Zablokowany menedzer programow


(system) #1

Witam,

złapałem jakiego syfa, który wyświetla komunikat, ze mam konia trojanskiego, który łamie moją prywatnośc wor.win32.netSky. laczy sie bezposrednio z jakimis programami ktore wykrywaja tysiace problemow na moim kompie i kaza placic za te programy. nie wiem co sie dzieje. Menedzer programow zablokowany, ciezko sie poruszac po kompie.


(Sirmacik) #2

Cześć. Sam to wczoraj przerabiałem. Tu znajdziesz opis mojego problemu i podjęte prze ze mnie kroki... Teraz mój system jest już czysty.

viewtopic.php?f=16&t=209236&p=1394307#p1394307

W zasadzie to możesz usunąć wpisy:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2

O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\SecurePCCleaner\mc.exe" dm=http://securepccleaner.com ad=http://securepccleaner.com sd=http://ilp.securepccleaner.com

Potem może przeskanuj go jeszcze ComboFix


(system) #3

udało sie odblokowac po radach z forum ale jeszcze nie wszystko jest w porzadku.

wklejam loga z combo

ComboFix 07-12-16.3 - Rafal 2007-12-16 15:11:33.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.626 [GMT 1:00]

Running from: C:\Documents and Settings\Rafal\Pulpit\ComboFix.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\Rafal\ResErrors.log

.

((((((((((((((((((((((((( Files Created from 2007-11-16 to 2007-12-16 )))))))))))))))))))))))))))))))

.

2007-12-16 11:33 . 2007-12-16 11:33

2007-12-16 11:28 . 2007-12-16 11:28

2007-12-16 11:27 . 2007-12-16 11:27

2007-12-16 11:16 . 2007-12-16 11:21

2007-12-16 11:05 . 2007-12-16 11:05

2007-12-16 11:05 . 2007-12-16 11:05

2007-12-16 11:04 . 2007-12-16 14:37

2007-12-16 11:04 . 2004-10-07 13:39 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll

2007-12-16 09:46 . 2007-12-16 09:48

2007-12-15 22:24 . 2007-12-15 16:46 278,528 --a------ C:\WINDOWS\ttvbonvgl.dll

2007-12-15 22:24 . 2007-12-15 16:46 270,336 --a------ C:\WINDOWS\xcvwer.dll

2007-12-15 22:24 . 2007-12-15 16:46 253,952 --a------ C:\WINDOWS\hjoqor.dll

2007-12-15 22:24 . 2007-12-15 16:46 200,704 --a------ C:\WINDOWS\leosrv.dll

2007-12-15 22:24 . 2007-12-15 16:46 77,824 --a------ C:\WINDOWS\binret.exe

2007-12-15 22:15 . 2007-12-16 07:52

2007-12-15 21:56 . 2007-12-15 21:56

2007-12-08 18:36 . 2007-12-08 18:36

2007-12-07 19:46 . 2007-12-08 19:24

2007-12-07 19:37 . 2007-12-07 19:46

2007-11-28 23:30 . 2007-11-28 23:30

2007-11-27 15:47 . 2007-11-27 15:47

2007-11-27 15:47 . 1998-02-06 22:37 299,520 --a------ C:\WINDOWS\uninst.exe

2007-11-27 15:26 . 2007-12-01 22:43

2007-11-27 15:26 . 2004-03-09 01:00 132,880 --a------ C:\WINDOWS\system32\MSINET.OCX

2007-11-27 15:26 . 2001-01-11 21:52 75,264 --a------ C:\WINDOWS\system32\pkLink.ocx

2007-11-27 15:26 . 2002-09-03 16:46 36,864 --a------ C:\WINDOWS\system32\XPButton.ocx

2007-11-22 22:12 . 2007-11-22 22:13

2007-11-16 21:08 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-12-16 14:11 --------- d-----w C:\Program Files\cFosSpeed

2007-12-01 12:57 --------- d-----w C:\Program Files\vanBasco's Karaoke Player

2007-11-22 21:24 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll

2007-11-21 18:26 --------- d-----w C:\Program Files\Opera

2007-11-16 20:08 --------- d-----w C:\Program Files\Java

2007-11-10 15:03 --------- d-----w C:\Program Files\AllerCalc

2007-11-03 21:22 --------- d-----w C:\Program Files\Real Alternative

2007-11-03 21:22 --------- d-----w C:\Program Files\Media Player Classic

2007-11-03 21:22 --------- d-----w C:\Documents and Settings\Rafal\Dane aplikacji\Media Player Classic

2007-10-27 19:39 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Microsoft Help

2007-10-27 04:47 --------- d-----w C:\Program Files\Microsoft.NET

2007-10-27 04:47 --------- d-----w C:\Program Files\Microsoft Works

2007-10-25 23:07 20,152 ----a-w C:\WINDOWS\system32\drivers\INFCACHE.1

2007-10-25 20:49 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-10-25 20:49 --------- d-----w C:\Program Files\Panda Software

2007-10-25 06:39 --------- d-----w C:\Program Files\VIA

2007-10-25 06:36 15,600 ----a-w C:\WINDOWS\gdrv.sys

2007-10-25 06:36 --------- d-----w C:\Program Files\Yahoo!

2007-10-25 06:21 558,142 ----a-w C:\WINDOWS\java\Packages\2M53793H.ZIP

2007-10-25 06:21 155,995 ----a-w C:\WINDOWS\java\Packages\1BP3N13B.ZIP

2007-08-09 18:53 15,792 -c--a-w C:\Documents and Settings\Rafal\Dane aplikacji\GDIPFONTCACHEV1.DAT

2007-06-02 09:42 16,368 -c--a-w C:\Documents and Settings\Komp\Dane aplikacji\GDIPFONTCACHEV1.DAT

2007-08-14 13:45 23 -csha-w C:\WINDOWS\system32\bfedfbcd7_r.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects{202EBB90-ABD4-46CC-BB5A-4F0ECC67B331}]

2007-12-15 16:46 278528 --a------ C:\WINDOWS\ttvbonvgl.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

{257F0149-3042-4F1E-97A1-7602460E97EE}

[HKEY_CLASSES_ROOT\clsid{257f0149-3042-4f1e-97a1-7602460e97ee}]

[HKEY_CLASSES_ROOT\leosrv.ToolBar.1]

[HKEY_CLASSES_ROOT\TypeLib{5240BCA3-9F39-4D98-9F8C-8712CDAA194F}]

[HKEY_CLASSES_ROOT\leosrv.ToolBar]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 17:24]

"AdwareRemover2007"="C:\Program Files\AdwareRemover2007\AdwareRemover2007.exe" [2007-12-16 11:05]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skrót do strony właściwości High Definition Audio"="HDAShCut.exe" [2005-01-07 16:07 C:\WINDOWS\system32\HdAShCut.exe]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 16:41]

"cFosSpeed"="C:\Program Files\cFosSpeed\cFosSpeed.exe" [2007-07-09 16:10]

"HDAudDeck"="C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-05-11 08:47]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableStatusMessages"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"hjoqor"= {79989877-C152-490C-981D-6CCCF1EF495B} - C:\WINDOWS\hjoqor.dll [2007-12-15 16:46 253952]

"xcvwer"= {3AF1EAF2-D98B-4C65-9BFC-24F49E37EBE8} - C:\WINDOWS\xcvwer.dll [2007-12-15 16:46 270336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]

avldr.dll 2006-07-14 12:46 45056 C:\WINDOWS\system32\avldr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]

C:\PROGRA~1\Stardock\Object Desktop\WindowBlinds\wbsrv.dll 2007-03-05 16:36 140976 C:\PROGRA~1\Stardock\Object Desktop\WindowBlinds\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]

ALCWZRD.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

C:\Program Files\DAEMON Tools\daemon.exe -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus D88 Series]

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 EPSON Stylus D88 Series /O6 USB001 /M Stylus D88

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

SOUNDMAN.EXE

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys

R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys

R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys

S3 AN983;Karta ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet;C:\WINDOWS\system32\DRIVERS\AN983.sys

S3 gdrv;gdrv;\??\C:\WINDOWS\gdrv.sys

S3 MTK;Media Technology Kernel Driver;C:\WINDOWS\system32\Drivers\mtk.sys

.

**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-16 15:17:29

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HDAudDeck = C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2007-12-16 15:21:35

C:\ComboFix2.txt ... 2007-12-16 14:49

.

2007-10-27 19:45:38 --- E O F ---


(Lost World) #4

Więc zaczynami , bo syfu trochę masz , na teraz proponuję automaty , bo widzę że pobrałeś na PC m.in trefny soft , a to źle.

Automaty

Pobierz narzędzie SDFix

*Klikamy 2 krotknie na ikonę SDFix.exe ,program wypakuje się domyślnie do lokalizacji C:\ SDFix

*Wchodzimy do trybu awaryjnego z obsługą sieci:

>>>>>> Jak wejść do trybu awaryjnego z obsługą sieci?

*F8 podczas bootowania systemu.

*Używamy narzędzia BootSafe.exezaznaczamy opcje Safe Mode- Networking i klikamy reboot

*Gdy już jesteśmy w trybie awaryjnym,wchodzimy do folderu SDFix i uruchamiamy narzędzie klikająć

2-krotnie na plik RunThis.bat lewym przyciskiem myszy.

*Wciskamy Y co uruchomi proces usuwania

*Kiedy proces usuwania się zakończy wciskamy dowolny klawisz>>nastąpi restart.

*Po restarcie SDFix dokończy proces usuwania,kiedy w oknie narzędzia SDFix pojawi się napis Finished

klikamy dowolny klawisz,narzędzie zakończy swoją pracę,na pulpicie załadują się ikony.

*Wchodzimy do folderu SDFix i kopiujemy zawartość pliku tekstowego Report.txt i wklejamy go na forum

Pobierz : SmitFraudFix

Tryb numer 2 i wklejasz raport (C:\SmitfraudFix.txt).Oczywiście w trybie awaryjnym.

Konfiguracja Seconfig XP

Pobierz WWDC

Wszystkie znaczki mają być na zielono (NetBIOS może być na żółto)

http://cybertrash.pl/images/tata/RogueR ... mover.html <- Opis

I na końcu

Daj log z Combofix

Opis użycia ComboFix jest na tej stronie z linku.

Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/, a tu daj tylko link.

Kolejność tak jak podałem...

@edit

Menedżer programów , nie wiem co to , ale...:wink:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000000


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskMgr"=dword:00000000

"**del.DisableTaskMgr"=" "


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

"DisableTaskMgr"=dword:00000000

Plik -> zapisz jako -> zmień rozszerzenie na wszystkie pliki -> zapisz pod nazwą FIX.REG

W trybie awaryjnym odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa.


(system) #5

Dzięki,

wiele pracy ale miejmy nadzieję że profesjonalizm ludzi z forum pomoże.

No więc wykonałem wszystko co miałem i oto rezultaty

1.log z SDFix

  1. log z

  1. log z combo fix

mam nadzieje ze wszystko sie udało


(system) #6

Oczywiście maneger programów to maneger zadań, pomyliłem sie na poczatku


(Gutek) #7

Użyj http://home.hetnet.nl/~stefsmeenk/RVAXO.exe i po tym nowy log z Combo


(system) #8

Witam,

Mam problem z tym samym wirusem co autor tematu , postępuje zgodnie z opisem jaki przedstawiliście powyżej , mam kilka logów z działania programów skanujących o których pisaliście .

Wklejam je poniżej i proszę o informację co mam usunąć lub jakiego programu jeszcze użyć .

z góry dzięki za pomoc :slight_smile:

1) log z SDFix :

2) log z combo fix :

http://wklej.org/id/81e9885166

3) log z Hijack


(Gutek) #9

Wklej do Notatnika:

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(system) #10

dzięki za info , wklejam link do loga z combo :

http://wklej.org/id/8d3c75ea21


(Gutek) #11

Optymalizacja XP: viewtopic.php?t=76580

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177

możesz rejestr przelecieć albo

jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509

Opis RegCleaner - http://www.agavk.p9.pl/strony/progra_regcleaner.php

Zobacz - Obsługa jv16 PowerTools