Dzisiaj rano, włączam sobie kompa, patrzę a obok zegara w zasobniku miga sobie jakaś niebieska tarcza na przemian z niebieskim dymkiem z pytajnikiem, zdziwiony najechałem na ową ikonkę kursorem myszy, po chwili ukazał sie nad nią dymek o treści System Alert windows detected spyware infections on your computer, ble ble oraz link do strony, z której rzekomo można pobrać cudowny program, który rozwiąże problem (hehehe) zrobiłem czym prędzej logi z hijacka i zafiksowałem wpisy ismfm.exe i isfmfm.dll , następnie zapuściłem combofixa, po restarcie brak poprawy, ba, nawet w trybie awaryjnym ów dymek nadał się pojawiał :shock: Po combofix’ie w awaryjnym przynajmniej zmieniła sie treść dymka na niezrozumiały ciąg znaków i symboli, ale za to pojawiał się teraz co 10-15 sekund. Myślę sobie “ha, uszkodziłem dziada” :mrgreen: Pełen nadziei włączam skan spybota, po niemal godzinnym skanowaniu, ku mojej radości znalazł szkodnika o nazwie Win32.genos, lecz niestety przy próbie jego usunięcia wieszał sie spybot . Ale nie ze mną te numery sprawdziłem ścieżkę pod jaką szkodnik siedzał, był to plik dll w folderze C:\Windows\System32 (nazwy nie pamiętam, wkleiłem ścieżkę do killboxa i po restarcie problem zniknął bez śladu, Daję logi dla świętego spokoju czy nie ma czasem jakichś pozostałości. :?
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:20:38, on 2007-09-30 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\WINDOWS\System32\RUNDLL32.EXE D:\Programy\AntiVir PersonalEdition Classic\avgnt.exe D:\Programy\PowerISO\PWRISOVM.EXE D:\Programy\Comodo Firewall\Personal Firewall\CPF.exe C:\Program Files\Comodo\LaunchPad\CLPTray.exe D:\Programy\BOCLEA~1.25\BOC425.exe C:\WINDOWS\system32\RaConfig.exe D:\Programy\XFire\xfire.exe D:\Programy\Mozilla Firefox 2.0\firefox.exe D:\Programy\Tlen.pl\tlen.exe D:\Programy\hijackthis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go2.hit.gemius.pl/hitredir/id=ci … 07_SP07_17 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programy\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O2 - BHO: (no name) - {D579A683-0CC7-4023-BAE7-0544D0D1DA3A} - (no file) O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [avgnt] “D:\Programy\AntiVir PersonalEdition Classic\avgnt.exe” /min O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [PWRISOVM.EXE] D:\Programy\PowerISO\PWRISOVM.EXE O4 - HKLM…\Run: [Comodo Personal Firewall] D:\Programy\Comodo Firewall\Personal Firewall\CPF.exe sysrestart O4 - HKLM…\Run: [Comodo Launch Pad Tray] C:\Program Files\Comodo\LaunchPad\CLPTray.exe O4 - HKLM…\Run: [bOC-425] D:\Programy\BOCLEA~1.25\BOC425.exe O4 - HKLM…\RunOnce: [spybotDeletingA8818] command /c del “C:\WINDOWS\system32\vzfhprk.dll_tobedeleted_old” O4 - HKLM…\RunOnce: [spybotDeletingC2826] cmd /c del “C:\WINDOWS\system32\vzfhprk.dll_tobedeleted_old” O4 - HKLM…\RunOnce: [spybotDeletingA3823] command /c del “C:\WINDOWS\system32\vzfhprk.dll_tobedeleted_old_tobedeleted_old” O4 - HKLM…\RunOnce: [spybotDeletingC3276] cmd /c del “C:\WINDOWS\system32\vzfhprk.dll_tobedeleted_old_tobedeleted_old” O4 - HKLM…\RunOnce: [innoSetupRegFile.0000000001] “C:\WINDOWS\is-I25A7.exe” /REG O4 - HKCU…\Run: [Komunikator] D:\Programy\Tlen.pl\tlen.exe O4 - HKCU…\Run: [ccleaner] “D:\Programy\CCleaner\ccleaner.exe” /AUTO O4 - HKCU…\Run: [NBJ] “D:\Programy\Nero Vision\Nero BackItUp\NBJ.exe” O4 - HKCU…\Run: [Odkurzacz-MCD] D:\Programy\Odkurzacz\odk_mcd.exe O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Startup: Xfire.lnk = D:\Programy\XFire\xfire.exe O4 - Startup: uTorrent.lnk = D:\Programy\Utorrent\uTorrent.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: RaConfig.lnk = C:\WINDOWS\system32\RaConfig.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programy\Adobe Reader 8\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programy\Adobe Reader 8\Reader\AdobeCollabSync.exe O9 - Extra button: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - D:\Programy\WINnerTweak3\PopUp Blocker.exe O9 - Extra ‘Tools’ menuitem: Pop-Up Blocker - {84536FE2-ABCD-3586-DCAB-40E286323737} - D:\Programy\WINnerTweak3\PopUp Blocker.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programy\SPYBOT~1\SDHelper.dll O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programy\SPYBOT~1\SDHelper.dll O17 - HKLM\System\CCS\Services\Tcpip…{9759F774-A012-4E4C-A4B4-279406B4B4EA}: NameServer = 192.168.18.1,194.204.159.1 O22 - SharedTaskScheduler: homeridae - {95dde900-8bf3-428c-b9be-8345c9d194f7} - C:\WINDOWS\System32\vzfhprk.dll (file missing) O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programy\Ad-ware 2007\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programy\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programy\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BOCore - COMODO - D:\Programy\BOClean 4.25\BOCORE.exe O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - D:\Programy\Comodo Firewall\Personal Firewall\cmdagent.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programy\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\System32\UAService7.exe – End of file - 5867 bytes
Wpisy pogrubione - cóż to jest? Można zafiksować?
Combofix:
http://wklej.org/id/aef3b091fb
jessica
(jessica)
30 Wrzesień 2007 18:50
#2
Te pogrubione przez Ciebie wpisy powinny same zniknąć po restarcie, bo są “Run Once”.
Sprawdź, czy na pewno nie ma już tego pliku.
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Nic tu więcej podejrzanego nie widzę.
jessi
Pliku niema, zafiksowane, lecz te pogrubione wpisy dalej są, już po dwóch restartach, to źle?
:?
jessica
(jessica)
30 Wrzesień 2007 19:30
#4
Nawet na zagranicznych forach też nie wiedzą, co z tymi wpisami robić, czy są dobre, czy złe.
Weź je sfiksuj:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
To powinno je tylko wyłączyć z Autostartu.
jessi
jessica:
Nawet na zagranicznych forach też nie wiedzą, co z tymi wpisami robić, czy są dobre, czy złe. Weź je sfiksuj: >>Hijack>>scan(Do a system scan only)>>zaznacz je >>Fix checked. To powinno je tylko wyłączyć z Autostartu. jessi
hmmm, wszystko działa, więc na razie je sobie zostawię :mrgreen:
Lepiej niech są niż miałoby się coś zepsuć przez ich brak. Jutro jak mi sie będzie nudzić to z ciekawości zafiksuję i zobaczę czy coś sie stanie
Thx za pomoc