Wyskakuje okienko - trojan na kompie


(Jacek8526) #1

Witam

Prosze kogos doswiadczonego o sprawdzenie loga, cala noc walczylem z tym zeby mi filmiki na stronkach chodzily i wgrywalem codeki nio i .... wiadomo :confused:

i w procesach nagle pojawilo sie cos takiego jak pmmon.exe i jeszcze jedem shit tez z tym zwi膮zany ... walczylem ostro i nic nie pomagalo dopiero po jakims czasie wpadlem na pomysl :mrgreen: zeby to g贸wienko usun膮c z F8 i niby go juz nie ma ale prosze o sprawdzenie loga

symptomy:

  • co chwile wyskakuj膮ce okienka ze system zainfekowany Trojanem

  • net chodzil nieco wolniej

  • dodatkowy pasek w przegl膮darce pod adresem

Jestem nowy i jesli cos zrobie nie tak to wybaczcie :stuck_out_tongue:


(adam9870) #2

Log masz ok.

Mo偶esz ciachn膮膰 ten wpis:

Mia艂e艣 fa艂szyw膮 paczk臋 kodek贸w. Na wszelki wypadek mo偶esz wklei膰 log z SilentRunners.

Jaka obecnie jest sytuacja ?? Tzn. dzia艂aj膮 ju偶 filmy? Je艣li nie to podaj jakiej przegl膮darki u偶ywasz, na jakich stronach, czy masz zainstalowany jaki艣 odtwarzacz etc.


(Jacek8526) #3

Ok wyci膮lem ten wpis co sugerowales

Loga nie wkleje bo mi error wyskakuje

"Dostep do hosta skrypt贸w systemu Windows jest wy艂aczony na tym komputerze. Skontaktuj sie z administratorem ..." bla bla bla

Obecnie jest wporz膮dku ... przynnajmniej tak mi sie wydaje :slight_smile: pozatym ze filmiki nie dzia艂aj膮 np. http://www.maxior.pl/?p=index&id=40571&0 :wink: pojawia sie mala ikonka z kwadracikiem kolkiem i trojk膮tem :stuck_out_tongue: mam IE6 (wiem wiem dziurawa) ale to cholerne przyzwyczajenie :confused: mam WMP Classic i WMP 10, jedn膮 paczke kodek贸w KL


(Bbieniol) #4

Poczytaj tutaj -> http://www.searchengines.pl/phpbb203/in ... opic=15989

A jak si臋 zachowuj膮 filmiki w innych przegl膮darkach?


(Jacek8526) #5

Ok poczytam :]

Niestety nie wiem jak sie ma sprawa w innych przegladarkach {jade 8 rok na IE :stuck_out_tongue: ale na starym kompie (tez IE) mi wszystko chula} ale jak np. sci膮gne taki filmik na dysk i probuje go odpalic dajmy na to BPlayer'em to nie rusza wogole "Cannot render the file"

Wielkie Dzieki za sprawdzenie loga bo ja niewychowany nie podziekowalem Ci jeszcze za to :smiley:


(Bbieniol) #6

Czekamy na log z Silenta :slight_smile:

Spr贸buj przeinstalowa膰 kodeki :slight_smile:


(Jacek8526) #7

:stuck_out_tongue:

Przeinstalowanie kodek贸w nic nie daje


(Bbieniol) #8

W temacie, kt贸ry zlinkowa艂em wy偶ej -> http://www.searchengines.pl/phpbb203/in ... opic=15989

Masz opisane problemy z Silentem - ten r贸wnie偶 :slight_smile:


(Jacek8526) #9

Oj sory moj blad ... :confused:

Robie tak jak tam pisz膮 (sci膮glem noscript) i odpalam Silent'a a tu mi pisze ze "Windows nie moze otworzyc pliku .... system win musi wiedziec w ktoryem programie zostal on utworzony " yyy co teraz?


(Bbieniol) #10

Poczytaj dok艂adnie ten temat. Tam jest wszystko napisane :slight_smile:


(Jacek8526) #11

Sory ale ja sie poddaje ;/ co nie moge rozbic ctego loga to nie moge :confused: jeszcze teraz mi nie rozpoznaje .vbs ...

robilem tak:

. metoda poprzez zmian臋 rozszerze艅:

uzylem noscript.exe i jak otwieralem Silenta to pytalo sie jaki program wybrac do otwarcia aplikacji ..wiec lipa bo nie wiedzialem jaki :confused:

pozniej M贸j komputer >>> Narz臋dzia >>> Opcje folder贸w >>> Typy plik贸w -> Znajd藕 na li艣cie rozszerzenie *.VBS, pod艣wietl i skasuj

pozniej zeby przywrocic .VBS >>> Zaawansowane >>> Nowa >>> jako nazwa akcji Otw贸rz a jako aplikacja otwieraj膮ca:

C:\WINDOWS\system32\wscript.exe "%1" %*

no i nie mam vbs w "typy plik贸w" :frowning: ani loga ani vbs :confused:


(Bbieniol) #12

M贸j komputer -> Narz臋dzia -> Opcje folder贸w -> Typy plik贸w

Zaznacz tam rozszerzenie VBS i kliknij Usu艅. Nast臋pnie kliknij Nowy -> rozszerzenie pliku: VBS , Skojarzone typy plik贸w: VBSscript Script File i ok :slight_smile:

Nast臋pnie pod艣wietl dodane rozszerzenie VBS i kliknij na dole Zaawansowane -> w oknie Akcje pod艣wietl Otw贸rz i kliknij edytuj -> i ustaw tak:

Aplikacja u偶ywana do wykonania akcji: C:\WINDOWS\system32\wscript.exe "%1" %*

Zaznacz: U偶yj DDE

Komunikat DDE: zostawiasz puste

Aplikacja: WScript

Nieuruchomiona aplikacja DDE: zostawiasz puste

Temat: System

Klikasz OK -> OK -> Zastosuj -> Zamknij :slight_smile:


(Jacek8526) #13

Cz艂owieku podziwiam Cie za cierpliwosc do takich ludk贸w jak ja :slight_smile: wielkie dzieki jeszcze raz teraz jest tak jak bylo :slight_smile: ale co bym nie robil w dalszym ci膮gu wyswietla mi sie okno

Dostep do Hosta skrypt贸w systemu Wondows jest wy艂aczony na tym komputerze :stuck_out_tongue:

No ale system pracuje normalnie zadnych okienek nie ma log z HJT czysty wiec jest OK .. tak mysle :stuck_out_tongue:

Jeszcze raz wielkie Dzieki dobry cz艂owieku :!:


(Bbieniol) #14

Logi sprawdzamy tutaj do samego ko艅ca :slight_smile:

Wrzu膰 w takim razie log z ComboFixa :slight_smile:


(Jacek8526) #15

No tu poszlo bez problem贸w


(Bbieniol) #16

Jest OK :slight_smile:


(Jacek8526) #17

:slight_smile: Dzieki za Pomoc :piwo:


(Adamf1) #18

Logfile of HijackThis v1.99.1

Scan saved at 11:06:58, on 2006-11-19

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\pavsrv51.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\TPSrv.exe

c:\program files\panda software\panda internet security 2007\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Perfect Codec\isamonitor.exe

C:\Program Files\Perfect Codec\pmsngr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

D:\programy\winamp\winampa.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

C:\Program Files\Perfect Codec\pmmon.exe

C:\Program Files\Perfect Codec\isamini.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

D:\programy\kalendarze\Kalendarz XP\Kalendarz.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE

c:\program files\panda software\panda internet security 2007\WebProxy.exe

D:\programy\opera\Opera.exe

C:\Documents and Settings\ADAM\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://dc.sabela.pl/files/test/nowy2/_v ... 0x550.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 艁膮cza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programy\pdf\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Program Files\Perfect Codec\isaddon.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Program Files\Perfect Codec\iesplugin.dll (file missing)

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE" /s

O4 - HKLM..\Run: [sCANINICIO] "C:\Program Files\Panda Software\Panda Internet Security 2007\Inicio.exe"

O4 - HKLM..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM..\Run: [WinampAgent] D:\programy\winamp\winampa.exe

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\programy\pdf\Reader\reader_sl.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Kalendarz XP.lnk = D:\programy\kalendarze\Kalendarz XP\Kalendarz.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\programy\ofice\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\programy\ofice\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Internet Security 2007\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Program Files\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\program files\panda software\panda internet security 2007\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Program Files\Panda Software\Panda Internet Security 2007\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Internet Security 2007\TPSrv.exe