Your system is infected

Witam,

Wyskakuja mi alerty i napisy w stylu " your system is infected, Spyware alert".

Nie da rady normalnie pracować.

log z Hijacka

http://wklej.org/id/3789c76e0a

Pozamykałem porty programem wwdc.

Używam antywirusa NOD 32

Po każdorazowym restarcie to samo…

Bardzo proszę o pomoc !

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm … Ojg5&lid=2

O1 - Hosts: 124.217.252.78 secure.isoftpay.com

O2 - BHO: WindowsUpdate Class - {B3B010A1-A877-4CD7-BAB5-9EE8F9965E20} - C:\DOCUME~1\DAREK\USTAWI~1\Temp\ieobj.dll

O4 - HKLM…\Run: [Win Base 4 Download] C:\Documents and Settings\All Users\Dane aplikacji\Browse Dent Win Base\bone save.exe

O4 - HKLM…\Run: [system] C:\WINDOWS\system32\wind32.exe

O4 - HKLM…\Run: [taskmon] C:\WINDOWS\taskmon.exe

O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Dokumenty\Settings\partnership.dll

Sporo tego nazbierałeś. Na koniec przeskanuj kompa skanerem on-line najlepiej mks_vir.

Pozdrawiam :twisted:

Pokaż log z ComboFix (temat przyklejony do tego działu).

Bo Squall2008 nie rozwiązał do końca problemu.

Dziekuję za szybką odpowiedź.

http://www.wklej.org/id/a9568eb746

Log z ComboFixa.

Ponieważ po raz pierwszy mam do czynienia z HiJackiem, proszę mi tylko odpowiedzieć, czy :

pokazane wpisy przez Squall2008 mam zaznacz HIJacku i wcisnąć FIX ?

Tak mi się wydaję , ale wolę się upewnić :slight_smile:

Chcę dodać, że w trakcie intensywnie szukalem w necie informacji jak poradzić sobie z moim problemem.

Uruchomiłem w trybie awaryjnym program SmitfraudFix. Pomogło na tyle, że nie wyskakują mi alerty i powiadomienia! No i mam na pulpicie moją tapetę ( wczesniej niebieski kolor, bez mozliwości zmiany tapety ).

Teraz natomiast w menadzeze zadań mam kilkadziesiąt wpisów “iexplore”. To na tyle jesli chodzi o problem, byc może po podaniu logów będziecie mogli pomóc.

Dodam jeszcze log z HIJACKA

http://www.wklej.org/id/01d6314e1c

Wyłącz przywracanie systemu na wszystkich dyskach

otwórz notatnik i wklej

File::

C:\WINDOWS\system32\unifff.dll

C:\WINDOWS\system32\rc.dat

C:\WINDOWS\system32\ps1.dat

C:\WINDOWS\system32\cs.dat

C:\WINDOWS\system32\svchost.t__

C:\Documents and Settings\DAREK\Dane aplikacji\msvcrit.dll

C:\WINDOWS\system32\gayqtqha.tmp

C:\WINDOWS\system32\herjt388.exe

C:\WINDOWS\system32\drivers\Nsd48.sys

C:\WINDOWS\system32\WLCtrl32.dll

C:\WINDOWS\system32\msupdtck.exe

C:\WINDOWS\system32\diperto.ini

C:\WINDOWS\system32\msvcrit.dll

C:\WINDOWS\system32\wind32.exe

C:\WINDOWS\system32\n2ewma1xxsv2234.exe

C:\WINDOWS\system32\winlogans.tmp

C:\WINDOWS\berlitz.bak


Driver::

diperto2443-27a6

diperto6580-37aa

Google Online Search Service

hdport

qtprot

taskmon.sys


Registry:: 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{35D2328C-B75A-81BF-081C-B1E9DC54F3EE}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6607E676-1BDE-4cb3-9913-4DC5EBCAE35E}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Win Base 4 Download"=-

"taskmon"=-

"HaxFix"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania

Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox

dodatkowo daj log HijackThis nowy

:slight_smile:

DO LEONA:

Czy kod podany przez Ciebie, jest wynikiem sprawdzenia ostatnich logów jakie dodałem ? ( ComboFix i HIJack? ).

Pytam, ponieważ w swoim poście zacytowałeś moje zdanie z pierwszego pytania i nie wiem, czy zdążyłeś obejrzeć moje ostatnie logi ?

Tak to jest z ostatniego loga Combofix

Zacytowałem twoje słowa żebyś zauważył że wyłączenie przywracania jest nie zbędne

:slight_smile:

Dzięki, biorę się za robotę. !

Zatem:

ponownie niebieski pulpit, nie mogę zmienić tapety (we właściwościach ekranu - zakładka pulpit, mogę wybierać obrazki ale po wciśnięciu zastosuj i ok, nie nic się nie dzieje )

W menadźerze zadań nie ma już …nastu wpisów iexplore - są tylko 2 z czego jeden zabiera trochę pamięci, więc zakańczam proces.

Co jakiś czas włącza się komunikat informujacy o błędzie iexplore, następnie antywirus znajduje kilka trojanów, po czym otwiera się jakaś strona w IE a na pulpicie pojawia się plik o nazwie “ieupdr2” - jest" pusty" ponieważ wczesniej wykrywa go antywir. No ale pojawia się ?

Strony www jak narazie otwierają się szybko, system nie zwalnia.

Logi

HiJack http://www.wklej.org/id/7d22c2e6f6

ComboFix http://www.wklej.org/id/9e4b836946

Czy moge wlaczyc przywracanie systemu ?

Nie mogę zmienić tapety - postepowałem wg., wskazówek, o których mowa na forum ( usunięcie wpisów w rejestrze ).

Nadal to samo ?

Log z HI JAcka

http://www.wklej.org/id/478030a716

Przywracania systemu jaszcze nie włączaj

wejdź do

C:\Documents and Settings\DAREK\Menu Start\Programy\Autostart\ >>usuń MSWin–919696423.exe

otwórz notatnik i wklej

File::

C:\WINDOWS\system32\cmpbk3.dll

C:\WINDOWS\system32\asycfil.dll

C:\WINDOWS\system32\catsrvp.dll

C:\WINDOWS\system32\emulx86.sys

C:\WINDOWS\system32\ibutu.dll

C:\WINDOWS\dsdxirmv.exe

C:\Documents and Settings\All Users\Dokumenty\Settings\partnership.dll


Driver:: 

Nsd48


Registry:: 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{36B79926-D1B0-465A-9B9D-0F1472CF386F}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{99FE4059-1C96-4059-93D2-53A7C4FE14B9}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE6E4984-809C-453B-8CB6-BEB38ACC7E34}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D2609923-424B-41DC-8609-7B319B239507}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B3B010A1-A877-4CD7-BAB5-9EE8F9965E20}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mssdbsrv"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ibutu]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\partnershipreg]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\pemulx86]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania

dopiero po tym zrób nowy log HijackThis

O tapecie na razie nie pisz dopuki nie zwalczymy wirusów

Nie pisz posta pod postem do tego służy opcja edytuj

No i pytanie zasadnicze kiedy zainstalujesz antywira przecież cokolwiek usuniemy to wskoczy następny

:slight_smile:

WIELKIE DZIĘKI za odpo.

  1. Usunełem MSWin–919696423.exe ( co to za draństwo ? )

  2. ComboFix z Twoim skryptem uruchamiam w trybie normalnym XP

  3. Log z ComboFix’a po usunięciu http://www.wklej.org/id/468a0358ce

  4. Nowy log z HiJacka http://www.wklej.org/id/b4c8c0059c

  5. Używam cały czas programu antywirusowego Eset Smart Nod32 aktualnego ( pytasz, od kiedy zacznę używać antywira ? )

Czekam z niecierpliwością na odpo.

Co dalej robić, czy usuwać jakieś pliki/foldery po ComboFix’ie ?

start >> uruchom >> cmd

sc stop emulx86

sc delete emulx86

Logi czyste

Możesz włączyć przywracanie

Co do pulpitu muszę się jeszcze zastanowić

:slight_smile:

No cóz. Leon$ - dzieki serdeczne.

Narazie jest czyściutko.

Tylko ta tapeta no i pytanie czemu drugi komputer w sieci nie ma dostępu do netu ? Kabel działa, sprawdzałem na folderze udostępnionym - działa na jednym i drugim.

wez przeskanuj Spybot albo ad-aware ja tez tak mialem z tapeta i w moim przypadku to byl spyware

Witam ponownie - problem z uruchomieniem netu na drugim komputerze rozwiązany. To sprawka Zapory z nowego programu Nod32 - musialem dopisać reguły.

Pulpit nadal niebieski bez możliwości zmiany ?

Skan ad-aware wykonany. Niestety to nie to - jak na mój gust to sprawka wpisów w rejestrze - tylko jakie i gdzie ?

a Spybot - Search Destroy ??

Zajrzyj do rejestru

http://www.searchengines.pl/t51723.html

:slight_smile: