Zasyfiony komp... POMOCY!


(system) #1

zassałem ost jakas podejrzaną instalke do odtwarzania jakiegos formatu video , i od tego sie zaczęło, O to moj hijackthis log


(jessica) #2

Te w/w wpisy sfiksuj w Hijacku (większość to bezplikowe wpisy):

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem użyj SmitfraudFix -

.

Użyj go z opcji 2 czyli wpisz 2 i naciśnij ENTER.

Potem daj tu:

1) raport z C:\SmitfraudFix Report.txt

2) log z ComboFixa:

(na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

Napisz też, czy masz jakieś narzędzie (np. Killbox, GMER, Avenger...) do usuwania tych zaznaczonych na czerwono plików.

.


(system) #3

hej, zrobiłem tak jak kazałas tu prosze ciebie daje Ci raporcik

http://wklej.org/id/5f043311b5

z SmitFraudFix, ale nie moge ruszyc log z ComboFixa, bo wyskakuje mi , C:\windows\regedit.exe is missing. :expressionless: A i nie posiadam żadnych programow do usuwania tych na czerwono. ale sprobuje ściągnąć z tych co wymienialas cos. Ikona z wiadomoscia ze mam wirusa od systemu znikneła, tzn juz jest lepiej niz było, co mnie bardzo cieszy, ale czekam od Ciebie kochana dalszych wskazowek, byc moze jest juz wszystko okay. Ps. jakiego używać antywira??


(jessica) #4

1) Czy naprawdę nie masz tego pliku " regedit.exe? Aż trudno uwierzyć!

Zobacz, może masz zapasowy w C:\WINDOWS\system32\ dllcache.

Jeśli nie masz, to będziesz musiał przeinstalować system, (a właściwie tylko ten plik).

2) Z raportu SmitfraudFixa wcale nie wynika, że był użyty z opcji 2.

Nie widać, by coś było "deleted".

Jeśli rzeczywiście tak było, to powtórz to, ale tym razem na pewno z opcji 2.

3) ścieżki plików do usuwania:

C:\Documents and Settings\wrona\Menu Start\Programy\Autostart\PowerReg Scheduler.exe

C:\Windows\ADS.exe

4) bez logu z ComboFixa ewentualne dalsze usuwanie jest niewykonalne.

.


(system) #5

1) mam regedit.exe, ale ComboFix.exe tego poprostu nie widzi, nie wiedząc czego... :expressionless:

2) A co do SmitfraudFixa to robilem dokladnie tak jak prosiłas zapodałem 2czke

,,clean (safe mode recommended ),, i taki raporcik wyszedł :

http://wklej.org/id/e2267734d0

a nie mozna jakims innym programem zrobic loga w zamian za Combofixa?? bo poprostu nie widzi mi regedit.exe :expressionless:

Złączono Posta : 14.08.2007 (Wto) 12:55

ComboFix ani drgnie, nie widzi rejestru :expressionless: rzuce Ci jeszcze rez loga z HJT bo jak skanuje Ad-aware to cał czas siedzi mi robak w przegladarce na str startowej, moze znajdziesz gdzies go tu :

Złączono Posta : 14.08.2007 (Wto) 13:14

co z tym dalej robic Jessi ?


(jessica) #6

Niestety, nic tu po mnie. :frowning:

W logu Hijacka nie widzę nic podejrzanego.

Log ze SmitfraudFixa nie zmieścił się nawet na "wklej.org" - jest bez dolnej części, w której zazwyczaj jest napisane, czy coś jest "deleted".

Ale tu wierzę Ci na słowo, że użyłeś z opcji 2 , więc to zostawiamy w spokoju.

Zamiast ComboFixa możesz dać log z DSS.

Log wklej na http://wklej.org/, a w poście daj tylko link.

.


(system) #7

okay to zapodam Ci kochaniutka w takim razie koniec raportu od SmitFraudFixa : http://wklej.org/id/fe6a63ac20

i oraz także prosze ciebie log z DDS :

Deckard's System Scanner v20070809.63

Run by wrona on 2007-08-14 at 13:48:26

Computer is in Normal Mode.


-- System Restore --------------------------------------------------------------

System Restore is disabled; attempting to re-enable...success.

-- Last 1 Restore Point(s) --

1: 2007-08-14 11:48:29 UTC - RP1 - Punkt kontrolny systemu

Backed up registry hives.

Performed disk cleanup.

Percentage of Memory in Use: 78% (more than 75%).

Total Physical Memory: 256 MiB (512 MiB recommended).

-- HijackThis (run as wrona.exe) -----------------------------------------------

Logfile of HijackThis v1.99.1

Scan saved at 13:49:25, on 2007-08-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

D:\Program Files\CursorXP\CursorXP.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE

C:\WINDOWS\explorer.exe

C:\Documents and Settings\wrona\Pulpit\dss.exe

C:\DOCUME~1\wrona\Pulpit\wrona.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Program Files\BitComet\tools\BitCometBHO_1.1.5.19.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU..\Run: [CursorXP] d:\Program Files\CursorXP\CursorXP.exe

O4 - HKCU..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [bitComet] "D:\Program Files\BitComet\BitComet.exe" /tray

O4 - HKCU..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O8 - Extra context menu item: Download all links using BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus ... nicode.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

-- HijackThis Fixed Entries (C:\DOCUME~1\wrona\Pulpit\backups) ----------------

backup-20070813-213401-313 O2 - BHO: (no name) - {3212BCA5-DFC1-4587-AD42-A4462C1D417E} - (no file)

backup-20070813-213401-459 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

backup-20070813-213401-477 O4 - Startup: PowerReg Scheduler V3.exe

backup-20070813-213401-488 O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Program Files\Video ActiveX Access\iesplg.dll (file missing)

backup-20070813-213401-594 O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

backup-20070813-213401-722 O4 - HKCU..\Run: [ADS] C:\Windows\ADS.exe

backup-20070813-213401-729 O3 - Toolbar: (no name) - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - (no file)

backup-20070813-213401-772 O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - (no file)

backup-20070813-213401-861 O3 - Toolbar: (no name) - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - (no file)

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*

.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 Imagedrv - c:\windows\system32\drivers\imagedrv.sys

R0 ndisrd - c:\windows\system32\drivers\ndisrd.sys

R0 sfdrv01 (StarForce Protection Environment Driver (version 1.x)) - c:\windows\system32\drivers\sfdrv01.sys

R0 sfhlp02 (StarForce Protection Helper Driver (version 2.x)) - c:\windows\system32\drivers\sfhlp02.sys

R0 sfvfs02 (StarForce Protection VFS Driver (version 2.x)) - c:\windows\system32\drivers\sfvfs02.sys

R1 Klmc - c:\windows\system32\drivers\klmc.sys

R1 papycpu2 - c:\windows\system32\drivers\papycpu2.sys

R1 papyjoy - c:\windows\system32\drivers\papyjoy.sys

R1 SASDIFSV - c:\program files\superantispyware\sasdifsv.sys

R1 SASKUTIL - c:\program files\superantispyware\saskutil.sys

R1 SCDEmu - c:\windows\system32\drivers\scdemu.sys

R3 SASENUM - c:\program files\superantispyware\sasenum.sys

S3 dtscsi - c:\windows\system32\drivers\dtscsi.sys (file missing)

S3 FETNDIS (Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet) - c:\windows\system32\drivers\fetnd5.sys (file missing)

S3 pcouffin (VSO Software pcouffin) - c:\windows\system32\drivers\pcouffin.sys

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 aawservice (Ad-Aware 2007 Service) - "c:\program files\lavasoft\ad-aware 2007\aawservice.exe"

S2 kavsvc - c:\program files\kaspersky lab\kaspersky anti-virus personal\kavsvc.exe

S3 AresChatServer (Ares Chatroom server) - c:\program files\ares\chatserver.exe

-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.

-- Scheduled Tasks -------------------------------------------------------------

2007-08-12 19:07:01 294 --a----c- C:\WINDOWS\Tasks\Ace Optimizer Maintenance.job

2007-07-31 15:51:27 284 --a----c- C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

-- Files created between 2007-07-14 and 2007-08-14 -----------------------------

2007-08-14 13:00:17 0 d-------- C:\Program Files\SUPERAntiSpyware

2007-08-14 12:32:53 0 d-------- C:!KillBox

2007-08-14 00:17:28 51200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-08-14 00:17:27 288417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-08-14 00:17:27 53248 --a------ C:\WINDOWS\system32\Process.exe http://www.beyondlogic.org; Command Line Process Utility>

2007-08-14 00:03:18 1412580 --a------ C:\ComboFix.exe

2007-08-13 21:58:58 1998 --a------ C:\WINDOWS\system32\tmp.reg

2007-08-13 11:16:33 0 d-------- C:\WINDOWS\BricoPacks

2007-08-13 08:53:08 0 d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-08-13 08:21:26 0 d-------- C:\Program Files\SkanerOnline

2007-08-12 14:21:02 0 d-------- C:\Program Files\Spyware Doctor

2007-08-06 15:05:23 0 dr-h----- C:\Documents and Settings\wrona\Recent

2007-08-05 15:15:50 0 d-------- C:\Program Files\Skype

2007-08-05 15:15:50 0 d-------- C:\Program Files\Common Files\Skype

2007-07-30 21:27:25 715 --a------ C:\WINDOWS\unins000.dat

-- Find3M Report ---------------------------------------------------------------

2007-08-14 13:00:17 0 d-------- C:\Documents and Settings\wrona\Dane aplikacji\SUPERAntiSpyware.com

2007-08-14 12:59:54 0 d-------- C:\Program Files\Common Files\Wise Installation Wizard

2007-08-13 08:33:22 0 d-------- C:\Program Files\FAST Defrag

2007-08-12 12:28:29 0 d-------- C:\Program Files\Lavasoft

2007-08-09 17:42:51 664 --a------ C:\WINDOWS\system32\d3d9caps.dat

2007-08-05 17:09:25 0 d-------- C:\Program Files\PianoFX

2007-08-05 17:05:56 0 d-------- C:\Documents and Settings\wrona\Dane aplikacji\Skype

2007-08-05 15:15:50 0 d-------- C:\Program Files\Common Files

2007-07-30 23:53:21 0 d-------- C:\Program Files\Light Alloy

2007-07-28 11:37:53 0 d-------- C:\Documents and Settings\wrona\Dane aplikacji\Ahead

2007-07-21 13:14:54 0 d-------- C:\Program Files\Ganymede

2007-07-17 10:56:26 355486 --a----c- C:\WINDOWS\system32\perfh015.dat

2007-07-17 10:56:26 49492 --a----c- C:\WINDOWS\system32\perfc015.dat

2007-07-13 22:29:49 0 d-------- C:\Program Files\Realtek AC97

2007-07-13 15:14:38 0 d--h----- C:\Program Files\InstallShield Installation Information

2007-07-09 15:26:18 3293 --a----c- C:\WINDOWS\mozver.dat

2007-07-08 23:27:40 0 d-------- C:\Program Files\Winamp

2007-07-05 22:45:02 0 d-------- C:\Program Files\Ares

2007-07-04 14:17:53 0 d-------- C:\Program Files\Sidebar

2007-07-02 13:23:26 0 d-------- C:\Program Files\Recode Media

2007-06-15 13:11:26 2560 --a------ C:\WINDOWS\system32\BitCometRes.dll

2007-06-15 13:11:05 0 d-------- C:\Program Files\Maxthon

2007-05-15 12:00:04 32 --a------ C:\WINDOWS\hip

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 17:22]

"nwiz"="nwiz.exe" [2006-06-01 17:22 C:\WINDOWS\system32\nwiz.exe]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]

"SoundMan"="SOUNDMAN.EXE" [2003-08-05 07:59 C:\WINDOWS\soundman.exe]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]

"KAVPersonal50"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" [2004-06-17 18:38]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-06-01 17:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LeechGet"="" []

"CursorXP"="d:\Program Files\CursorXP\CursorXP.exe" [2005-01-19 16:34]

"Gadu-Gadu"="D:\Program Files\Gadu-Gadu\gg.exe" [2006-01-31 14:26]

"FAST Defrag"="" []

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-19 20:00]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44]

"BitComet"="D:\Program Files\BitComet\BitComet.exe" [2007-05-31 16:17]

"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoLowDiskSpaceChecks"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify!SASWinLogon]

C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]

@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearFlix]

"C:\Program Files\BearFlix\BearFlix.exe" /pause

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

AutoRun\command- F:\autorun.exe

-- Hosts -----------------------------------------------------------------------

127.0.0.1 abcsearch.com

127.0.0.1 admin.abcsearch.com

127.0.0.1 www3.abcsearch.com #[browseraid]

127.0.0.1 http://www.abcsearch.com

127.0.0.1 abc517.net #[Trojan.Mitglieder.H]

127.0.0.1 acestats.com

127.0.0.1 http://www.acestats.com

127.0.0.1 actualnames.com #[Parasite.ActualNames]

127.0.0.1 http://www.actualnames.com

127.0.0.1 ad-up.com

4605 more entries in hosts file.

-- End of Deckard's System Scanner: finished at 2007-08-14 at 13:50:20 ---------

tu tyły 3 pliki to daje Ci na wszelki wypadek wszytskie:

i ....


(qrczak13) #8

Tego pewnie nie ustawiałeś? > Ściągasz HostsXpert, wypakowujesz i uruchamiasz. Klikasz Make Hosts ReadOnly? i zrobione.

Do notatnika wklej:

Plik > zapisz jako > zmień rozszerzenie z .txt na wszystkie pliki > zapisz pod nazwą Fix.reg np na

pulpicie > dwuklik na Fix.reg > potwierdzasz > restart.

Poza tym nic więcej nie widzę.

Możesz dodatkowo przeczyścić rejestr > jv16 PowerTools 1.3.0.195 + opis.