facio3721
(facio3721)
22 Marzec 2008 12:31
#1
Tutaj panowie (i panie o ile sa ) jest wszystko:
http://forum.dobreprogramy.pl/viewtopic.php?f=2&t=232076
edit: wewale tutaj jeszcze raz to samo:
Witam! Od pewnego czasu mam problem z wyskakującym okienkiem które wygląda tak:
Macie może pojęcie co to może być? Czy to jest jakiś błąd skryptu, czy może jakiś vir? I czy może wiecie czym to może być spowodowane? (może lepiej dać logi do sprawdzenia, oczywiście w dziale do logów przeznaczonym )
Logfile of HijackThis v1.99.1 Scan saved at 13:11:06, on 2008-03-22 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16608) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RunDll32.exe C:\Program Files\Winamp\Winampa.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Last.fm\LastFMHelper.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Głąb\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://zrzuta.eu/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: ActivationManager module - {86A44EF7-78FC-4e18-A564-B18F806F7F56} - C:\Program Files\ActivationManager\ActivationManager.dll (file missing) O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [WinampAgent] “C:\Program Files\Winamp\Winampa.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1045 O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [sony Ericsson PC Suite] “C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” /startoptions O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [AQQ] C:\PROGRA~1\WapSter\AQQ\AQQ.exe O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Last.fm Helper.lnk = C:\Program Files\Last.fm\LastFMHelper.exe O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [iNTERNATIONAL] International* O16 - DPF: {0585238B-9CA6-4CCB-A9B2-FE4BA495E880} (AXWebMon Control) - http://www.smilecam.com/home/ezwebcam/e … nProj1.cab O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://67.15.101.3/g_bin/pl/cards_2_0_0_71.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_28.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
dawidek11
(Dawidex11)
22 Marzec 2008 13:05
#2
http://www.searchengines.pl/t55936.html - Użytkownik ma podobny problem …
Zaraz sprawdzę log …
W HijacThis zafixuj wpis , czyli zaznacz ptaszkiem i kliknij Fix checked ,
C:\Program Files\ ActivationManager - Folder wywal z dysku .
Jeśli chcesz możesz dać log z ComboFix’a http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Instrukcja Obsługi:
1) Trzeba zamknąć wszystkie otwarte okna i programy. 2) ComboFix uruchamia się przez dwuklik na ikonkę ComboFix.exe 3) pojawi się napis please wait - więc czekać 4) pojawi się napis the process cannot access the file because it is being users by another process - dalej czekać 5) pojawi się napis na dole okienka type 1 to continue, or 2 to abort. _ - trzeba wpisać 1 i nacisnąć ENTER 6) pojawi się napis: Scanning for infectes files… Shouldn,t take more than 10minutes - czekać 7) W czasie skanowania nie wolno nic robić, nawet poruszać myszką. 8) Po skończeniu skanowania pojawi się log. Jeśli się nie pojawi na ekranie, to można go znaleźć na C:\ComboFix.txt 9) Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/ , a w poście daj tylko link.
Ponieważ wklej.org nie działa podaj log na forum .
Ciuci
(Ciuci)
22 Marzec 2008 13:18
#3
Może to byc bląd Winampa.Przeinstaluj go i zobacz czy to sie pojawi.
facio3721
(facio3721)
22 Marzec 2008 13:29
#4
zafixowalem wpis
tego folderu po zafiksowaniu nie bylo juz
a oto log z Combofixa:
ComboFix 08-03-21.2 - Głąb 2008-03-22 14:21:30.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.88 [GMT 1:00] Running from: C:\Documents and Settings\Głąb\Pulpit\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Głąb\Dane aplikacji\macromedia\Flash Player#SharedObjects\M3NK9RTV\www.broadcaster.com C:\Documents and Settings\Głąb\Dane aplikacji\macromedia\Flash Player\macromedia.com \support\flashplayer\sys#www.broadcaster.com C:\Documents and Settings\Głąb\Dane aplikacji\macromedia\Flash Player\macromedia.com \support\flashplayer\sys#www.broadcaster.com \settings.sol . ((((((((((((((((((((((((( Files Created from 2008-02-22 to 2008-03-22 ))))))))))))))))))))))))))))))) . 2008-03-16 14:24 . 2008-03-16 14:24 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys 2008-03-16 14:24 . 2008-03-16 14:24 298,104 --a------ C:\WINDOWS\system32\imon.dll 2008-03-16 14:24 . 2008-03-16 14:24 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys 2008-03-11 21:13 . 2008-03-12 21:33 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-21 14:54 --------- d-----w C:\Program Files\Total Video Converter 2008-03-20 06:55 --------- d-----w C:\Program Files\ESET 2008-02-25 21:17 --------- d-----w C:\Documents and Settings\Głąb\Dane aplikacji\Skype 2008-02-17 19:29 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer 2008-02-17 14:37 --------- d-----w C:\Program Files\Common Files\Adobe 2008-02-15 17:33 --------- d-----w C:\Documents and Settings\Głąb\Dane aplikacji\Clickteam 2008-01-31 17:16 --------- d–h--w C:\Program Files\InstallShield Installation Information 2008-01-26 18:27 --------- d-----w C:\Program Files\Imagenomic 2008-01-06 12:54 21,840 -c–atw C:\WINDOWS\system32\SIntfNT.dll 2008-01-06 12:54 17,212 -c–atw C:\WINDOWS\system32\SIntf32.dll 2008-01-06 12:54 12,067 -c–atw C:\WINDOWS\system32\SIntf16.dll 2001-11-23 04:08 712,704 -c–a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44 15360] “AQQ”=“C:\PROGRA~1\WapSter\AQQ\AQQ.exe” [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-10-22 12:22 7700480] “nwiz”=“nwiz.exe” [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe] “Cmaudio”=“cmicnfg.cpl” [] “WinampAgent”=“C:\Program Files\Winamp\Winampa.exe” [2006-05-25 18:35 35328] “QuickTime Task”=“C:\Program Files\QuickTime\qttask.exe” [2007-06-29 05:24 286720] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe” [2005-11-10 12:03 36975] “NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 09:50 155648] “DAEMON Tools”=“C:\Program Files\DAEMON Tools\daemon.exe” [2005-11-08 23:00 128920] “NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2006-10-22 12:22 86016] “Sony Ericsson PC Suite”=“C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” [2005-10-26 15:17 159744] “nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2008-03-16 14:24 949376] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2004-08-03 23:44 15360] C:\Documents and Settings\GĄb\Menu Start\Programy\Autostart\ Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:00 113664] Last.fm Helper.lnk - C:\Program Files\Last.fm\LastFMHelper.exe [2007-11-19 17:18:28 106496] [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusOverride”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “C:\Program Files\Gadu-Gadu\gg.exe”= “C:\Program Files\NAPI-PROJEKT\napisy.exe”= “C:\Program Files\Ares\Ares.exe”= “C:\Documents and Settings\Głąb\Dane aplikacji\SopCast\adv\SopAdver.exe”= “C:\Program Files\SopCast\SopCast.exe”= “C:\Program Files\The All-Seeing Eye\eye.exe”= “C:\Program Files\Mozilla Firefox\firefox.exe”= “C:\Program Files\totalcmd\TOTALCMD.EXE”= “C:\Program Files\Last.fm\LastFM.exe”= “C:\Program Files\Skype\Phone\Skype.exe”= [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] “8371:TCP”= 8371:TCP:BitComet 8371 TCP “8371:UDP”= 8371:UDP:BitComet 8371 UDP S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2007-09-21 21:19] S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys [2007-09-21 21:19] S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys [2007-09-21 21:19] S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2007-09-21 21:19] S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2007-09-21 21:19] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{4556ae10-e493-11dc-b2a4-000b6a7d9edb}] \Shell\AutoRun\command - G:\EXPLORER.EXE \Shell\explore\Command - G:\EXPLORER.EXE \Shell\open\Command - G:\EXPLORER.EXE . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-22 14:24:06 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\system32\lsass.exe - C:\Program Files\Eset\pr_imon.dll . Completion time: 2008-03-22 14:25:01 ComboFix-quarantined-files.txt 2008-03-22 13:24:44 . 2008-03-12 19:45:38 — E O F — jezeli nie pomoże mi dawidek to zrobie tak ja mowisz Ciuci.
facio3721
(facio3721)
23 Marzec 2008 14:41
#5
wiem, ze to niepoprawne z regulaminem pisanie posta pod postem ale bardzo mi zalezy na usunieciu tej usterki tak wiec czy moze ktos sprawdzic loga i powiedziec czy cos wywalic lub cos innego zrobic?
jessica
(jessica)
23 Marzec 2008 14:49
#6
W logu nic ciekawego nie ma, poza zainfekowanym kluczem pendrive’a.
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4556ae10-e493-11dc-b2a4-000b6a7d9edb}]
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>
plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).
Zrestartuj komputer.
jessi
facio3721
(facio3721)
23 Marzec 2008 23:01
#7
mozesz mi podac ktory wpis wywalic zeby nie bylo tego zainfekowanego syfu hm?
Dodałem ten wpis do rejestru, oraz przeinstalowałem winamp. Może pomoże. Dać jakieś nowe logi po tych zabiegach czy cuś?
dawidek11
(Dawidex11)
23 Marzec 2008 23:11
#8
jessi ci napisała …
To wszystko…
Już nie musisz podawać logów ponieważ w powyższych logach już nic nie widać.
Jak chodzi komputer ??
Pozdrawiam .
facio3721
(facio3721)
23 Marzec 2008 23:28
#9
Jak all no to bajera
okej rozumiem
Póki co elegancko i co najwazniejsze błąd nie wyskakuje :!:
Ja również pozdrawiam!
P.S. Dziękuje za pomoc wszystkim, którzy udzielali się w tym temacie