system
(system)
23 Sierpień 2007 18:03
#1
witam…
mam… cos… i niewiem jak sie tego pozbyc. nie widze zeby cos mi mieszal w systemie ale niemam zamiaru miec jakichkolwiek zainfekowanych plikow na moim kompie.
otoz skanujac adwarem wygrywa mi jakies pliki… pisze ze sa to cokies …@hit.geminus.pl … czy gernius. kasuje ok. nic niewykrywa. ale po polaczeniu z netem i wejsciu na jakas strone czy chociaz na gg znowu sie pojawia. neiwiem co tu na to poradzic… czasem wykrywa wiecej plikow tego typu… zapezpieczenia mam dobre bo ZA i avast. dzisiaj po wlaczeniu kompa wyskoczyl mi komunikat avasta, ze plik w katalogu avasta ashdisp.exe zostal zmodifikowany i ze moze stanowic jakis zagrozenie… chwile potem zauktualizowala mi sie baza wirusow i po restarcie komunikat ten niewyswietlil mi sie znowu… wiec niewiem czy to moze byc wina tego wirka czy poprostu cos poszlo zle podczas ostatniej aktualizacji…
oto log:
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Ahead\ODD Toolkit\DVDTray.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\iriver\iriver plus 2\iAgent2.exe C:\Program Files\Microsoft ActiveSync\wcescomm.exe C:\PROGRA~1\MICROS~3\rapimgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe C:\Program Files\DCPFLICS\DCPFLICS.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe D:\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService7.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Gadu-Gadu\gg.exe D:\gta2\GTA2 Game Hunter\GTA2 Game Hunter.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [Zone Labs Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe” O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [DVDTray] C:\Program Files\Ahead\ODD Toolkit\DVDTray.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\RunServices: [Windows System Update Tools] upds.exe O4 - HKCU…\Run: [iPlusAgent2] “C:\Program Files\iriver\iriver plus 2\iAgent2.exe” O4 - HKCU…\Run: [H/PC Connection Agent] “C:\Program Files\Microsoft ActiveSync\wcescomm.exe” O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O9 - Extra ‘Tools’ menuitem: Create Mobile Favorite… - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_46.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/sho … wflash.cab O17 - HKLM\System\CCS\Services\Tcpip…{940E9B1F-F6B3-4815-A9A7-A307D69D2860}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apache2 - Apache Software Foundation - E:\SERWERY\Apache2\bin\Apache.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: DCPFLICS - Unknown owner - C:\Program Files\DCPFLICS\DCPFLICS.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - D:\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
jessica
(jessica)
23 Sierpień 2007 19:33
#2
Te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Użyj SDFix
Działa on tylko w Trybie Awaryjnym!
Daj z niego Report.txt znajdujący się w folderze SDFix.
Możesz dać jeszcze log z ComboFixa:
ComboFix (na dole tej strony z linku) -
Log wklej na http://wklej.org/ , a w poście daj tylko link.
Jeśli chodzi o “Cookie”, to się nimi nie przejmuj. Ja u siebie ich nie usuwam, bo i tak powstają po każdym otwarciu stron www.
Chyba, żeby zrezygnować z otwierania stron www, ale wtedy po co internet?
jessi
Agaton
(Agatonster)
23 Sierpień 2007 20:07
#3
Rexxor
Ważny komunikat dotyczący tytułowania tematów
Proszę poprawić tytuł tamatu na konkretny, mówiący o problemie.
W tym celu proszę użyć przycisku
system
(system)
23 Sierpień 2007 20:50
#4
http://wklej.org/txt/633d724749 <— raport z SDfix
Edit:
raport jest z przed fixowaniem a hijacku.
natomiast kiedy juz to usunalem, to po ponownym skanowaniu zainfekowany plik ciagle jest… identyfikacja wykazala cos zwiazanego z cookis, wiec niewiem co juz o tym myslec ani co z tym zrobic…czekam na kolejne rady
qrczak13
(qrczak13)
23 Sierpień 2007 22:33
#5
Skanowałeś smitfraudfixem.
To teraz:
Pobierz SDFix (opis zrobienia loga w linku).
Po tym daj log także z ComboFix (opis zrobienia loga na samym dole strony).
system
(system)
24 Sierpień 2007 21:58
#6
http://wklej.org/txt/cdde1a2121 <---- raport SDfixa
http://wklej.org/txt/b0c6d37afa <---- log z combofixa
Kiedy SDfix skanowal mi komputer wyskoczylo mi okienko ze niemoze znalezc ///FAST HARDLOCK DRIVER i jakis pllik HLUDD.DLL
natomiast… kiedy odpalilem combofixa… avast wykryl mi gdzies w nim wirusa…
wczesniej napisalem ze nie zauwazylem zeby ten wirus cos robil mi z komputerem… ostatnio jednak zdarza mi sie, ze nagle zadna strona mi niechce wejsc… myslalem ze to wina neostrady, wiec zresetowalem modem… potem raz dziala raz nie a czasem tylko przez chwile.
pozniej kiedy znowu niechowdzily mi stronki usunalem ad-awarem tego wirusa i wszystko dzialalo… wiec wydaje mi sie ze to moze byc powiazane ze soba…
jessica
(jessica)
24 Sierpień 2007 23:32
#7
SDFix usunął trzy trojany.
Natomiast w logu ComboFixa:
Wklej do Notatnika :
File::
C:WINDOWSSystem32exOeA2vJ.exe
C:WINDOWSTasksAt1.job
C:WINDOWSTasksAt2.job
C:WINDOWSTasksAt3.job
C:WINDOWSTasksAt4.job
C:WINDOWSTasksAt5.job
C:WINDOWSTasksAt6.job
C:WINDOWSTasksAt7.job
C:WINDOWSTasksAt8.job
C:WINDOWSTasksAt9.job
C:WINDOWSTasksAt10.job
C:WINDOWSTasksAt11.job
C:WINDOWSTasksAt12.job
C:WINDOWSTasksAt13.job
C:WINDOWSTasksAt14.job
C:WINDOWSTasksAt15.job
C:WINDOWSTasksAt16.job
C:WINDOWSTasksAt17.job
C:WINDOWSTasksAt18.job
C:WINDOWSTasksAt19.job
C:WINDOWSTasksAt20.job
C:WINDOWSTasksAt21.job
C:WINDOWSTasksAt22.job
C:WINDOWSTasksAt23.job
C:WINDOWSTasksAt24.job
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows System Update Tools]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xp_system]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,
jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku -->http://img.wklej.org/images/88953CFScript-createdbyMiekiemoes.gif
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Potem możesz dać log z ComboFixa.
jessi
system
(system)
25 Sierpień 2007 15:46
#8
zrobione i oto log: http://wklej.org/txt/f22b2edbbc
to cos ciagle jest w dodatku, po zalaczeniu komputera, gdy klikam na ikone neotrady to wgrywa sie ona dopiero po ok. minucie. nigdy wczesniej tak niemialem…
jessica
(jessica)
25 Sierpień 2007 17:22
#9
Nic się nie wykonało, więc powtórz usuwanie podane w moim poprzednim poście.
jessi
system
(system)
25 Sierpień 2007 17:58
#10
powtorzylem to… stworzylem nowy plik textowy i wkleilem do niego podany wyżej text. zapisalem pod podana nazwa obok Combofixa. przeciągnąłem, upuscilem i odpalilo sie okienko. wybralem 1nke i chwilke czekalem. potem pokazal sie log: http://wklej.org/txt/6387bcb9c3
Gutek
(Gutek)
25 Sierpień 2007 18:07
#11
Nie usuniete nic. Powtórz operację.
Pobierz program SDFix
system
(system)
25 Sierpień 2007 18:45
#12
http://wklej.org/txt/404d27a7fa <— FDfix…
na poczatku zwnou wyskoczylo mi okienko ze znowu niemoze znalezc jakiegos HLUDD.DLL
natomiast tą operacje z Combofixem powtarzałem juz z 6 razy i nic
system
(system)
25 Sierpień 2007 18:56
#14
Gutek
(Gutek)
25 Sierpień 2007 19:00
#15
Wejdź do trybu awaryjnego i usuń ręcznie wszystkie TasksAt…
system
(system)
25 Sierpień 2007 19:02
#16
a czy moglbym prosic o jakies dokladniejsze wskazowki? np gdzie to jest?
Gutek
(Gutek)
25 Sierpień 2007 19:04
#17
C:WINDOWS\Tasks\ i tutaj masz
system
(system)
25 Sierpień 2007 19:19
#18
wywalilem wszytkie ATy… skaner ciagle wykrywa zainfekowane pliki bo wejsciu na jakies stronki gdzie sa reklamy…
PS. a te pliki typu {006C55B5-4CA1… tez? chyba nie?
Gutek
(Gutek)
26 Sierpień 2007 09:10
#19
Daj nowy log z Combo Te {006C55B5-4CA1-42F0-999A-97F631DBCF5E} i tak dalej też
system
(system)
26 Sierpień 2007 10:09
#20
ok skasowalem
a tutaj nowy log: http://wklej.org/txt/bcede39c2c
czekam na kolejne wskazowki