blue_light Napisano 6 Stycznia 2006 Zgłoś Napisano 6 Stycznia 2006 Witam. Odkąd mój ojczulek zaczął oddawać się swojemu 'hobby' na moim PeCecie mam mały problem. Otóż po kilku dniach jego ambitnych przeszukiwać internetu w pogoni za 'zwierzyną' na komputerze pojawiła się ładna tapeta z napisem "Your computer is infected" (takie żółte napisy na czarnym tle z jakimś linkiem). W ruch poszedł spy speeper, ad-aware i MKS VIR jednak mimo tego tapeta pozostawała nadal. Kiedy kliknąłem prawym można było wybrać "właściwości" a tam ścieżka poprowadziła mnie do pliku warnhp.html który usunąłem. Ale tapeta pozostawała dalej, tylko już bez napisu a z białym tłem. Przez przypadek w rogu ekranu kliknąłem na malutką strzałeczkę, która pomniejszyła białe tło do mniejszego kwadratu który cały czas widnieje w lewym górnym rogu. Teraz mam pytanie: Jak można usunąć to badziewie? Niżej zamieszczam screena jak to wygląda i loga z HiJackThis. -> SCREEN Logfile of HijackThis v1.99.1Scan saved at 14:29:48, on 2006-01-06Platform: Windows XP (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\WINDOWS\soundman.exeC:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeD:\MKS\Bin\mks_menu.exeC:\WINDOWS\System32\RUNDLL32.EXED:\rambooster\Rambooster.exeC:\WINDOWS\System32\rundll32.exeD:\Kerio\Personal Firewall 4\kpf4ss.exed:\MKS\Bin\NetMonSv.exed:\MKS\Bin\mksmonsv.exeC:\WINDOWS\System32\nvsvc32.exeC:\WINDOWS\System32\svchost.exeD:\Kerio\Personal Firewall 4\kpf4gui.exeD:\Kerio\Personal Firewall 4\kpf4gui.exed:\MKS\Bin\mks_scan.exeD:\Gadu-Gadu 7.0\gadu-gadu.exeD:\Avant Browser\avant.exeC:\Documents and Settings\KALINA\Pulpit\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blankR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.pl/R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe6\Adobe Acrobat 6.0 CE\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: (no name) - {2056F464-A6CF-45F9-9BC6-03F2449B3790} - C:\WINDOWS\System32\mcec.dll (file missing)O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Adobe6\Adobe Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dllO3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Adobe6\Adobe Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dllO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [SoundMan] soundman.exeO4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exeO4 - HKLM\..\Run: [MKS_MENU] d:\MKS\Bin\mks_menu.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKCU\..\Run: [RamBooster] D:\rambooster\Rambooster.exeO4 - HKCU\..\Run: [EdHTML] D:\EdHTML\EdHTML.exe /noneO8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\INCRED~1\bin\resources\WebMenuImg.htmO8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - D:\Avant Browser\AddAllToADBlackList.htmO8 - Extra context menu item: Dodaj do listy blokowanych reklam - D:\Avant Browser\AddToADBlackList.htmO8 - Extra context menu item: Download All by FlashGet - D:\FlashGet\jc_all.htmO8 - Extra context menu item: Download using FlashGet - D:\FlashGet\jc_link.htmO8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - D:\Avant Browser\OpenAllLinks.htmO8 - Extra context menu item: Podświetl - D:\Avant Browser\Highlight.htmO8 - Extra context menu item: Szukaj - D:\Avant Browser\Search.htmO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dllO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exeO9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exeO16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cabO16 - DPF: {5AE70FF8-20A7-4FC4-B896-404196B8B04C} (Smtpauth Control) - http://i.wp.pl/a/i/poczta_xl/smtpauth.ocxO16 - DPF: {5F874A6F-8B34-433D-BA4B-47AC91C0567F} (MailCfg Control) - https://poczta.wp.pl/autoryzacja/mailcfg2.ocxO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095858140860O16 - DPF: {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - http://dd.xo.pl/avicodec.ocxO16 - DPF: {DA694446-E25F-11D5-8FF6-0001021C7D4C} - ms-its:mhtml:file://c:\nosuxxx.mht!http://kazaalite.pl/stats/kgr.chm::/accessmul.ocxO16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cabO16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cabO20 - AppInit_DLLs: NVDESK32.DLL,wbsys.dllO20 - Winlogon Notify: WBSrv - D:\WINDOW~2\wbsrv.dllO23 - Service: AdobeVersionCue - Adobe Sytems - D:\Adobe6\Adobe Version Cue\service\VersionCue.exeO23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - D:\Kerio\Personal Firewall 4\kpf4ss.exeO23 - Service: MkS Net Monitor (MksNetMon) - MkS sp. z o.o. - d:\MKS\Bin\NetMonSv.exeO23 - Service: MkSUpdateInt - MkS Sp. z o. o. - d:\MKS\bin\MkSUpdateInt.exeO23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - d:\MKS\Bin\mksmonsv.exeO23 - Service: MkS_Scan - Unknown owner - d:\MKS\Bin\mks_scan.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 6 Stycznia 2006 Zgłoś Napisano 6 Stycznia 2006 Skan: http://www.webroot.com/shoppingcart/tryme....c7d2176ac7ada66 <- zrob update przed skanowaniem, po przeskanowaniu odinstaluj. http://download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po przeskanowaniu odinstaluj. Zamknij porty w wwdc: http://www.firewallleaktester.com/tools/wwdc.exe Tapeta: http://www.searchengines.pl/phpbb203/index...showtopic=31936 Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
blue_light Napisano 7 Stycznia 2006 Zgłoś Napisano 7 Stycznia 2006 @Kolobos Serdeczne dzięki za pomoc. Natrętną tapetą okazał się "WinHound". Po usunięciu w elementach pulpitu strony, biały kwadracik zniknął. Również program Ewido wykrył 72 zainfekowane obiekty WWDC pobawiłem się chwilę, ale po zamknięciu któregoś z portów internet przestał działać, więc otworzyłem z powrotem wszystkie (kompletnie się na tym nie znam). Ale jeszcze raz dzięki za podane linki, przydały się ^^ Pozdrawiam. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
