Windows Security Alert

[licznik]

Mam problem wyskakuje mi co jakiś czas komunikat:

WINDOWS SECURITY ALERT

"Warning. Potential Spyware Operation......"

A poza tym nie mam Panela sterowania, a jak chcę wejść w Mój Komputer to wyskakuje ostrzeżenie:

Operacja została anulowana ze względu na ograniczenie nałożone na ten komputer.

Skontaktuj się z administratorem systemu.

 

Prosze o pomoc.

[Kolobos]

Uzyj: combofix, smitfraudfix (opcja 2. Clean) i na koniec hijackthis. Logi z tych trzech programow wklej na http://wklej.org i daj link.

[licznik]

To jest Combo Fix

http://wklej.org/id/81a5a49851

 

To jest z Smitfraufix-a

http://wklej.org/id/64711ec2b8

 

http://wklej.org/id/c8cb0aa0d7

[licznik]

Ten ostatni jest z HijackThis-a

[Kolobos]

Odinstaluj: Nortona, Anti Trojan Elite, Kaspersky ktory nie dziala, lub tylko usun jego folder, to samo z nortonem.

 

Usun z C:\WINDOWS\system32\drivers\etc\hosts te wszystkie wpisy:

192.168.200.3ad.doubleclick.net

192.168.200.3ad.fastclick.net

itd.

Zostaw tylko:

127.0.0.1 localhost

 

W hijackthis usun:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

O4 - HKCU\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

O4 - Startup: infos.exe

O4 - Global Startup: autos.exe

 

Wklej do notatnika to:

 

Driver::

"Symantec Core LC"

 

Folder::

C:\Program Files\Common Files\Symantec Shared\

C:\Program Files\Yahoo!\

 

File::

C:\WINDOWS\system32\winter.exe

C:\WINDOWS\system32\proper.exe

C:\WINDOWS\doll159.exe

C:\WINDOWS\doll183.exe

C:\WINDOWS\doll177.exe

C:\WINDOWS\doll150.exe

C:\WINDOWS\doll190.exe

C:\WINDOWS\doll103.exe

C:\WINDOWS\doll124.exe

C:\WINDOWS\doll137.exe

C:\WINDOWS\doll127.exe

C:\WINDOWS\doll154.exe

C:\WINDOWS\doll133.exe

C:\WINDOWS\doll182.exe

C:\WINDOWS\doll144.exe

C:\WINDOWS\doll168.exe

C:\WINDOWS\doll135.exe

C:\WINDOWS\doll106.exe

C:\WINDOWS\doll170.exe

C:\WINDOWS\doll126.exe

C:\WINDOWS\doll116.exe

C:\WINDOWS\doll180.exe

C:\WINDOWS\doll193.exe

C:\WINDOWS\doll171.exe

C:\WINDOWS\doll115.exe

C:\WINDOWS\doll178.exe

C:\WINDOWS\doll140.exe

C:\WINDOWS\doll187.exe

C:\WINDOWS\doll134.exe

C:\WINDOWS\system32\skuns.dat

C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\infos.exe

C:\Documents and Settings\Licznik\Start Menu\Programs\Startup\infos.exe

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\autos.exe

 

Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D27987B8-7244-4DE0-AE10-39B826B492F1}]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Undefined"=-

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Undefined"=-

 

 

Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ). Po wszystkim daj log na wklej, do tego nowy log z hijackthis (tym razem z nowej wersji 2.0.2!) i podaj link.

[licznik]

http://wklej.org/id/f04e8b5811

To jest z Combo Fix-a po tych wszystkich operacjach, zaraz dam z HijackHis-a 2.0.2

 

 

http://wklej.org/id/21af195e48

 

 

Dzięki mam Panel sterowania i wszystko śmiga.

Już nie wyskakuje mi ten Alert

 

Jeszcze raz dzięki.

Pozdrawiam

 

 

Powiedz jeszcze czym można się zabezpieczyć przed tym syfem na przyszłość?

Pozdrawiam.

[Kolobos]

> Powiedz jeszcze czym można się zabezpieczyć przed tym syfem na

> przyszłość?

 

Wystarczy nie sciagac trojanow. Nic Ci nie pomoga te wszystkie programy, ktore sobie zainstalowales jezeli sam bedziesz sciagal i uruchamial trojany.

 

Dalej w hjt masz do kasacji:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O4 - HKCU\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

 

Po usunieciu zrob reset i zobacz czy wpisow juz nie ma w nowym logu.

[licznik]

Cały czas pojawia mi się:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKCU\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

 

to jest log

http://wklej.org/id/1afdd81148

 

 

Kilka dni temu ściągnąłem program do usuwania SIM LOCK-a z Nokii.

Widocznie w tym był ten Trojan

 

Pozdrawiam

[Kolobos]

W takim razie pewnie cos jeszcze zostalo (lub jakis program blokuje usuniecie np. SpyBot). Daj nowy log z combofix oraz log z SDFix zrobiony w trybie awaryjnym. R0 nie usuwaj i tak sie utworzy nowy to nic zlego.

[licznik]

To jest log z Combo Fix-a

http://wklej.org/id/7286d1ce8e

 

 

A to jest z SDFix-a

http://wklej.org/id/2a79c3cc26

[Kolobos]

Logi sa ok. Przed usunieciem tego wpisu odinstaluj SpyBot i zobacz czy wtedy zniknie.

[licznik]

Dzięki pomogło odinstalowanie Spy Boot-a

 

Jeszcze raz dziękuję i pozdrawiam.

[marian_23]

Witam!

Ja rowniez mam problem z tym komunikatem - Warning! potential spyware operation. Pokazuje sie okienko, w ktorym najpierw strasza, a potem zapraszaja na strone w celu pobrana wspanialego zabezpieczenia antyvirusowego. Szukalem jak to naprawic i trafilem na to forum. Czy ktos by mogl mi pomoc pozbyc si e tego dziadostwa?

Pozdrawiam

[Kolobos]

8O marian_23

Mogles przeczytac PRZED napisaniem watek w ktorym napisales post i dac odpowiednie logi, bez tego nie ma jak pomoc.

[Maxx84]

8O marian_23

Mogles przeczytac PRZED napisaniem watek w ktorym napisales post i dac odpowiednie logi, bez tego nie ma jak pomoc.

 

Witam... Żeby nie przeciągać i nie pisać zbędnych postów... Problem mam podobny (w zasadzie taki sam)- okno "security alert (...)", brak panelu sterowania, prawy klawisz myszy na pulpicie + właściwości = (mniej więcej) dostęp zablokowany przez administratora.

 

Avast wcześniej znajdował trojany- po komunikatach usuwał- już przestały się pojawiać.

Programy Spynomore, AVG Anti-Virus cały czas (znaczy się po restarcie systemu) znajdują te same zagrożenia: Trojany, Adware (...), Spyware itd. Niby usuwają ale jak pisałem po restarcie nadal aktywne wychodzi na to.

 

Przeczytałem ten topic dokładnie, ściągnąłem hijackthis, combofix, smitfraudfix i postępowałem zgodnie ze wcześniej opisaną instrukcją. Biorąc pod uwagę, że prosisz o wpisanie logów sprawa pewnie (takie moje przypuszczenie) traktowana jest indywidualnie czyli na podstawie logów.

 

Poniżej podaję linki do logów z combofixa, smitfraudfixa i hijackthis.

 

Podejrzewam, że sprawa już pewnie nudzi, ale mimo wszystko bardzo proszę o pomoc- to już mój drugi dysk i nie chciałbym go formatować. Zbyt dużo cennych dla mnie rzeczy... 8O

 

Pozdrawiam :) Poniżej linki:

 

Combofix: http://www.wklej.org/id/9b4daf94af

 

Hijackthis: http://wklej.org/id/bb69f4162c

 

SmitfraudFix: http://www.wklej.org/id/ffd3129dd4

 

CFScript: http://www.wklej.org/id/f6a14005fa (żywcem wzięty z forum- pewnie niepoprawny ;/)

 

ComboFix-quarantined-files: http://www.wklej.org/id/a851a3c859

 

Raz jeszcze proszę o pomoc! Pozdrowienia

 

Dodatkowo: IExplorer mimo wpisania do str. startowej about:blank wciąż wyświetla po restarcie google. zmieniły się też podstawowe ustawienia IE - komunikaty o zablokowanych stronach (do wyboru 3 opcje czy oglądać nadal, przerwać itd). Wariować zaczął nawet zegar- mam ustawioną- mimo, że zmieniałem po zauważeniu- datę 12 lutego 2004. I zegar chodzi jakieś 8 godzin do tyłu... Chyba wszystko zaczęło świrować... Jeśli ktoś może to proszę o pomoc... Pomysłów już brak a ściągane programy nie dają rady. Pozdrowienia

 

... hehe... już nawet zegara nie mogę zmienić jak wcześniej- komunikat, że operacja anulowana ze względu na ograniczenia nałożone przez administratora. Aha- bo nie wiem czy to coś zmienia, ale dla pełnej informacji próbowałem także wszystkich czynności opisanych wyżej w trybie awaryjnym.

 

Jeśli uda się rozwiązać problem to prosiłbym również o wytłumaczenie jak na podstawie logów można się zorientować co należy usunąć lub zmodyfikować.

Jak zabezpieczyć się przed takimi sytuacjami- j/w nie sciągać trojanów itd. Ale na to chyba nie ma się wpływu. Przy każdych komunikatach z sieci wiadomo, że zawsze jesteśmy na NIE. Programy ściągane tylko z licencją... DC pewnie ściągnęło od kogoś ten syf... Szkoda, że Avast tego nie wykrywa...

Edytowane 24 Listopada 2007 przez Maxx84

[Kolobos]

8O Maxx84

 

Odinstaluj:

SpywareRemover

SpyNoMore

Advanced Spyware Remover

Spyware Terminator

(i nie instaluj wiecej tych smieci!)

oraz zbedny:

WinClamAVShield

 

W hijackthis usun:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.videolan.org/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [sNM] C:\Program Files\SpyNoMore\SNM.exe /startup

O4 - HKLM\..\Run: [version] C:\WINDOWS\system32\timoty.exe

O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe

O4 - Startup: setings.exe

O4 - Global Startup: startup.exe

 

Wklej do notatnika to:

 

File::

C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\setings.exe

C:\Documents and Settings\Sylwia W\Menu Start\Programy\Autostart\setings.exe

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\startup.exe

C:\WINDOWS\Tasks\SpywareRemover Scheduled Scan.job

C:\WINDOWS\system32\timoty.exe

C:\WINDOWS\system32\tmp.reg

C:\WINDOWS\system32\tmp.txt

C:\WINDOWS\system32\spools.exe

C:\WINDOWS\system32\windrv.sys

C:\WINDOWS\ksacre.exe

C:\WINDOWS\system32\msanton.exe

C:\WINDOWS\system32\sol852.txt

C:\WINDOWS\system32\tmpE913E.FOT

C:\WINDOWS\system32\tmpDD13E.FOT

C:\WINDOWS\system32\tmpDC13E.FOT

C:\WINDOWS\system32\tmpCF13E.FOT

C:\WINDOWS\system32\tmpC023E.FOT

 

Folder::

C:\Program Files\SpywareRemover

C:\Program Files\SpyNoMore

C:\Documents and Settings\Sylwia W\Dane aplikacji\SpywareRemover

C:\Program Files\Advanced Spyware Remover

C:\Program Files\Spyware Terminator

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"froody"=

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SNM"=-

"version"=-

 

Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ). Po wszystkim daj log na wklej + nowy z hijackthis oraz log z SDFix zrobiony w trybie awaryjnym i podaj link do logow. Zrob tez skan przy pomocy SuperAntiSpyware.

[marian_23]

Witam ponownie!

Troche mi to wolno idzie z tymi logami. Nie jestem w tym wszystkim obryty. Zazwyczaj jak sie cos dzialo na kompie to rebut i wszystko od poczatku. Teraz postanowilem powalczyc i znalzlem to forum. Wlasnie probuje wkleic te logi...

 

HijackThis:

http://www.wklej.org/id/9710c31a41

ComboFix:

http://www.wklej.org/id/36b1b2b930

SmitFraudFix:

http://www.wklej.org/id/c3e1f3504b

 

Ufff.. udalo sie (chyba)

Prosze bardzo o pomoc.

[Kolobos]

Nie udalo sie, w ogole nie zrobiles tego co pisalem (czesc dotyczaca combofix i cfscript). Do tego prosilem o log z SDFix z trybu awaryjnego, a nie smitfraudfix.

W ogole log wyglada jak z innego komputera (ktory jest rowniez zainfekowany), wiec nie wiem co Ty tam robisz ale cos krecisz.

Edytowane 24 Listopada 2007 przez Kolobos

[Maxx84]

8O:)8O Podziwiam! Wszystko zaczęło działać jak powinno. zero alertów, blokad dostępu itd. Na prawde jestem bardzo wdzieczny za pomoc- dobrze, ze dla nas laikow znalazlo sie takie forum na ktorym nie dosc, ze szybko to jeszcze fachowo mozna uzyskac pomoc.

 

Niestety maly szkopul- tego nie wykrylo wczesniej nic. zrobilem jak powiedziales (ponizej zamiescilem logi) zainstalowalem super antispyware, ktory wykryl jak niżej:

 

- Adware.Tracking Cookie

+ c:\documents and settings\Sylwia W\Cookies\administrator@ads1.rsi[2].txt

+ c:\documents and settings\Sylwia W\Cookies\sylwia_w@ads.god.com[1].txt

+ c:\documents and settings\Sylwia W\Cookies\sylwia_w@ads1.rsi[2].txt

+ c:\documents and settings\Sylwia W\Cookies\sylwia_w@avsystemcare[1].txt

+ c:\documents and settings\Sylwia W\Cookies\sylwia_w@avsystemcare[3].txt

+ c:\documents and settings\Sylwia W\Cookies\sylwia_w@calc.avsystemcare[1].txt

+ c:\documents and settings\Sylwia W\Cookies\sylwia_w@hit.stat[2].txt

+ c:\documents and settings\Sylwia W\Cookies\sylwia_w@protect.trustedantivirus[3].txt

+ c:\documents and settings\Sylwia W\Cookies\sylwia_w@protect.trustedantivirus[1].txt

+ c:\documents and settings\Sylwia W\Cookies\sylwia_w@tradedubler[1].txt

- Trojan.Agent-GEN/Tooze

-Files

+c:\windows\ksacre.exe

 

Nacisnalem dalej aby przeniesc do kwarantanny i usunac. Potem rebot i ponowny scan. Sprawa jednak sie powtarza. cos zostalo niestety...

 

 

 

Logi:

 

Combofix: http://wklej.org/id/3657d49bbd

Hijackthis: http://www.wklej.org/id/a870fa099c

SDFix (tryb awaryjny): http://www.wklej.org/id/497fd5f9b9

Catchme z sdfixa (nie wiem czy potrzebny, ale na wszelki wypadek): http://wklej.org/id/670af535bf

 

Dziekuje ci bardzo za pomoc w pozbyciu sie tego syfu. jak widac cos jeszcze zostalo....

 

A przy okazji... Bo jak mowilem MY laicy mozemy nie wiedziec- dlaczego nie instalowac programow o ktorych pisalem wczesniej (anti spyware)? Dlaczego syf/smieci? hehe, pozdrawiam

Edytowane 24 Listopada 2007 przez Maxx84

[Kolobos]

> dlaczego nie instalowac programow o ktorych pisalem wczesniej (anti

> spyware)?

 

Sa to w wiekszosci programy o watpliwej reputacji lub falszywe programy, ktore same sa spyware'em lub wyswietlaja reklamy/falszywe wyniki itd.

 

W hijackthis usun:

O4 - HKCU\..\Run: [ADS] C:\Windows\ADS.exe

 

Teraz napisze Ci to jeszcze raz bo widze, ze dalej tego nie zrobiles:

Otworz notatnik i wklej do niego to co Ci tutaj podalem:

 

File::

C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\setings.exe

C:\Documents and Settings\Sylwia W\Menu Start\Programy\Autostart\setings.exe

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\startup.exe

C:\WINDOWS\Tasks\SpywareRemover Scheduled Scan.job

C:\WINDOWS\system32\timoty.exe

C:\WINDOWS\system32\tmp.reg

C:\WINDOWS\system32\tmp.txt

C:\WINDOWS\system32\spools.exe

C:\WINDOWS\system32\windrv.sys

C:\WINDOWS\ksacre.exe

C:\WINDOWS\system32\msanton.exe

C:\WINDOWS\system32\sol852.txt

C:\WINDOWS\system32\tmpE913E.FOT

C:\WINDOWS\system32\tmpDD13E.FOT

C:\WINDOWS\system32\tmpDC13E.FOT

C:\WINDOWS\system32\tmpCF13E.FOT

C:\WINDOWS\system32\tmpC023E.FOT

C:\zj0ja6hw.sys

C:\Windows\ADS.exe

E:\Cn911.exe

 

 

Folder::

C:\Program Files\SpywareRemover

C:\Program Files\SpyNoMore

C:\Documents and Settings\Sylwia W\Dane aplikacji\SpywareRemover

C:\Program Files\Advanced Spyware Remover

C:\Program Files\Spyware Terminator

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"froody"=

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SNM"=-

"version"=-

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ADS"=-

 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5705f1e9-685a-11dc-9a10-0004615cebd9}]

 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a55e0262-e5c5-11db-9828-0004615cebd9}]

 

Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj http://i12.tinypic.com/4l761r5.gif ). Po wszystkim daj log na wklej i podaj link.

 

Nie chce Ci tego pisac trzeci raz, wiec postaraj sie to zrobic tym razem.

Do tego usun trojany ze wszystkich dyskow/pendriveow/karty, ktore podlaczales pod USB, uzyj do tego: http://www.techsupportforum.com/sectools/s...Disinfector.exe (tylko nie otwieraj takich dyskow przez dwuklik bo znowu sobie zainstalujesz to co na nich jest).

Edytowane 24 Listopada 2007 przez Kolobos

[Maxx84]

Witam...

 

praca nie pozwolila wczesniej wiec dopiero dzis uruchomilem komputer. Znow przestawil sie zegar

 

Uruchamiam hijackthis. Usuwam wskazana przez Ciebie pozycje. Oto log z hijacka:

 

http://wklej.org/id/ba013956ff

 

Skopiowałem podany przez Ciebie wpis do notatnika i zapisalem pod nazwa CFScript.txt w katalogu razem z Combofix. Przeciagnalem plik txt na ikone combofix.exe. Program uruchamia sie jak wczesniej. Pokazuje "Copleted stage_1" i tak az do stage_(chyba)38, nastepnie podaje informacje o tworzeniu loga, o tym aby nie uruchamiac innych programow i tu zaczyna jakby wisiec. wczesniej nie trwalo to tak dlugo teraz tak jakby nie chce zakonczyc. Zniknal zegar calkowicie.

 

Zamknalem okno... poszukalem czy czasem nie powstal log z tego co robil. Raczej to ten, znaleziony na c:\combofix -> c:\combofix\combofix.txt

 

Oto link- patrzac na opis w pliku zgadzalaby sie data i godzina z logiem hijacka, ktory zrobilem na poczatku (czas cofniety do 19 lis 2007 godz 8 z minutami):

 

http://wklej.org/id/b134113f26

 

CFScript used 2007-11-19@8.41 (juz chyba tylko dla sprawdzenia): http://wklej.org/id/0cc5d62778

 

Generalnie wszystko dziala bez zarzutu- poza zegarem. Jak pisalem wczesniej nie ma zadnych komunikatow o bledach. Uruchomilem rowniez podany przez Ciebie na koniec program- wczesniej wkladajac do usb mp3player (nie kilkalem dwukrotnie na powstaly dysk wymienny). Podaje, ze operacja zakonczona.

 

Zrobilem dokladnie jak napisales. Pozdrawiam i mam nadzieje, ze nie denerwuje zbytnio. Do uslyszenia

Edytowane 25 Listopada 2007 przez Maxx84

[portos123]

Ja mam podobny problem jednak ze co innego bo oprocz okienka windows security alert to i mam jeszcze w lewym rogu kolko z bialym krzyzem System alert i inne okienka np Spyware detect itd !

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:33:18, on 2007-11-25

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\mIRC\mirc.exe

C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\MsiExec.exe

C:\WINDOWS\system32\MsiExec.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\cscript.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=...6Ojg5&lid=2

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: MSVPS System - {A477EBE4-ABE9-4A9D-B1B4-0EB1D0D025CE} - C:\WINDOWS\werbetdqw.dll

O3 - Toolbar: The hdtip - {85B2F289-7128-4C5A-A330-F9FC01432D3A} - C:\WINDOWS\hdtip.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Adobe Photoshop Lightroom 1.2\apdproxy.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{AD2DBA9D-463B-4CC2-B5B0-15B3801DE604}: NameServer = 213.241.79.37 83.238.255.76

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL

O21 - SSODL: pmkret - {54FB8A41-8042-4696-B1A4-8DACA70053E6} - C:\WINDOWS\pmkret.dll

O21 - SSODL: gormet - {A95C6721-FE88-47B3-B489-23CAC38AD856} - C:\WINDOWS\gormet.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 5653 bytes

 

PLZ O POMOC JAK NAJSZYBSZA !!!

[Kolobos]

8O portos123

> PLZ O POMOC JAK NAJSZYBSZA !!!

 

Heh.. jak chcesz pomocy to naucz sie czytac! Masz podane jakie logi masz dac, wiec po co wklejasz sam log z hjt? Do tego dlaczego log jest wklejony w tresci zamiast na wklej?

 

8O Maxx84

Uruchom jeszcze raz combofix, tym razem normalnie i daj log (reszty logow juz nie trzeba). Co do zegara to kliknij prawym przyckiem myszy na pasku start, wybierz wlasciwosci i zobacz czy masz zanaczone pokaz zegar.

[Maxx84]

oto log: http://wklej.org/id/8459117a17

 

Sytuacja sie powtorzyla- program zawiesil sie na momencie w ktorym pojawia sie komunikat o tworzeniu logu. Znalazlem go znowu w katalogu c:\combofix\ - wklejony na wklej.org. Po zawieszeniu sie combofixa zniknal zegar. sprawdzilem na pasku start- wlasciwosci, opcja o wyswietlaniu byla wlaczona. odznaczylem -> zastosuj, potem zacznaczylem ponownie ->zastosuj i znow sie pokazal. moze to tylko wina Combo?

SAT nie znajduje juz zadnych trojanow. Avast podobnie. cos tylko zegar sie dziwnie zachowuje. to tyle narazie.

 

Pozdrawiam

[Kolobos]

8O Maxx84

W takim razie daj nowy log z SDFix (z trybu awaryjnego) + log z DSS zamiast combofix.

[Maxx84]

8O Maxx84

W takim razie daj nowy log z SDFix (z trybu awaryjnego) + log z DSS zamiast combofix.

Zaraz podam logi, dla informacji tylko gdy dzis rano wlaczylem komputer jeszcze przed uruchomieniem Windows pojawil sie komunikat: "Warning! Bios has been flash or the JCLK jumper been changed. Please re-enter CPU settings in CMOS setup and remember to save before quit!"

Pod spodem tabela Magic Health gdzie wyszczególnione są m.in. CPU FAN, Power FAN itd itp a po prawej stronie tabeli Vbat 2.94 - 2.96 (zmienia sie) oraz 2.76 (swieci na czerwono gdy spada do tego poziomu). Słaba bateria czy się myle?

 

Oto logi:

 

SDFix tryb awaryjny: http://wklej.org/id/9a899e6935

DSS log: http://www.wklej.org/id/2a6a6c350a

Extra log z DSS: http://www.wklej.org/id/09c6a81d3f

[portos123]

Kolobos mi chodziło o pomoc i napisanie jak to zrobic. Jestem zielony jesli chodzi o te logi kumpel mi musial powiedziec ze trzeba programem HijackThis sciagnelem zapisalo mi te logi do notatnika. Myslalem ze jak skopiuje te logi tutaj to ktos mi pomoze. A zreszta niewiem czy zamienia sie tym samym programem. I gdzie sie zmienia te logi czy w notatniku czy tez w programie ;/

 

http://wklej.org/id/a724d82a01 i tu masz te logi na tej stronce ;/

Edytowane 26 Listopada 2007 przez portos123

[Kolobos]

8O Maxx84

Tak, wymien baterie.

 

Zostalo do kasacji z dysku to:

C:\Documents and Settings\Administrator\Application Data\Spyware Terminator

C:\WINDOWS\system32\rc1rlwot.dll

C:\autorun.inf

 

Czy combofix dalej nie dziala? Nawet w trybie awaryjnym?

 

 

8O portos123

> chodziło o pomoc i napisanie jak to zrobic

 

Przeciez wszystko masz opisane w przyklejonych postach..

Nie chce Ci sie czytac i chcesz pomocy? Co z tego, ze wkleiles log z hjt na wklej skoro dalej nie dales log'a z combofix.

[Maxx84]

Usunalem podane pliki. Nie znalazlem na dysku c:\autorun.inf (nawet gdyby byl ukryty mam wlaczona opcje pokazywania takowych)

 

Combofix zarowno w normalnym jak i awaryjnym trybie zawiesza sie na komunikacie "Preparing log report. Do not run (...)''

 

Ale pozatym nie mam wiecej zadnych problemow. to raczej jako ciekawostka bo dzialalo przeciez wczesniej normalnie.

Bardzo dziekuje za pomoc i pozdrawiam serdecznie!!!

 

P.S. czy gdyby w przyszlosci pojawil sie podobny problem mozna samemu uzywajac hijack, combo itd. stwierdzic ktore pliki i wpisy usunac czy to raczej Twoja wiedza zglebiona przez lata doswiadczen i nauki?

 

Pozdrowienia

[Kolobos]

Wszystko mozna zrobic samemu majac dostep do internetu, tylko trzeba poswiecic na to troche czasu, w przypadku logow _troche_ wiecej czasu 8O