Wyskakujące okienko CID

Dla specjalistów Bezpieczeństwo
#1

Witam, ostatnio ciągle wyskakuje mi okienko z reklamami CiD, nie wiem co z Tym zrobić więc proszę o pomoc. wklejam log

Logfile of HijackThis v1.99.1

Scan saved at 21:27:56, on 2008-02-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton Internet Security Professional\NISUM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\soundman.exe

C:\WINDOWS\System32\PnkBstrA.exe

C:\WINDOWS\PowerS.exe

C:\PROGRA~1\NORTON~1\navapw32.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Norton Internet Security Professional\IAMAPP.EXE

C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton Internet Security Professional\SymPxSvc.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Tlen.pl\tlen.exe

C:\Program Files\DNA\btdna.exe

C:\Program Files\Norton Internet Security Professional\NISSERV.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Mateusz\Pulpit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM…\Run: [soundMan] soundman.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [PowerS] C:\WINDOWS\PowerS.exe

O4 - HKLM…\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM…\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM…\Run: [scanRegistry] C:\W

O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM…\Run: [iamapp] C:\Program Files\Norton Internet Security Professional\IAMAPP.EXE

O4 - HKLM…\Run: [sony Ericsson PC Suite] “C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” /startoptions

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033

O4 - HKLM…\Run: [CloneCDTray] “C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe” /s

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe”

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM…\Run: [draw memo up hide] C:\Documents and Settings\All Users\Dane aplikacji\platform dupe draw memo\Soap shim.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU…\Run: [bitTorrent DNA] “C:\Program Files\DNA\btdna.exe”

O4 - HKCU…\Run: [Thunk Atom] C:\DOCUME~1\Mateusz\DANEAP~1\CHINSA~1\Hide army.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Usługa Autoochrony w programie Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Internet Security Professional Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\NISSERV.EXE

O23 - Service: Norton Internet Security Professional Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\NISUM.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Norton Internet Security Professional Proxy Service (SymPxSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security Professional\SymPxSvc.exe

#2

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem wyszukaj wszystkie foldery o nazwach zaczynających się podobnie jak te zaznaczone na czerwono.

Wyszukaj też w: >>Pulpit Sterowania>>Zaplanowane Zadania>>zadanie podobne do tego: “BB5876B596EFE649” , ale u Ciebie będą zupełnie inne literki i cyferki.

Te foldery i to zadanie spróbuj usunąć ręcznie w Trybie Awaryjnym.

Jeśli się nie uda, to daj log z ComboFix.

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi

#3

usuwanie tych folderów nic nie dało ( znaczy przez dwa dni był spokój z tymi reklamami) ale nadal sie pokazują. wklejam log z ComboFix

http://wklej.org/id/5bf7dfd0e8

#4

Wklej do Notatnika :

File::

C:\DOCUME~1\Mateusz\DANEAP~1\CHINSA~1\Hide army.exe

C:\WINDOWS\Tasks\AF59DEAD91A650B5.job

C:\docume~1\mateusz\daneap~1\chin safe\WindowDentFunk.exe


Folder::

C:\Program Files\chin safe

C:\Documents and Settings\All Users\Dane aplikacji\platform dupe draw memo 

C:\Documents and Settings\Mateusz\Dane aplikacji\chin safe 

C:\Program Files\DivoCodec

C:\FOUND.005

C:\FOUND.004

C:\FOUND.003


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Thunk Atom"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ScanRegistry"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eabb7280-70fe-11dc-9ed6-0040f471ae62}]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to:

Po restarcie usuń ręcznie folder C: ** Qoobox**.

jessi

#5

http://www.wklej.org/id/3cb5f785f9

log po usuwaniu.

Czy możliwe jest aby po tym usuwaniu powstał jakiś wirus? bo ciągle mam jakieś alerty że w tym ComboFix jest jakiś wirus…

#6

Jest już czysto.

ComboFix zawiera w sobie moduły usuwające, dlatego niektóre Antivirusy uważają go za wirusa.

To fałszywy alarm!

ComboFix zresztą możesz już usunąć, bo i tak za 10 dni (przy próbie jego uruchomienia) on sam się usunie.

jessi

#7

Dziękuję bardzo za pomoc :slight_smile: Pozdrowionka :slight_smile:

#8

OT-y kosz zakładajcie swoje tematy