Wyskakujące komunikaty z informacją o rozpoczęciu pobierania

Arizona · 5 Listopad 2007 23:37

Co chwila wyskakuje mi informacja, że zaraz zacznie się pobieranie “…czegoś tam” …a następnie wkracza do akcji rezydent SpyBot’a i pyta się czy zablokować pobieranie—> po czym uruchamia sie okienko IE z jakąś stronką www.

Log:

Logfile of HijackThis v1.99.1 Scan saved at 00:33, on 2007-11-06 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe F:\programy\matlab 7.1\webserver\bin\win32\matlabserver.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe C:\Program Files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Programy\Stery do myszki\MouseDrv.exe C:\Programy\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\svchost.exe C:\Programy\eMule\emule.exe C:\Programy\Gadu-Gadu 6.1\gg.exe C:\Programy\IrfanView\i_view32.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Toshiba\Pulpit\komp = logi\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://users.iptelecom.net.ua/~codecs/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = L1cza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programy\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1082\en-gb\msntb.dll O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1082\en-gb\msntb.dll O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM…\Run: [ATIPTA] “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” O4 - HKLM…\Run: [synTPLpr] “C:\Program Files\Synaptics\SynTP\SynTPLpr.exe” O4 - HKLM…\Run: [synTPEnh] “C:\Program Files\Synaptics\SynTP\SynTPEnh.exe” O4 - HKLM…\Run: [Toshiba Hotkey Utility] “C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe” /lang PL O4 - HKLM…\Run: [smoothView] “C:\Program Files\TOSHIBA\Program narzedziowy TOSHIBA Zooming Utility\SmoothView.exe” O4 - HKLM…\Run: [PadTouch] “C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe” O4 - HKLM…\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM…\Run: [WireLessMouse] “C:\Programy\Stery do myszki\StartAutorun.exe” MouseDrv.exe O4 - HKLM…\Run: [avgnt] “C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe” /min O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Programy\ZoneAlarm\zlclient.exe” O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [TOSCDSPD] “C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe” O4 - HKCU…\Run: [beep Htm] C:\DOCUME~1\Toshiba\DANEAP~1\TRANSD~1\intrastop.exe O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1082\en-gb\msntb.dll/search.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\programy\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open in new background tab - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0001.1119\en-gb\msntabres.dll/229?1499baf0d9dc47f399ef52ec7ccaa3c O8 - Extra context menu item: Open in new foreground tab - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0001.1119\en-gb\msntabres.dll/230?1499baf0d9dc47f399ef52ec7ccaa3c O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\programy\OFFICE~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner2k7/SkanerOnline.cab O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: MATLAB Server (matlabserver) - Unknown owner - F:\programy\matlab 7.1\webserver\bin\win32\matlabserver.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

jessica · 6 Listopad 2007 06:46

>>Hijack>>scan(Do a system scan only)>>zaznacz (V) >> Fix checked.

To wygląda na infekcję " LOP".

Aby zobaczyć pozostałe elementy tej infekcji daj log z –> ComboFix .

jessi

Arizona · 6 Listopad 2007 17:34

Wpis w HJ ciachnięty…

Dla pewności nowy log:

Logfile of HijackThis v1.99.1 Scan saved at 18:31, on 2007-11-06 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe F:\programy\matlab 7.1\webserver\bin\win32\matlabserver.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe C:\Program Files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Programy\ZoneAlarm\zlclient.exe C:\Programy\Stery do myszki\MouseDrv.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programy\Gadu-Gadu 6.1\gg.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Programy\foobar2000\foobar2000.exe C:\WINDOWS\System32\svchost.exe C:\Documents and Settings\Toshiba\Pulpit\komp = logi\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://users.iptelecom.net.ua/~codecs/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = L1cza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programy\SPYBOT~1\SDHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1082\en-gb\msntb.dll O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1082\en-gb\msntb.dll O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM…\Run: [ATIPTA] “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” O4 - HKLM…\Run: [synTPLpr] “C:\Program Files\Synaptics\SynTP\SynTPLpr.exe” O4 - HKLM…\Run: [synTPEnh] “C:\Program Files\Synaptics\SynTP\SynTPEnh.exe” O4 - HKLM…\Run: [Toshiba Hotkey Utility] “C:\Program Files\Toshiba\Windows Utilities\Hotkey.exe” /lang PL O4 - HKLM…\Run: [smoothView] “C:\Program Files\TOSHIBA\Program narzedziowy TOSHIBA Zooming Utility\SmoothView.exe” O4 - HKLM…\Run: [PadTouch] “C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe” O4 - HKLM…\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe O4 - HKLM…\Run: [WireLessMouse] “C:\Programy\Stery do myszki\StartAutorun.exe” MouseDrv.exe O4 - HKLM…\Run: [avgnt] “C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe” /min O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Programy\ZoneAlarm\zlclient.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [TOSCDSPD] “C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe” O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\TB\02.05.0000.1082\en-gb\msntb.dll/search.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\programy\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open in new background tab - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0001.1119\en-gb\msntabres.dll/229?1499baf0d9dc47f399ef52ec7ccaa3c O8 - Extra context menu item: Open in new foreground tab - res://C:\Program Files\MSN Toolbar Suite\TAB\02.05.0001.1119\en-gb\msntabres.dll/230?1499baf0d9dc47f399ef52ec7ccaa3c O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\programy\OFFICE~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner2k7/SkanerOnline.cab O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: MATLAB Server (matlabserver) - Unknown owner - F:\programy\matlab 7.1\webserver\bin\win32\matlabserver.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ComboFix: http://wklej.org/id/8b361209ea

tak przy okazji: podczas uruchamiania kopmutera system woła o podanie hasła (żadnego hasła nie mam ustawionego) --> muszę za każdym razem

klikać ok… jak to zniwelować ??

A.

jessica · 6 Listopad 2007 18:00

Problem z hasłem może daj w jakimś innym dziale tego Forum

(np. -http://forum.dobreprogramy.pl/viewforum.php?f=2

lub http://forum.dobreprogramy.pl/viewforum.php?f=13.)

Chyba, że tu jeszcze ktoś inny Ci odpowie…

Pierwszy raz zobaczyłam, że ComboFix usunął samoczynnie dwa elementy tej infekcji “LOP”.!

Ale jeszcze nie wszystkie.

Wklej do Notatnika :

File::

C:\WINDOWS\tasks\AA9647119065FE31.job


Folder::

C:\Documents and Settings\Toshiba\Dane Aplikacji\trans draw


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccead2a8-3d1b-11dc-9900-00c09fe0b3dc}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4185942-0d23-11dc-989d-00c09fe0b3dc}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{92c10892-a5ef-11d9-95df-00c09fe0b3dc}]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Owns Four Jugs Htm]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj ten log.

jessi

Arizona · 6 Listopad 2007 20:00

Zrobione, oto log:

http://wklej.org/id/14de9382a2

A.

jessica · 6 Listopad 2007 20:42

Niestety, usuwanie się nie udało, a więc powtórka z rozrywki.

I na czas usuwania wyłącz Rezydenta Spybota, jeśli masz go włączonego.

Wklej do Notatnika :

File::

C:\WINDOWS\tasks\AA9647119065FE31.job

C:\Documents and Settings\All Users\Dane aplikacji\Win knob owns four\pile chic.exe


Folder::

C:\Program Files\trans draw 

C:\Documents and Settings\All Users\Dane Aplikacji\Win knob owns four

C:\Documents and Settings\Toshiba\Dane Aplikacji\trans draw


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{92c10892-a5ef-11d9-95df-00c09fe0b3dc}]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Owns Four Jugs Htm]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4185942-0d23-11dc-989d-00c09fe0b3dc}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ccead2a8-3d1b-11dc-9900-00c09fe0b3dc}]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj ten log.

jessi

Arizona · 6 Listopad 2007 21:16

Zrobione, oto log:

http://wklej.org/id/4049a07a7e

A.

jessica · 6 Listopad 2007 21:37

Niestety, u Ciebie usuwanie jest przez coś zablokowane, więc nie uda się usunąć i trzeba będzie sformatować dysk.

Nie wiem, w jaki sposób to sobie zablokowałeś, bo “LOP” tego na pewno nie potrafi.

Zrobimy jeszcze jedną próbę usuwania.

Ściągnij -->Avenger.

Zaznacz: “Input Script Manualy”. Kliknij “Lupkę”. Wklej:

Files to delete: C:\WINDOWS\tasks\AA9647119065FE31.job C:\Documents and Settings\All Users\Dane aplikacji\Win knob owns four\pile chic.exe Folders to delete: C:\Program Files\trans draw C:\Documents and Settings\All Users\Dane Aplikacji\Win knob owns four C:\Documents and Settings\Toshiba\Dane Aplikacji\trans draw Registry keys to delete: [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{92c10892-a5ef-11d9-95df-00c09fe0b3dc}] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Owns Four Jugs Htm] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c4185942-0d23-11dc-989d-00c09fe0b3dc}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{ccead2a8-3d1b-11dc-9900-00c09fe0b3dc}]

Kliknij “Done”. Kliknij “zielone światełko”. Kliknij “TAK”.

Zrestartuj komputer.Log z Avengera znajduje się w C:\avenger.

Daj też nowy log z ComboFixa.

jessi

Arizona · 6 Listopad 2007 22:14

http://wklej.org/id/0b2d23c8a8

A z tego 2 programu:

Robilem te czynnosci w trybie awaryjnym…

jessica · 6 Listopad 2007 22:21

No niestety - widać, że u Ciebie nic się nie da usuwać.

Przykro mi, ale na to nic nie poradzę.

Może przypomnisz sobie, jak Ci udało się zablokować usuwanie wszystkiego - pytam tylko z ciekawości.

jessi

Arizona · 6 Listopad 2007 22:26

Gdybym tylko wiedział…

Jakies konsekwencje dla systemu beda jesli przez pewien okres czasu zostawie tak jak jest ?? (nie bardzo mi sie widzi formatowanie ;/)

A.

Gutek · 6 Listopad 2007 22:27

Pobierz program SDFix

Arizona · 7 Listopad 2007 19:07

Zrobione,

Oto raport:

SDFix: Version 1.113 Run by Toshiba on 2007-11-07 at 19:53 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files… ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-07 20:01:33 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden services & system hive … [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] “s1”=dword:91cfb7bc “s2”=dword:2ecc438b “h0”=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] “p0”=“C:\Programy\DAEMON Tools” “h0”=dword:00000000 “khjeh”=hex:47,56,8b,d7,9a,ba,5b,b8,82,7e,eb,87,08,7a,35,cf,20,5e,ea,cb,7f,… [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] “a0”=hex:20,01,00,00,36,92,da,05,5f,56,40,fe,62,b7,c9,42,e6,5f,65,2e,38,… “khjeh”=hex:25,90,fe,67,af,82,9d,3e,4a,31,b2,d4,b3,49,d0,bd,b2,bb,d2,ab,a3,… [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] “khjeh”=hex:7a,b0,ef,4f,05,82,65,84,9c,ef,23,5d,61,35,86,9c,99,28,d9,e4,7f,… [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] “p0”=“C:\Programy\DAEMON Tools” “h0”=dword:00000000 “khjeh”=hex:47,56,8b,d7,9a,ba,5b,b8,82,7e,eb,87,08,7a,35,cf,20,5e,ea,cb,7f,… [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] “a0”=hex:20,01,00,00,36,92,da,05,5f,56,40,fe,62,b7,c9,42,e6,5f,65,2e,38,… “khjeh”=hex:25,90,fe,67,af,82,9d,3e,4a,31,b2,d4,b3,49,d0,bd,b2,bb,d2,ab,a3,… [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] “khjeh”=hex:7a,b0,ef,4f,05,82,65,84,9c,ef,23,5d,61,35,86,9c,99,28,d9,e4,7f,… scanning hidden registry entries … [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\24\xe1\21] “DisplayName”="\x3e58\x232\x3e58\x232\1" “DeviceDesc”="\x3e58\x232\x3e58\x232\1" “ProviderName”="\xfed4\21\xee18\x7c90\xff44\21\b" “MFG”="\x55c" “ReinstallString”=“C:\WINDOWS\System32\ReinstallBackups\xe114\21\x80\xc010\DriverFiles.INF” “DeviceInstanceIds”=str(7):“c:\toolscd\display driver\sbdrv\smbus\smbusati.inf” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] “TracesProcessed”=dword:00000024 “TracesSuccessful”=dword:0000001e [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,0c,00,00,00,01,00,00,00,00,00,00,00 scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Files with Hidden Attributes: Sat 13 Jan 2007 0 A.SH. — “C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp” Sun 11 Mar 2007 54,520 A…H. — “C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\visualstudio\7.1\vs000223.tmp” Finished!

A.

jessica · 7 Listopad 2007 20:07

Nie wiem, po co był ten SDFix - przecież SDFix nigdy nie usuwał infekcji “LOP”?

Nawet nie potrafi jej wykryć.

Infekcja "LOP"nie czyni większych szkód na komputerze - jest tylko uciążliwa dla użytkownika, bo ściąga różne reklamy, rózne niepotrzebne strony, itp.

Spróbuj jeszcze:

Użyj -->NoLOP

Kliknij na “Search and Destroy”

Po pracy narzędzie utworzy log w lokalizacji C:\NoLop.log.

jessi

Arizona · 7 Listopad 2007 20:16

zrobione:

W sumie może jeszcze ta informacja pomoże:

otoż te reklamy sie uruchamiały i zapora czesto pytała

czy dopuścić coś o nazwie “pile chic”…to otworzylem autostart (poleceniem msconfig) i zauważyłem, że wlasnie siedzi cos o tej nazwie to to odznaczylem, żeby nie uruchamiało się ze startem systemu…

Złączono Posta : 09.11.2007 (Pią) 10:42

Poprawiło się coś ? czy nadal jest tak jak było ?

A.