustawiona jest na http://www.search.com.

THX za pomoc!


(boczi) #2

Rada na przyszłość: Nie użuwaj sterego, zakurzonego IE. Używaj TEGO. Przez IE masz te syfy.

Podaj nam też loga z programu Hijackthis, pomyślimy. http://forum.dobreprogramy.pl/viewtopic.php?t=19174


(system) #3

za chwile podam Ci ten log (jest to log mojego kumpla ktory jest laikiem w tych sprawach wiec ja sie tym zajalem :]), a puki co moglbys sprawdzic mojego?

Logfile of HijackThis v1.99.1

Scan saved at 18:17:34, on 2005-03-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

d:\Programy\CPUCooL\CooLSrv.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

D:\programy\GetRight\GETRIGHT.EXE

D:\programy\GetRight\GETRIGHT.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\programy\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\programy\Wincmd\TOTALCMD.EXE

D:\programy\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programy\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Programy\RivaTuner\RivaTuner.exe" /S

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\programy\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Shell API32] svcnet.exe

O4 - HKCU\..\Run: [Komunikator] D:\programy\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [eMuleAutoStart] D:\programy\eMule\emule.exe -AutoStart

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\programy\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: Download with GetRight - D:\programy\GetRight\GRdownload.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - D:\programy\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://67.15.101.3/g_bin/eng/cards_2_0_0_52.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O16 - DPF: {5F874A6F-8B34-433D-BA4B-47AC91C0567F} (MailCfg Control) - https://poczta.wp.pl/autoryzacja/mailcfg2.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093193263911

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - https://www.gamespyid.com/alaunch.cab

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} - http://67.15.101.2/g_bin/eng/poker_2_0_0_30.cab

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab

O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsite/4523/defaults/activex/ImageUploader3.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_21.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_21.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0D154311-7205-428E-96DC-221E8A84F8EA}: NameServer = 194.204.152.34,194.204.159.1,212.191.132.126,

O17 - HKLM\System\CS1\Services\Tcpip\..\{0D154311-7205-428E-96DC-221E8A84F8EA}: NameServer = 194.204.152.34,194.204.159.1,

O17 - HKLM\System\CS2\Services\Tcpip\..\{0D154311-7205-428E-96DC-221E8A84F8EA}: NameServer = 194.204.152.34,194.204.159.1

O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - d:\Programy\CPUCooL\CooLSrv.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

(boczi) #4

Ogólnie czysty.

Kosmetycznie usuń:

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKCU\..\Run: [Shell API32] svcnet.exe

O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - https://www.gamespyid.com/alaunch.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

No i firewalla nie masz.


(system) #5

Jak usuna ten wpis z java to nie bede mogl korzystac z zadnych aplikacji i stron www korzystajacych z javy? I jak usuwac te wpisy? Normalnie z poziomu XP w tym programie HijackThis czy jest jakis specjalny sposob na usuwanie?

Firewalla nie uzywam bo mam jakies takie wewnetrzne przekonanie, ze troche "blokuja" wolnosc internauty i odzywaja sie wtedy kiedy nie trzeba, oraz przeszkadzaja troche w surfowaniu i ogolnym uzywaniu internetu... mam racje? Jesli to wyprowadz mnie z bledu :slight_smile: THX

P.S. Za chwile podam log kumpla...


(boczi) #6

Oczywiście. Wszystko będzie działać. Ten wpis to zbędny updater javy w autostarcie. Tak często aktualizacje nie wychodzą, można wyłączyć.

Firewall nie blokuje Twojej wolności. Warto zainstalować, np. Kerio Personal Firewall. Darmowy, tworzysz automatycznie reguły, żadnych szkód, tylko pożytki.


(system) #7

OK. Dzieki za dotychczasowa pomoc! Powiedz mi jeszcze jak usuwac te wpisy? Z poziomu windowsa XP w tym programie czy jest jakis specjalny sposob?

A teraz to o czym pisalem od samego poczatku i glowny problemodawca.

Oto log z kompa kolegi... domyslam sie ze porzadnie zawalony i troche trzeba bedzie przy nim posiedziec, ale szczerze bede bardzo wdzieczny!

Logfile of HijackThis v1.99.1

Scan saved at 18:42:47, on 2004-03-06

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

D:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Documents and Settings\Mlody\Pulpit\Nowy folder\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Mlody\USTAWI~1\Temp\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Mlody\USTAWI~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O1 - Hosts: 127.0.0.3 www.greg-tut.com

O1 - Hosts: 127.0.0.3 nylonsexy.com

O1 - Hosts: 127.0.0.3 www.nylonsexy.com

O1 - Hosts: 127.0.0.3 vparivalka.com

O1 - Hosts: 127.0.0.3 www.vparivalka.comtoescrowpay.com

O1 - Hosts: 127.0.0.3 www.awmdabest.com

O1 - Hosts: 127.0.0.3 www.sexfiles.nu

O1 - Hosts: 127.0.0.3 awmdabest.com

O1 - Hosts: 127.0.0.3 sexfiles.nu

O1 - Hosts: 127.0.0.3 allforadult.com

O1 - Hosts: 127.0.0.3 www.allforadult.com

O1 - Hosts: 127.0.0.3 www.iframe.biz

O1 - Hosts: 127.0.0.3 iframe.biz

O1 - Hosts: 127.0.0.3 www.newiframe.biz

O1 - Hosts: 127.0.0.3 newiframe.biz

O1 - Hosts: 127.0.0.3 www.vesbiz.biz

O1 - Hosts: 127.0.0.3 vesbiz.biz

O1 - Hosts: 127.0.0.3 www.pizdato.biz

O1 - Hosts: 127.0.0.3 pizdato.biz

O1 - Hosts: 127.0.0.3 www.aaasexypics.com

O1 - Hosts: 127.0.0.3 aaasexypics.com

O1 - Hosts: 127.0.0.3 www.virgin-tgp.net

O1 - Hosts: 127.0.0.3 virgin-tgp.net

O1 - Hosts: 127.0.0.3 www.awmcash.biz

O1 - Hosts: 127.0.0.3 awmcash.biz

O1 - Hosts: 127.0.0.3 buldog-stats.com

O1 - Hosts: 127.0.0.3 www.buldog-stats.com

O1 - Hosts: 127.0.0.3 fregat.drocherway.com

O1 - Hosts: 127.0.0.3 slutmania.biz

O1 - Hosts: 127.0.0.3 www.slutmania.biz

O1 - Hosts: 127.0.0.3 toolbarpartner.com

O1 - Hosts: 127.0.0.3 www.toolbarpartner.com

O1 - Hosts: 127.0.0.3 www.megapornix.com

O1 - Hosts: 127.0.0.3 megapornix.com

O1 - Hosts: 127.0.0.3 www.sp2fucked.biz

O1 - Hosts: 127.0.0.3 sp2fucked.biz

O1 - Hosts: 127.0.0.3 greg-tut.com

O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt

O2 - BHO: (no name) - {19831ED4-9312-41C0-A7C6-4E3C7C8BA928} - C:\WINDOWS\System32\knmk.dll

O2 - BHO: (no name) - {FF9D720B-CEB7-914E-BA8F-E69B1ED96ECD} - C:\WINDOWS\System32\zqz.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Mlody\USTAWI~1\Temp\se.dll,DllInstall

O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe

O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 213.159.117.202

O17 - HKLM\System\CCS\Services\Tcpip\..\{6C4CA019-8538-4679-8F7A-27EBCA03E76C}: NameServer = 194.204.152.34,194.204.159.1

O18 - Filter: text/html - {EF2CD820-59F1-461B-8C24-55F8116000DC} - C:\WINDOWS\System32\knmk.dll

O18 - Filter: text/plain - {EF2CD820-59F1-461B-8C24-55F8116000DC} - C:\WINDOWS\System32\knmk.dll

O20 - AppInit_DLLs: w8c6s4xcm66s.dll

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

(Qbek50) #8

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Mlody\USTAWI~1\Temp\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Mlody\USTAWI~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O1 - Hosts: 127.0.0.3 http://www.greg-tut.com

O1 - Hosts: 127.0.0.3 nylonsexy.com

O1 - Hosts: 127.0.0.3 http://www.nylonsexy.com

O1 - Hosts: 127.0.0.3 vparivalka.com

O1 - Hosts: 127.0.0.3 http://www.vparivalka.comtoescrowpay.com

O1 - Hosts: 127.0.0.3 http://www.awmdabest.com

O1 - Hosts: 127.0.0.3 http://www.sexfiles.nu

O1 - Hosts: 127.0.0.3 awmdabest.com

O1 - Hosts: 127.0.0.3 sexfiles.nu

O1 - Hosts: 127.0.0.3 allforadult.com

O1 - Hosts: 127.0.0.3 http://www.allforadult.com

O1 - Hosts: 127.0.0.3 http://www.iframe.biz

O1 - Hosts: 127.0.0.3 iframe.biz

O1 - Hosts: 127.0.0.3 http://www.newiframe.biz

O1 - Hosts: 127.0.0.3 newiframe.biz

O1 - Hosts: 127.0.0.3 http://www.vesbiz.biz

O1 - Hosts: 127.0.0.3 vesbiz.biz

O1 - Hosts: 127.0.0.3 http://www.pizdato.biz

O1 - Hosts: 127.0.0.3 pizdato.biz

O1 - Hosts: 127.0.0.3 http://www.aaasexypics.com

O1 - Hosts: 127.0.0.3 aaasexypics.com

O1 - Hosts: 127.0.0.3 http://www.virgin-tgp.net

O1 - Hosts: 127.0.0.3 virgin-tgp.net

O1 - Hosts: 127.0.0.3 http://www.awmcash.biz

O1 - Hosts: 127.0.0.3 awmcash.biz

O1 - Hosts: 127.0.0.3 buldog-stats.com

O1 - Hosts: 127.0.0.3 http://www.buldog-stats.com

O1 - Hosts: 127.0.0.3 fregat.drocherway.com

O1 - Hosts: 127.0.0.3 slutmania.biz

O1 - Hosts: 127.0.0.3 http://www.slutmania.biz

O1 - Hosts: 127.0.0.3 toolbarpartner.com

O1 - Hosts: 127.0.0.3 http://www.toolbarpartner.com

O1 - Hosts: 127.0.0.3 http://www.megapornix.com

O1 - Hosts: 127.0.0.3 megapornix.com

O1 - Hosts: 127.0.0.3 http://www.sp2fucked.biz

O1 - Hosts: 127.0.0.3 sp2fucked.biz

O1 - Hosts: 127.0.0.3 greg-tut.com


(boczi) #9

Najlepiej usuwać je w trybie awaryjnym [F8] bez obsługi sieci w programie HijacktThis. Zaznaczasz wybrane i klikasz Fix. Tryb awaryjny włącza się tak:

I taką metodą będziesz próbował usunąć wpisy, które Ci podam. Jeszcze przed tym, zrób skan programem CWShredder. Może coś wykryje. Następnie robisz to: (wyłączasz przywracanie systemu)

No i startujesz do awaryjnego.

Kasujesz:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Mlody\USTAWI~1\Temp\se.dll/sp.html

   	R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

   	R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Mlody\USTAWI~1\Temp\se.dll/sp.html

   	R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

   	R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

   	R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

   	R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O1 - Hosts: 127.0.0.3 www.greg-tut.com

O1 - Hosts: 127.0.0.3 nylonsexy.com

O1 - Hosts: 127.0.0.3 www.nylonsexy.com

O1 - Hosts: 127.0.0.3 vparivalka.com

O1 - Hosts: 127.0.0.3 www.vparivalka.comtoescrowpay.com

O1 - Hosts: 127.0.0.3 www.awmdabest.com

O1 - Hosts: 127.0.0.3 www.sexfiles.nu

O1 - Hosts: 127.0.0.3 awmdabest.com

O1 - Hosts: 127.0.0.3 sexfiles.nu

O1 - Hosts: 127.0.0.3 allforadult.com

O1 - Hosts: 127.0.0.3 www.allforadult.com

O1 - Hosts: 127.0.0.3 www.iframe.biz

O1 - Hosts: 127.0.0.3 iframe.biz

O1 - Hosts: 127.0.0.3 www.newiframe.biz

O1 - Hosts: 127.0.0.3 newiframe.biz

O1 - Hosts: 127.0.0.3 www.vesbiz.biz

O1 - Hosts: 127.0.0.3 vesbiz.biz

O1 - Hosts: 127.0.0.3 www.pizdato.biz

O1 - Hosts: 127.0.0.3 pizdato.biz

O1 - Hosts: 127.0.0.3 www.aaasexypics.com

O1 - Hosts: 127.0.0.3 aaasexypics.com

O1 - Hosts: 127.0.0.3 www.virgin-tgp.net

O1 - Hosts: 127.0.0.3 virgin-tgp.net

O1 - Hosts: 127.0.0.3 www.awmcash.biz

O1 - Hosts: 127.0.0.3 awmcash.biz

O1 - Hosts: 127.0.0.3 buldog-stats.com

O1 - Hosts: 127.0.0.3 www.buldog-stats.com

O1 - Hosts: 127.0.0.3 fregat.drocherway.com

O1 - Hosts: 127.0.0.3 slutmania.biz

O1 - Hosts: 127.0.0.3 www.slutmania.biz

O1 - Hosts: 127.0.0.3 toolbarpartner.com

O1 - Hosts: 127.0.0.3 www.toolbarpartner.com

O1 - Hosts: 127.0.0.3 www.megapornix.com

O1 - Hosts: 127.0.0.3 megapornix.com

O1 - Hosts: 127.0.0.3 www.sp2fucked.biz

O1 - Hosts: 127.0.0.3 sp2fucked.biz

O1 - Hosts: 127.0.0.3 greg-tut.com

   	O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt

   	O2 - BHO: (no name) - {19831ED4-9312-41C0-A7C6-4E3C7C8BA928} - C:\WINDOWS\System32\knmk.dll

   	O2 - BHO: (no name) - {FF9D720B-CEB7-914E-BA8F-E69B1ED96ECD} - C:\WINDOWS\System32\zqz.dll

   	O4 - HKLM\..\Run: [sp] rundll32 C:\DOCUME~1\Mlody\USTAWI~1\Temp\se.dll,DllInstall

   	O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\System32\ntddetect.exe

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM) 

   	O15 - Trusted IP range: 213.159.117.202

   	O18 - Filter: text/html - {EF2CD820-59F1-461B-8C24-55F8116000DC} - C:\WINDOWS\System32\knmk.dll

   	O18 - Filter: text/plain - {EF2CD820-59F1-461B-8C24-55F8116000DC} - C:\WINDOWS\System32\knmk.dll

O20 - AppInit_DLLs: w8c6s4xcm66s.dll

Potem daj na nowo loga. I zobaczymy, co dalej robić. Nie używaj IE, używaj Firefoxa...


(system) #10

OK. Dzieki wielkie za pomoc. Jutro lece do kumpla i wszystko zrobie tak jak mi powiedziales. Jutro tez puszcze jeszcze raz u niego HijackThis i wkleje loga jakiego mi wyswietli.

Mozesz mi jeszcze powiedziec w jaki sposob wklejac do pliku HOSTS adresy stron ktorym ufam i ktore chce aby byly natychmiast wyswietlane (tak jak wyczytalem na tym forum moze to przyspieszyc ich otwieranie dlatego chcialbym wpisac tam pare www np. allegro, wp, onet, google itp itd.).

THX


(boczi) #11

Nie wiem, jak dodawać "bezpieczne" strony do HOSTS. Raczej nie można moim zdaniem. Blokować za to, tak. http://www.searchengines.pl/phpbb203/in ... opic=11529


(system) #12

A co z tym trojanem spooner.A? Czy po tych operacjach w logu i przeskanowaniu CWShredderem zostanie on usuniety z systemu?


(Musg) #13

to bedziemy wiedziec jak wykonasz wszystkie powyzsze informacje i dasz raz jeszcze log-zobaczymy.I nie spiesz sie,rob wszystko dokladnie.


(boczi) #14

Co to trojana,

czy CWShredder wykrył coś?

Jeśli nie:

zobacz, czy trojanhunter coś wyłapie:

http://www.misec.net/products/TrojanHunter.exe

Przeskanuj komputer na http://housecall.trendmicro.com/ oraz http://www3.ca.com/virusinfo/virusscan.aspx ;

Oczywiście podaj loga, jeśli już wszystko zrobiłeś.


http://forums.itweek.co.uk/thread.jsp?f ... age=204469


(system) #15

DZIEKI ZA DOTYCHCZASOWA POMOC! !!

Pzd.


(Kuz5) #16

Wyczyść katalog TEMP

Start=>Uruchom=>%temp%=>I usuń wszystko co sie tam znajduje


(system) #17

Oto log po przeskanowaniu kompa kumpla. Wczesniej zrobilem skana CWShredder i znalazlo 2 wirusy. Wszystko usunelo. HijackThis nie chce usunac wpisu O15. Dlaczego? Co z tym zrobic?

Logfile of HijackThis v1.99.1

Scan saved at 16:53:01, on 2004-03-07

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Mlody\Pulpit\Nowy folder\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray

O15 - Trusted IP range: 213.159.117.202

O17 - HKLM\System\CCS\Services\Tcpip\..\{6C4CA019-8538-4679-8F7A-27EBCA03E76C}: NameServer = 194.204.152.34,194.204.159.1

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

(boczi) #18
O15 - Trusted IP range: 213.159.117.202

To usuwasz programem:

killtrusted http://www.searchengines.pl/phpbb203/in ... opic=26221


(system) #19

a czy wszystko w tym logu podanym przed chwila jest juz OK? Nie za krotki on jakis??


(Damian) #20

Niby pełny ale fakt,że jakiś taki krótkawy :smiley:

Jak skopiowałeś wszystko z notatnika to jest OK.