zassałem ost jakas podejrzaną instalke do odtwarzania jakiegos formatu video , i od tego sie zaczęło, O to moj hijackthis log
Te w/w wpisy sfiksuj w Hijacku (większość to bezplikowe wpisy):
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.
Potem użyj SmitfraudFix - http://forum.dobreprogramy.pl/viewtopic.php?t=36654.
Użyj go z opcji 2 czyli wpisz 2 i naciśnij ENTER.
Potem daj tu:
-
raport z C:\SmitfraudFix Report.txt
-
log z ComboFixa:
http://forum.dobreprogramy.pl/viewtopic.php?t=36654(na dole tej strony z linku) -
Log wklej na http://wklej.org/, a w poście daj tylko link.
Napisz też, czy masz jakieś narzędzie (np. Killbox, GMER, Avenger…) do usuwania tych zaznaczonych na czerwono plików.
.
hej, zrobiłem tak jak kazałas tu prosze ciebie daje Ci raporcik
http://wklej.org/id/5f043311b5
z SmitFraudFix, ale nie moge ruszyc log z ComboFixa, bo wyskakuje mi , C:\windows\regedit.exe is missing. A i nie posiadam żadnych programow do usuwania tych na czerwono. ale sprobuje ściągnąć z tych co wymienialas cos. Ikona z wiadomoscia ze mam wirusa od systemu znikneła, tzn juz jest lepiej niz było, co mnie bardzo cieszy, ale czekam od Ciebie kochana dalszych wskazowek, byc moze jest juz wszystko okay. Ps. jakiego używać antywira??
- Czy naprawdę nie masz tego pliku " regedit.exe? Aż trudno uwierzyć!
Zobacz, może masz zapasowy w C:\WINDOWS\system32\ dllcache.
Jeśli nie masz, to będziesz musiał przeinstalować system, (a właściwie tylko ten plik).
- Z raportu SmitfraudFixa wcale nie wynika, że był użyty z opcji 2.
Nie widać, by coś było “deleted”.
Jeśli rzeczywiście tak było, to powtórz to, ale tym razem na pewno z opcji 2.
- ścieżki plików do usuwania:
C:\Documents and Settings\wrona\Menu Start\Programy\Autostart\PowerReg Scheduler.exe
C:\Windows\ADS.exe
- bez logu z ComboFixa ewentualne dalsze usuwanie jest niewykonalne.
.
-
mam regedit.exe, ale ComboFix.exe tego poprostu nie widzi, nie wiedząc czego…
-
A co do SmitfraudFixa to robilem dokladnie tak jak prosiłas zapodałem 2czke
,clean (safe mode recommended ), i taki raporcik wyszedł :
http://wklej.org/id/e2267734d0
a nie mozna jakims innym programem zrobic loga w zamian za Combofixa?? bo poprostu nie widzi mi regedit.exe
Złączono Posta : 14.08.2007 (Wto) 12:55
ComboFix ani drgnie, nie widzi rejestru rzuce Ci jeszcze rez loga z HJT bo jak skanuje Ad-aware to cał czas siedzi mi robak w przegladarce na str startowej, moze znajdziesz gdzies go tu :
Złączono Posta : 14.08.2007 (Wto) 13:14
co z tym dalej robic Jessi ?
Niestety, nic tu po mnie.
W logu Hijacka nie widzę nic podejrzanego.
Log ze SmitfraudFixa nie zmieścił się nawet na “wklej.org” - jest bez dolnej części, w której zazwyczaj jest napisane, czy coś jest “deleted”.
Ale tu wierzę Ci na słowo, że użyłeś z opcji 2 , więc to zostawiamy w spokoju.
Zamiast ComboFixa możesz dać log z DSS.
Log wklej na http://wklej.org/, a w poście daj tylko link.
.
okay to zapodam Ci kochaniutka w takim razie koniec raportu od SmitFraudFixa : http://wklej.org/id/fe6a63ac20
i oraz także prosze ciebie log z DDS :
Deckard’s System Scanner v20070809.63
Run by wrona on 2007-08-14 at 13:48:26
Computer is in Normal Mode.
– System Restore --------------------------------------------------------------
System Restore is disabled; attempting to re-enable…success.
– Last 1 Restore Point(s) –
1: 2007-08-14 11:48:29 UTC - RP1 - Punkt kontrolny systemu
Backed up registry hives.
Performed disk cleanup.
Percentage of Memory in Use: 78% (more than 75%).
Total Physical Memory: 256 MiB (512 MiB recommended).
– HijackThis (run as wrona.exe) -----------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 13:49:25, on 2007-08-14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
D:\Program Files\CursorXP\CursorXP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\explorer.exe
C:\Documents and Settings\wrona\Pulpit\dss.exe
C:\DOCUME~1\wrona\Pulpit\wrona.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Program Files\BitComet\tools\BitCometBHO_1.1.5.19.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE
O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe”
O4 - HKLM…\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU…\Run: [CursorXP] d:\Program Files\CursorXP\CursorXP.exe
O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray
O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [bitComet] “D:\Program Files\BitComet\BitComet.exe” /tray
O4 - HKCU…\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O8 - Extra context menu item: Download all links using BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus … nicode.cab
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
– HijackThis Fixed Entries (C:\DOCUME~1\wrona\Pulpit\backups) ----------------
backup-20070813-213401-313 O2 - BHO: (no name) - {3212BCA5-DFC1-4587-AD42-A4462C1D417E} - (no file)
backup-20070813-213401-459 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
backup-20070813-213401-477 O4 - Startup: PowerReg Scheduler V3.exe
backup-20070813-213401-488 O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Program Files\Video ActiveX Access\iesplg.dll (file missing)
backup-20070813-213401-594 O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
backup-20070813-213401-722 O4 - HKCU…\Run: [ADS] C:\Windows\ADS.exe
backup-20070813-213401-729 O3 - Toolbar: (no name) - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - (no file)
backup-20070813-213401-772 O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - (no file)
backup-20070813-213401-861 O3 - Toolbar: (no name) - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - (no file)
– File Associations -----------------------------------------------------------
.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL “%1”,%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser “%1”,%*
– Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------
R0 Imagedrv - c:\windows\system32\drivers\imagedrv.sys
R0 ndisrd - c:\windows\system32\drivers\ndisrd.sys
R0 sfdrv01 (StarForce Protection Environment Driver (version 1.x)) - c:\windows\system32\drivers\sfdrv01.sys
R0 sfhlp02 (StarForce Protection Helper Driver (version 2.x)) - c:\windows\system32\drivers\sfhlp02.sys
R0 sfvfs02 (StarForce Protection VFS Driver (version 2.x)) - c:\windows\system32\drivers\sfvfs02.sys
R1 Klmc - c:\windows\system32\drivers\klmc.sys
R1 papycpu2 - c:\windows\system32\drivers\papycpu2.sys
R1 papyjoy - c:\windows\system32\drivers\papyjoy.sys
R1 SASDIFSV - c:\program files\superantispyware\sasdifsv.sys
R1 SASKUTIL - c:\program files\superantispyware\saskutil.sys
R1 SCDEmu - c:\windows\system32\drivers\scdemu.sys
R3 SASENUM - c:\program files\superantispyware\sasenum.sys
S3 dtscsi - c:\windows\system32\drivers\dtscsi.sys (file missing)
S3 FETNDIS (Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet) - c:\windows\system32\drivers\fetnd5.sys (file missing)
S3 pcouffin (VSO Software pcouffin) - c:\windows\system32\drivers\pcouffin.sys
– Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------
R2 aawservice (Ad-Aware 2007 Service) - “c:\program files\lavasoft\ad-aware 2007\aawservice.exe”
S2 kavsvc - c:\program files\kaspersky lab\kaspersky anti-virus personal\kavsvc.exe
S3 AresChatServer (Ares Chatroom server) - c:\program files\ares\chatserver.exe
– Device Manager: Disabled ----------------------------------------------------
No disabled devices found.
– Scheduled Tasks -------------------------------------------------------------
2007-08-12 19:07:01 294 --a----c- C:\WINDOWS\Tasks\Ace Optimizer Maintenance.job
2007-07-31 15:51:27 284 --a----c- C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
– Files created between 2007-07-14 and 2007-08-14 -----------------------------
2007-08-14 13:00:17 0 d-------- C:\Program Files\SUPERAntiSpyware
2007-08-14 12:32:53 0 d-------- C:!KillBox
2007-08-14 00:17:28 51200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-08-14 00:17:27 288417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-08-14 00:17:27 53248 --a------ C:\WINDOWS\system32\Process.exe http://www.beyondlogic.org; Command Line Process Utility>
2007-08-14 00:03:18 1412580 --a------ C:\ComboFix.exe
2007-08-13 21:58:58 1998 --a------ C:\WINDOWS\system32\tmp.reg
2007-08-13 11:16:33 0 d-------- C:\WINDOWS\BricoPacks
2007-08-13 08:53:08 0 d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-13 08:21:26 0 d-------- C:\Program Files\SkanerOnline
2007-08-12 14:21:02 0 d-------- C:\Program Files\Spyware Doctor
2007-08-06 15:05:23 0 dr-h----- C:\Documents and Settings\wrona\Recent
2007-08-05 15:15:50 0 d-------- C:\Program Files\Skype
2007-08-05 15:15:50 0 d-------- C:\Program Files\Common Files\Skype
2007-07-30 21:27:25 715 --a------ C:\WINDOWS\unins000.dat
– Find3M Report ---------------------------------------------------------------
2007-08-14 13:00:17 0 d-------- C:\Documents and Settings\wrona\Dane aplikacji\SUPERAntiSpyware.com
2007-08-14 12:59:54 0 d-------- C:\Program Files\Common Files\Wise Installation Wizard
2007-08-13 08:33:22 0 d-------- C:\Program Files\FAST Defrag
2007-08-12 12:28:29 0 d-------- C:\Program Files\Lavasoft
2007-08-09 17:42:51 664 --a------ C:\WINDOWS\system32\d3d9caps.dat
2007-08-05 17:09:25 0 d-------- C:\Program Files\PianoFX
2007-08-05 17:05:56 0 d-------- C:\Documents and Settings\wrona\Dane aplikacji\Skype
2007-08-05 15:15:50 0 d-------- C:\Program Files\Common Files
2007-07-30 23:53:21 0 d-------- C:\Program Files\Light Alloy
2007-07-28 11:37:53 0 d-------- C:\Documents and Settings\wrona\Dane aplikacji\Ahead
2007-07-21 13:14:54 0 d-------- C:\Program Files\Ganymede
2007-07-17 10:56:26 355486 --a----c- C:\WINDOWS\system32\perfh015.dat
2007-07-17 10:56:26 49492 --a----c- C:\WINDOWS\system32\perfc015.dat
2007-07-13 22:29:49 0 d-------- C:\Program Files\Realtek AC97
2007-07-13 15:14:38 0 d–h----- C:\Program Files\InstallShield Installation Information
2007-07-09 15:26:18 3293 --a----c- C:\WINDOWS\mozver.dat
2007-07-08 23:27:40 0 d-------- C:\Program Files\Winamp
2007-07-05 22:45:02 0 d-------- C:\Program Files\Ares
2007-07-04 14:17:53 0 d-------- C:\Program Files\Sidebar
2007-07-02 13:23:26 0 d-------- C:\Program Files\Recode Media
2007-06-15 13:11:26 2560 --a------ C:\WINDOWS\system32\BitCometRes.dll
2007-06-15 13:11:05 0 d-------- C:\Program Files\Maxthon
2007-05-15 12:00:04 32 --a------ C:\WINDOWS\hip
– Registry Dump ---------------------------------------------------------------
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-06-01 17:22]
“nwiz”=“nwiz.exe” [2006-06-01 17:22 C:\WINDOWS\system32\nwiz.exe]
“NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 10:50]
“SoundMan”=“SOUNDMAN.EXE” [2003-08-05 07:59 C:\WINDOWS\soundman.exe]
“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” [2007-03-14 03:43]
“KAVPersonal50”=“C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe” [2004-06-17 18:38]
“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2006-06-01 17:22]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“LeechGet”="" []
“CursorXP”=“d:\Program Files\CursorXP\CursorXP.exe” [2005-01-19 16:34]
“Gadu-Gadu”=“D:\Program Files\Gadu-Gadu\gg.exe” [2006-01-31 14:26]
“FAST Defrag”="" []
“swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-06-19 20:00]
“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44]
“BitComet”=“D:\Program Files\BitComet\BitComet.exe” [2007-05-31 16:17]
“SUPERAntiSpyware”=“C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe” [2007-06-21 14:06]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
“NoLowDiskSpaceChecks”=0 (0x0)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
“{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}”= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@=“Service”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@=“Service”
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@=“Volume shadow copy”
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearFlix]
“C:\Program Files\BearFlix\BearFlix.exe” /pause
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
AutoRun\command- F:\autorun.exe
– Hosts -----------------------------------------------------------------------
127.0.0.1 abcsearch.com
127.0.0.1 admin.abcsearch.com
127.0.0.1 www3.abcsearch.com #[browseraid]
127.0.0.1 http://www.abcsearch.com
127.0.0.1 abc517.net #[Trojan.Mitglieder.H]
127.0.0.1 acestats.com
127.0.0.1 http://www.acestats.com
127.0.0.1 actualnames.com #[Parasite.ActualNames]
127.0.0.1 http://www.actualnames.com
127.0.0.1 ad-up.com
4605 more entries in hosts file.
– End of Deckard’s System Scanner: finished at 2007-08-14 at 13:50:20 ---------
tu tyły 3 pliki to daje Ci na wszelki wypadek wszytskie:
i …
Tego pewnie nie ustawiałeś? > Ściągasz HostsXpert, wypakowujesz i uruchamiasz. Klikasz Make Hosts ReadOnly? i zrobione.
Do notatnika wklej:
Plik > zapisz jako > zmień rozszerzenie z .txt na wszystkie pliki > zapisz pod nazwą Fix.reg np na
pulpicie > dwuklik na Fix.reg > potwierdzasz > restart.
Poza tym nic więcej nie widzę.
Możesz dodatkowo przeczyścić rejestr > jv16 PowerTools 1.3.0.195 + opis.