Ghazi Napisano 20 Października 2007 Zgłoś Napisano 20 Października 2007 (edytowane) Panowie, pomocy! 8O Jestem totalnie załamany. Przypałętało mi się jakieś dziadostwo 8O Objawy: 1. Na pulpicie zawsze pojawiają sie 3 dodatkowe ikony: Security, Privacy i coś tam jeszcze, jakoś się z tym uporałem 2. Zamiast tapety włącza mi się jakieś interaktywne dziadostwo (w formie linka prowadzącego do http://yourprivacyguard.com/privacy) (patrz screeny) 3. Zmulało okrutnie system, w pasku zadań wyskakiwał czerwony krzyżyk, z którym nie dało się nic zrobić 4. IE (na szczescie z niego nie korzystam) zasyfiony do granic mozliwosci 5. Co chwile wyskakują najróżniejsze maści okienka, po nich zawsze otwiera się IE np. ze stroną http://scanner.adwareremover2007.com/2/scan.php?id=1216 , ale bywają też inne, zawsze tematyka Antyvir Czego próbowałem: 1. Ad-Aware z aktualną bazą. Znajduje Win32.TrojanDownloader.NewMEdia zawsze w C:\Windows\privacy_dengerous. Katalog ten tworzy się zawsze po odpaleniu Windowsa... 2. Windows Defender (uważa, że komp jest w rewelacyjnym stanie i w ogóle nic nie zauważa) 3. MKS Antyviry (znalazł raz jednego wirusa, a potem nic) 4. RegCleaner (nic) 5. Włączony Windows Firewall (ha,ha) 6. avast! antyvir. Znajduje Win32: Trojan-gen {Other} zawsze w katalogu C:\DOCUME~1\Dawid\LOCALS~1\Temp\ac8zt2\main_uninstaller.exe oraz Win32:Agent-LTS [Trj] w plikach msmdev.dll i sduo.dll Plików tych nie ma na początku pracy w Windowsie, tworzą się w trakcie pracy :) Niestety, nie potrafię znaleźć przyczyny :/ CTR+ALT+DEL - wyłączyłem wszystkie procesy, które się dało, dalej wyskakują dziadostwa. Nie pomaga odpalanie się antyvirusów oraz Ad-Awere przed uruchomieniem Windy i w trybie awaryjnym. Nawet jak coś znajdą, usuną i to przez 15 minut jest spokój, a potem znowu się instalują jakieś g... Załączam zrzuty ekranu i listę procesów z HijackThis. Ozłocę, jeśli ktoś mi pomoże. Logfile of HijackThis v1.99.1 Scan saved at 16:13:32, on 2007-10-20 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe d:\Alwil Software\Avast4\aswUpdSv.exe d:\Alwil Software\Avast4\ashServ.exe C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe C:\WINDOWS\system32\kxmixer.exe D:\S2kCtl.exe C:\WINDOWS\system32\regsvr32.exe C:\Program Files\Windows Defender\MSASCui.exe D:\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\nvsvc32.exe d:\Alwil Software\Avast4\ashMaiSv.exe d:\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\cidaemon.exe D:\Firefox\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe D:\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file) O2 - BHO: (no name) - {325745DE-15A7-1C50-2632-0A54B7FB2C46} - C:\Program Files\sepwzcvj\ecsovwzp.dll O2 - BHO: MSVPS System - {480598DD-AE28-48B7-82F7-6ADDA1AA6B66} - C:\WINDOWS\ntspkmxl.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\MICROS~1\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O3 - Toolbar: The optnet - {B02534D7-8D91-49BE-A864-97DFB8E0BAB4} - C:\WINDOWS\optnet.dll (file missing) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\system32\kxmixer.exe --startup O4 - HKLM\..\Run: [s2kCtl] D:\S2kCtl.exe O4 - HKLM\..\Run: [avyxmbex] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\avyxmbex.dll" O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide O4 - HKLM\..\Run: [avast!] d:\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [Komunikator] "D:\Tlen.pl\tlen.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Download All by FlashGet - D:\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - D:\FlashGet\jc_link.htm O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://D:\MICROS~1\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\MICROS~1\Office12\GR99D3~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: hostctrl - {E88C0153-FFE1-4CAB-9DEB-82544C85B5F9} - C:\WINDOWS\hostctrl.dll O21 - SSODL: msmhost - {23FAB55B-A48E-4EF5-BCD0-58F15E432EB9} - C:\WINDOWS\msmhost.dll O21 - SSODL: msmdev - {8CCE8281-398D-4DEF-894D-E225A69576AE} - C:\WINDOWS\msmdev.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - d:\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - d:\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - d:\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Edytowane 20 Października 2007 przez Ghazi Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Camis Napisano 20 Października 2007 Zgłoś Napisano 20 Października 2007 (edytowane) kumpel mial to samo: uzyj SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe i po sprawie uzyj : 1. Search pozniej w trybie awaryjnym : 2. Clean (safe mode recommended) Pozatym problem opisany na google Edytowane 20 Października 2007 przez Cmx Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Ghazi Napisano 20 Października 2007 Zgłoś Napisano 20 Października 2007 Lipa! SmitfraudFix usuwa wirusy z Temp'a (czyli robi to samo, co avast!), ale wirus nadal się samoczynnie namnaża, po 5 minutach znów tam jest :/ Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
reyden Napisano 21 Października 2007 Zgłoś Napisano 21 Października 2007 Zrób skanowanie innymi AV ( Kaspersky , Bitdefender itp. ) . Kaspersky ( na pewno wersje Internet Security ) ma opcję tworzenia ratunkowego CD ( wymaga zainstalowanego PE Builder oraz CD z XP ) . Stwórz taki dysk u kogoś kto ma zainstalowanego KIS ( wersja 6 lub 7 ) i odpal kompa z tego CD . Wtedy spróbuj zrobić skanowanie AV . AV Nortona ( lub wersja IS ) chyba miał możliwość odpalania kompa z CD instalacyjnego . Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 21 Października 2007 Zgłoś Napisano 21 Października 2007 Zrob skan przy pomocy SuperAntiSypware. W hjt usun: O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file) O2 - BHO: (no name) - {325745DE-15A7-1C50-2632-0A54B7FB2C46} - C:\Program Files\sepwzcvj\ecsovwzp.dll O2 - BHO: MSVPS System - {480598DD-AE28-48B7-82F7-6ADDA1AA6B66} - C:\WINDOWS\ntspkmxl.dll O3 - Toolbar: The optnet - {B02534D7-8D91-49BE-A864-97DFB8E0BAB4} - C:\WINDOWS\optnet.dll (file missing) O4 - HKLM\..\Run: [avyxmbex] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\avyxmbex.dll" O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide <- odinstaluj. O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: hostctrl - {E88C0153-FFE1-4CAB-9DEB-82544C85B5F9} - C:\WINDOWS\hostctrl.dll O21 - SSODL: msmhost - {23FAB55B-A48E-4EF5-BCD0-58F15E432EB9} - C:\WINDOWS\msmhost.dll O21 - SSODL: msmdev - {8CCE8281-398D-4DEF-894D-E225A69576AE} - C:\WINDOWS\msmdev.dll (file missing) Daj log z combofix + nowy log z hjt ale tym razem z nowej wersji 2.x oba logi wklej na http://wklej.org i daj link na forum. Ps. Dlaczego piszesz w tym dziale forum? Forum dotyczace odrobaczania to: PurePC.pl - Forum Dyskusyjne > Oprogramowanie > Centrum Bezpieczeństwa Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
kenobi Napisano 25 Listopada 2007 Zgłoś Napisano 25 Listopada 2007 Kolobos a może sprawdzić moje logi http://wklej.org/id/bc7ae9b52c - Combofix http://wklej.org/id/b0da7991df - HiJackThis Z góry dziękuję Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Kolobos Napisano 25 Listopada 2007 Zgłoś Napisano 25 Listopada 2007 8O kenobi Zrob skan przy pomocy SuperAntiSpyware. W hijackthis usun: O21 - SSODL: sapnet - {DA643C03-8590-4A13-8437-46DE370834A3} - C:\WINDOWS\sapnet.dll O21 - SSODL: rmvgor - {8DFF6D24-30F9-4A35-AE94-DA041C826F20} - C:\WINDOWS\rmvgor.dll Wklej do notatnika to: File:: C:\WINDOWS\sapnet.dll C:\WINDOWS\rmvgor.dll C:\WINDOWS\nethop.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "sapnet"= "rmvgor"= Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ). Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
