Mam wirusy...Muj log-Prosze o opinie expertow..

[osiolek4]

Ustawia mi sie jakas strona startowa z adresem Ip.Dodatkowo skaner wygryl
plik sistar.dll (wirus) i zainfekowany plik systime(nie wiem czy go mozna
usunac bo to przeciez plik systemowy).I na dodatek ten pulpit(wszedlem na
jakas strone i mi sie ustawila i nie mgeo jej zmienic a jak klikam prawym i
wlasciwosci to mi pokazuje ze to ejst plik html a zrodlo
c.windows.system32.desktop.html.Usunalem to i jest tylko biale tlo ale nadal
to samo.Prosze o analize loga


Logfile of HijackThis v1.98.2
Scan saved at 21:54:51, on 2004-11-03
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\windows\system32\csmss.exe
C:\WINDOWS\System32\systime.exe
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\systime.exe
C:\Program Files\AVerTV2K\QuickTV.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
C:\Program Files\AntiVirenKit\AVKService.exe
C:\Program Files\AntiVirenKit\AVKWCtl.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = find-
on-the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pi..to.biz
O1 - Hosts: 127.0.0.3 pi..to.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} -
C:\Program Files\IESearchToolbar\IESearchToolbar.dll (file missing)
O2 - BHO: drmclieo - {475FF0D1-01EC-C504-050D-992111004794} -
C:\WINDOWS\System32\drmclieo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1
\SPYBOT~1\SDHelper.dll
O2 - BHO: Saristar - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50} -
C:\WINDOWS\System32\saristar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} -
C:\Program Files\IESearchToolbar\IESearchToolbar.dll (file missing)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows
AdTools\WinAdTools.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
Office\Office10\OSA.EXE
O4 - Global Startup: QuickTV.lnk = C:\Program Files\AVerTV2K\QuickTV.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099153645890

[netsec]

Ściągnij nowy CWShredder 2.0
cwshredder.net/bin/CWSInstall.exe
Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
połączenia do Internetu. Tu jest opis jak to wykonać
www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
Wyłącz przywracanie systemu:
support.microsoft.com/default.aspx?scid=kb;pl;310405
Uruchom komputer w trybie awaryjnym:
support.microsoft.com/default.aspx?scid=KB;PL;315222
Po uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

Uruchom ponownie HiJackThis wykonaj SCAN i zaznacz(haczykiem) te pozycje:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = find-
on-the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pi..to.biz
O1 - Hosts: 127.0.0.3 pi..to.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} -
C:\Program Files\IESearchToolbar\IESearchToolbar.dll (file missing)
O2 - BHO: drmclieo - {475FF0D1-01EC-C504-050D-992111004794} -
C:\WINDOWS\System32\drmclieo.dll
O2 - BHO: Saristar - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE50} -
C:\WINDOWS\System32\saristar.dll
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} -
C:\Program Files\IESearchToolbar\IESearchToolbar.dll (file missing)
O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

Po zaznaczeniu wykonaj FIX CHECKED i potwierdź TAK/OK.

W Panel Sterowania => Opcje Internetowe usuń
Tymczasowe pliki Internetowe (Wszystkie) i Cooki.

Odinstaluj w Panelu sterowania Dodaj/Usuń programy wszystkie
programy, co do których nie masz pewności, że Ci są potrzebne.

Uruchom CWShredder i wykonaj Fix.

Oczyść kosz.

Uruchom komputer w normalnym trybie.

Ściągnij i zainstaluj Ad-Aware SE Personal Edition v1.05
Pobieranie najnowszej wersji: www.download.com/3000-2144-10045910.html
Przeskanuj Ad-Aware cały system. W celu zapewnienia maksymalnej skuteczności
programu, należy przed skanowaniem wykonać aktualizacje bazy wykrywania.
W trakcie uruchamiania skanowania, należy w zakładce "Preparing System Scan"
wybrać "Perform full system scan". Po zakończeniu skanowania pojawi się lista
obiektów do usunięcia. Każdą z pozycji należy zaznaczyć(haczykiem)
lub prawym klawiszem myszki można wybrać z menu kontekstowego
"Select All Objects".Po zaznaczeniu wszystkich pozycji należy kliknąć Next, w
ten sposób zaznaczone obiekty zostaną usunięte.

Dodatkowo zainstaluj Jave Sun:
java.sun.com/webapps/download/AutoDL?BundleId=9723
Zainstaluj wszystkie krytyczne poprawki z www.windowsupdate.com

Dobrze będzie jak zainstalujesz dodatkowy firewall np. Outpost Firewall FREE:
www.agnitum.com/download/OutpostInstall.exe
Tylko nie korzystaj z opcji aktualizacji bo przestanie być free :)
Najlepiej jak wyłączysz sprawdzanie czy jest nowsza wersja.

[osiolek4]

Niestety nie wiel to dalo .Uzylem Spybota ,ad-ware , hjackthis , i Cw.usunelo
wszystko jednak np nie znalzlo nic takiego jak(tzn czesci tego)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\windows\system32\csmss.exe
C:\WINDOWS\System32\systime.exe
C:\Program Files\Windows AdTools\WinAdTools.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\systime.exe
C:\Program Files\AVerTV2K\QuickTV.exe
C:\Program Files\Windows AdTools\WinRatchet.exe
C:\Program Files\AntiVirenKit\AVKService.exe
C:\Program Files\AntiVirenKit\AVKWCtl.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe


Pozatym nadal mam to biale tlo(klikam prawym i pisze ze to jest plik html.I
nadal mam to strone startowa z adresem ip.Nadal niemoge usunac plik
drmclieo.dll ani pliku systime.Prosze pomoz bo ja juz sie zalamuje:/Chyba
prosciej bylo by format c.Teraz natomiast moj log z hijackthis wyglada tak...

Logfile of HijackThis v1.98.2
Scan saved at 18:46:22, on 2004-11-04
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\windows\system32\csmss.exe
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\systime.exe
C:\Program Files\AVerTV2K\QuickTV.exe
C:\Program Files\AntiVirenKit\AVKService.exe
C:\Program Files\AntiVirenKit\AVKWCtl.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\notepad.exe
C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = find-on-
the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: drmclieo - {475FF0D1-01EC-C504-050D-992111004794} -
C:\WINDOWS\System32\drmclieo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1
\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
Office\Office10\OSA.EXE
O4 - Global Startup: QuickTV.lnk = C:\Program Files\AVerTV2K\QuickTV.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program
Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program
Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
.Ja juz sam nie wiem co mam robic...A najbardziej to mnie wnerwia ten pulpit i
to ze antywirus non stop wywala ten drmclieo i systime.Help me:)

[netsec]

Ustalmy cos na początek, że robisz kolejno jak jest napisane i zero własnej
inicjatywy. :)

Czy wpisy usuwałeś w trybie awaryjnym z wyłączonym przywracaniem?

Jeśli chodzi o pulpit to stań myszką na pulpicie, prawym klawiszem wybierz
Właściwości dalej zakładka
Pulpit ustaw Tło na Brak. Dodatkowo przejdź do Dostosuj Pulpit dalej Sieć Web
usuń lub odznacz pozycje które tu są. Na koniec potwierdź zmiany OK.

W Hijack w trybie awaryjnym z wyłączonym przywracaniem usuń to:


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = find-on-
the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
213.159.117.134/index.php
O2 - BHO: drmclieo - {475FF0D1-01EC-C504-050D-992111004794} -
C:\WINDOWS\System32\drmclieo.dll
O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com

Po usunięciu wpisów Hijack przejdź do menu start wybierz Uruchom i wpisz :
regsvr32 /u C:\WINDOWS\System32\drmclieo.dll
i OK.

1. Upewnij się, że opcja Pokaż wszystkie pliki w Eksploratorze Windows jest
włączona.

a. Kliknij przycisk Start, kliknij polecenie Mój komputer, kliknij menu
Narzędzia, a następnie kliknij polecenie Opcje folderów.
Kliknij kartę Widok.

b. W sekcji Ustawienia zaawansowane kliknij pozycję
Pokaż ukryte pliki i foldery.

c. W sekcji Ustawienia zaawansowane kliknij, aby wyczyścić pole wyboru
Ukryj chronione pliki systemu operacyjnego (zalecane).

Odszukaj i skasuj pliki systime.exe i csmss.exe

Uruchom normalnie system.

Napisz jak efekty to podam co dalej, wklej nowy log.

[osiolek4]

No coz nadal nie moge usunac pliku csmss.exe a gdy w uruchom wpisalem to
regsvr32 /u C:\WINDOWS\System32\drmclieo.dll to wywailo mi cso takiego "brak
punku wejsca DllunregisterServer , nie mozna zarejestrowac tego pliku.Plik
systime dalo sie usunac.Pulpit juz dziala.A TERAZ TAK WYGLADA MOJ LOG(DZIWI
MNEI ZE INACZEJ WYGLADA W TRYBIE AWARYJNYM I INACZEJ W TRYBIE NORMALNYM)

Logfile of HijackThis v1.98.2
Scan saved at 08:53:49, on 2004-11-05
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AVerTV2K\QuickTV.exe
C:\Program Files\AntiVirenKit\AVKService.exe
C:\Program Files\AntiVirenKit\AVKWCtl.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\csmss.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = find-on-
the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: drmclieo - {475FF0D1-01EC-C504-050D-992111004794} -
C:\WINDOWS\System32\drmclieo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1
\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig]
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
Office\Office10\OSA.EXE
O4 - Global Startup: QuickTV.lnk = C:\Program Files\AVerTV2K\QuickTV.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program
Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program
Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
Co teraz mam robic??

[netsec]

W normalnym trybie pracy windows uruchom HiJack i usuń to:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = find-on-
the-net.com/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
213.159.117.134/index.php
O2 - BHO: drmclieo - {475FF0D1-01EC-C504-050D-992111004794} -
C:\WINDOWS\System32\drmclieo.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1
\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [MSConfig]
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com

Sprawdź czy ten AntiViren sie aktualizuje. Po aktualizacji przeskanuj cały
system.Osobiście doradzam zmianę antywirusa.

[Gość: Lovin]

Obawiam sie ze ten syf...Csmss.exe...a co za tym idzie spoolsvr32...to straszne
cholerstwo....ja juz proobowałem wszystkiego (oprooc formatu) i nic....nadal to
mam,to znaczy udaje mi sie wyrzoocic,ale za jakis czas powraca.Nauczylem sie z
tym zyc...:)

[netsec]

www.sophos.com/virusinfo/analyses/trojagentco.html
vil.nai.com/vil/content/v_128306.htm

[Gość: Lovin]

Fakt,to jest trojan....tylko czemu mks_vir online go nie wykrył.I co to jest
ten sophos,czy to darmowy antyvir??