Gość: anka IP: *.neoplus.adsl.tpnet.pl 06.09.05, 00:12 jakieś takie kurestwo ściągneło mi sie i avast nie moze tego usunąć? co robić b y sie pozbyć? czy to groźne???? Prosze o pomoc!!!!! Odpowiedz Link Zgłoś Obserwuj wątek Podgląd Opublikuj
Gość: Kolobos Re: Win32:Trojan-gen. {Other} - jak sie pozbyć? H IP: *.warszawa.sdi.tpnet.pl 06.09.05, 01:02 Wklej log z hijackthis oraz napisz w jakim pliku masz tego trojana i gdzie ten plik sie znajduje. Odpowiedz Link Zgłoś
Gość: anka to jest log IP: *.neoplus.adsl.tpnet.pl 06.09.05, 10:54 OK. a więc ten trojan jest w pliku: C:\WINDOWS\system32\rdriv.sys a log z hj: Logfile of HijackThis v1.99.1 Scan saved at 00:38:42, on 2005-09-06 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINDOWS\System32\nykqlp.exe C:\Program Files\Winamp\winampa.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Media Gateway\MediaGateway.exe C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\MD7466\ICON.EXE C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\task.exe C:\WINDOWS\iexplre.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Neostrada TP\Watch.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\msupdate32.exe C:\Temp\IEXPLORE.EXE C:\WINDOWS\etb\pokapoka65.exe C:\Documents and Settings\kuba\Moje dokumenty\KAEYMXx@neostrada.pl\hijackthis\HijackThis.exe C:\WINDOWS\update32.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\kuba\USTAWI~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL F2 - REG:system.ini: Shell=Explorer.exe changeme.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32 \NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [system32.exe] bling.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] svchosting.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [MS Window Update] nykqlp.exe O4 - HKLM\..\Run: [Vital Load Process] bling.exe O4 - HKLM\..\Run: [Windows Services] msfwe1.exe O4 - HKLM\..\Run: [Spoolsys] spoolrv.exe O4 - HKLM\..\Run: [[01] ################################################################################ ##############################################] C:\Program Files\Internet Optimizer\update\rogue.exe O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s O4 - HKLM\..\Run: [sysPersonalFirewall] msnmssgr.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c84 -w O4 - HKLM\..\Run: [mouse] mouse.exe O4 - HKLM\..\Run: [steam] steam.exe O4 - HKLM\..\Run: [ Microsoft Windows Security Center] mswin32.exe O4 - HKLM\..\Run: [Windows Sound Manager] SndMon16.exe O4 - HKLM\..\Run: [FX] C:\WINDOWS\Downloaded Program Files\ieloader.exe O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\kpyck.exe O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [MSSecureHtml] C:\WINDOWS\System32\mshtm6.exe O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat36.exe O4 - HKLM\..\Run: [SystemRequred] C:\WINDOWS\System32\internetmgr.exe O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\wcmdmgrl.exe -launch O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKLM\..\Run: [KeyboardHlpr.exe] C:\WINDOWS\System32\KeyboardHlpr.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01 \bin\jusched.exe O4 - HKLM\..\Run: [microsft Updates] msupdate32.exe O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe O4 - HKLM\..\RunServices: [Microsoft DirectX] PDSched.exe O4 - HKLM\..\RunServices: [system32.exe] bling.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] svchosting.exe O4 - HKLM\..\RunServices: [MS Window Update] nykqlp.exe O4 - HKLM\..\RunServices: [Vital Load Process] bling.exe O4 - HKLM\..\RunServices: [Windows Services] msfwe1.exe O4 - HKLM\..\RunServices: [Spoolsys] spoolrv.exe O4 - HKLM\..\RunServices: [sysPersonalFirewall] msnmssgr.exe O4 - HKLM\..\RunServices: [mouse] mouse.exe O4 - HKLM\..\RunServices: [steam] steam.exe O4 - HKLM\..\RunServices: [ Microsoft Windows Security Center] mswin32.exe O4 - HKLM\..\RunServices: [microsft Updates] msupdate32.exe O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon16.exe O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32 \NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Microsoft DirectX] PDSched.exe O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] svchosting.exe O4 - HKCU\..\Run: [Spoolsys] spoolrv.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Slim 3000 Monitor.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5- 00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b- 00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: <a hr Odpowiedz Link Zgłoś
Gość: Kolobos Re: to jest log IP: *.warszawa.sdi.tpnet.pl 06.09.05, 11:18 ale syf... nie mam zamiaru tego sprawdzac, moze pozniej jak log bedzie sie juz miescil w jednym poscie... Uzyj: download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po przeskanowaniu odinstaluj. Zamknij porty tym: www.firewallleaktester.com/tools/wwdc.exe www.trojaner-info.de/files/SpSeHjfix112.exe www.searchengines.pl/phpbb203/index.php?act=Attach&type=post&id=459 www.malwarebytes.biz/AboutBuster.zip hsremove.com/hsremove.exe Tutaj masz opis usuwania tego rdriv.sys: wirusy.antivirenkit.pl/pl/opis/Backdoor.Win32.SdBot.aei.html A tutaj masz program, ktory powinien go automatycznie usunac: www.softwarepatch.pl/plik/2689/programy_i_gry/antywirusowe/Szczepionki_G_DATA_123.html Jak juz uzyjesz tego wszystkiego to wklej nowy log z hijackthis. Odpowiedz Link Zgłoś
Gość: anka Re: Win32:Trojan-gen. {Other} - jak sie pozbyć? H IP: *.neoplus.adsl.tpnet.pl 06.09.05, 18:21 zrobione jak mówisz, co prawda dwa z tych programików sie sciagnąc nie chciały ale po tej szczepionce jak widze to zniknął ów trojan.... wielkie dzięki KOLABOS!!!! a mam pytanko jeszcze czy te EWIDO moze chodzic razem z Spybot Search and Destroy??? czy go usunać... a tak na wszelki wypadek jeszcze log aktualny: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Winamp\winampa.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\MD7466\ICON.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\ewido\security suite\ewidoctrl.exe C:\Program Files\ewido\security suite\ewidoguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\iexplre.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Neostrada TP\Watch.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\kuba\Moje dokumenty\KAEYMXx@neostrada.pl\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL F2 - REG:system.ini: Shell=explorer.exe changeme.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32 \NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [system32.exe] bling.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Vital Load Process] bling.exe O4 - HKLM\..\Run: [Windows Services] msfwe1.exe O4 - HKLM\..\Run: [Spoolsys] spoolrv.exe O4 - HKLM\..\Run: [sysPersonalFirewall] msnmssgr.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c84 -w O4 - HKLM\..\Run: [mouse] mouse.exe O4 - HKLM\..\Run: [steam] steam.exe O4 - HKLM\..\Run: [Windows Sound Manager] SndMon16.exe O4 - HKLM\..\Run: [FX] C:\WINDOWS\Downloaded Program Files\ieloader.exe O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\kpyck.exe O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [MSSecureHtml] C:\WINDOWS\System32\mshtm6.exe O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat36.exe O4 - HKLM\..\Run: [SystemRequred] C:\WINDOWS\System32\internetmgr.exe O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\wcmdmgrl.exe -launch O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01 \bin\jusched.exe O4 - HKLM\..\RunServices: [system32.exe] bling.exe O4 - HKLM\..\RunServices: [Vital Load Process] bling.exe O4 - HKLM\..\RunServices: [Windows Services] msfwe1.exe O4 - HKLM\..\RunServices: [Spoolsys] spoolrv.exe O4 - HKLM\..\RunServices: [sysPersonalFirewall] msnmssgr.exe O4 - HKLM\..\RunServices: [mouse] mouse.exe O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon16.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32 \NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - HKCU\..\Run: [Spoolsys] spoolrv.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Slim 3000 Monitor.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5- 00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - software- dl.real.com/201839e7097a64aca106/netzip/RdxIE601.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{22173D19-6C04-469B-BA7B-AD6CF8A74AA3}: NameServer = 69.50.166.94,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{8F5B4E28-25E3-4098-A4CE-930EAC891E46}: NameServer = 194.204.152.34 217.98.63.164 O17 - HKLM\System\CCS\Services\Tcpip\..\{F8332B99-9E71-488F-8F8F-7742BB2FA3BA}: NameServer = 69.50.166.94,69.31.80.244 O17 - HKLM\System\CS1\Services\Tcpip\..\{22173D19-6C04-469B-BA7B-AD6CF8A74AA3}: NameServer = 69.50.166.94,69.31.80.244 O17 - HKLM\System\CS2\Services\Tcpip\..\{22173D19-6C04-469B-BA7B-AD6CF8A74AA3}: NameServer = 69.50.166.94,69.31.80.244 O17 - HKLM\System\CS3\Services\Tcpip\..\{22173D19-6C04-469B-BA7B-AD6CF8A74AA3}: NameServer = 69.50.166.94,69.31.80.244 O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0- 4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll O21 - SSODL: MSSQLMonitor - {7FD83A75-A88A-4B02-A258-B3BDECC8B0C5} - C:\WINDOWS\System32\richtcfg.dll (file missing) O21 - SSODL: MSTskMgr32 - {E8020D6A-ED8B-4754-A2D5-17B7CF11EAD5} - C:\WINDOWS\System32\msundate.dll (file missing) O21 - SSODL: System - {6DA09252-8E9D-49D7-9C21-D0E12035710C} - vr_sys.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDO Odpowiedz Link Zgłoś
Gość: Kolobos Re: Win32:Trojan-gen. {Other} - jak sie pozbyć? H IP: *.warszawa.sdi.tpnet.pl 06.09.05, 19:40 Wszystkie linki sa dobre, wiec sproboj pozniej jak juz usuniesz to co podalem nizej.Ewido odinstaluj juz. KOLABOS <- czy ja mam taki nick W hijackthis usun: R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL F2 - REG:system.ini: Shell=explorer.exe changeme.exe <- usun plik changeme.exe O4 - HKLM\..\Run: [system32.exe] bling.exe O4 - HKLM\..\Run: [Vital Load Process] bling.exe O4 - HKLM\..\Run: [Windows Services] msfwe1.exe O4 - HKLM\..\Run: [Spoolsys] spoolrv.exe O4 - HKLM\..\Run: [sysPersonalFirewall] msnmssgr.exe <- usun plik O4 - HKLM\..\Run: [usbn] C:\WINDOWS\system32\usbn.exe -go -c84 -w <- usun plik O4 - HKLM\..\Run: [mouse] mouse.exe O4 - HKLM\..\Run: [steam] steam.exe <- usun plik O4 - HKLM\..\Run: [Windows Sound Manager] SndMon16.exe O4 - HKLM\..\Run: [FX] C:\WINDOWS\Downloaded Program Files\ieloader.exe<- usun plik O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\kpyck.exe <- usun plik O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe <- usun plik O4 - HKLM\..\Run: [MSSecureHtml] C:\WINDOWS\System32\mshtm6.exe <- usun plik O4 - HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe <- usun plik O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\system32\defragfat36.exe <- usun plik O4 - HKLM\..\Run: [SystemRequred] C:\WINDOWS\System32\internetmgr.exe <- usun plik O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\wcmdmgrl.exe -launch <- usun katalog wt O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe <- usun katalog Media... O4 - HKLM\..\RunServices: [system32.exe] bling.exe <- usun plik O4 - HKLM\..\RunServices: [Vital Load Process] bling.exe <- usun plik O4 - HKLM\..\RunServices: [Windows Services] msfwe1.exe <- usun plik O4 - HKLM\..\RunServices: [Spoolsys] spoolrv.exe O4 - HKLM\..\RunServices: [sysPersonalFirewall] msnmssgr.exe <- usun plik O4 - HKLM\..\RunServices: [mouse] mouse.exe <- usun plik O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon16.exe <- usun plik O4 - HKCU\..\Run: [Spoolsys] spoolrv.exe <- usun plik O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - software- dl.real.com/201839e7097a64aca106/netzip/RdxIE601.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{22173D19-6C04-469B-BA7B-AD6CF8A74AA3}: NameServer = 69.50.166.94,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{F8332B99-9E71-488F-8F8F-7742BB2FA3BA}: NameServer = 69.50.166.94,69.31.80.244 <- dnsy trojana O17 - HKLM\System\CS1\Services\Tcpip\..\{22173D19-6C04-469B-BA7B-AD6CF8A74AA3}: NameServer = 69.50.166.94,69.31.80.244 O17 - HKLM\System\CS2\Services\Tcpip\..\{22173D19-6C04-469B-BA7B-AD6CF8A74AA3}: NameServer = 69.50.166.94,69.31.80.244 O17 - HKLM\System\CS3\Services\Tcpip\..\{22173D19-6C04-469B-BA7B-AD6CF8A74AA3}: NameServer = 69.50.166.94,69.31.80.244 O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0- 4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll <- usun plik O21 - SSODL: MSSQLMonitor - {7FD83A75-A88A-4B02-A258-B3BDECC8B0C5} - C:\WINDOWS\System32\richtcfg.dll (file missing) O21 - SSODL: MSTskMgr32 - {E8020D6A-ED8B-4754-A2D5-17B7CF11EAD5} - C:\WINDOWS\System32\msundate.dll (file missing) O21 - SSODL: System - {6DA09252-8E9D-49D7-9C21-D0E12035710C} - vr_sys.dll (file missing) O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDO <- wylacz usulge Po usunieciu wklej nowy log. Odpowiedz Link Zgłoś
Gość: anka kolejny krok IP: *.neoplus.adsl.tpnet.pl 06.09.05, 23:54 wszystko wedle sugestii, a oto aktualny log, aha a jak wyłączyc ten HardwareClockdriver?? wielkie dzięki i wielkie sorry za przestawienie literki w niku... jasne że KOLOBOS!!! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\ewido\security suite\ewidoctrl.exe C:\Program Files\ewido\security suite\ewidoguard.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\task.exe C:\WINDOWS\iexplre.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Winamp\winampa.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\MD7466\ICON.EXE C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Neostrada TP\Watch.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Winamp\winamp.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\kuba\Moje dokumenty\KAEYMXx@neostrada.pl\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32 \NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01 \bin\jusched.exe O4 - HKLM\..\RunServices: [system32.exe] bling.exe O4 - HKLM\..\RunServices: [Vital Load Process] bling.exe O4 - HKLM\..\RunServices: [Windows Services] msfwe1.exe O4 - HKLM\..\RunServices: [sysPersonalFirewall] msnmssgr.exe O4 - HKLM\..\RunServices: [mouse] mouse.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32 \NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - HKCU\..\Run: [Spoolsys] spoolrv.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Slim 3000 Monitor.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5- 00401C608501} - C:\WINDOWS\System32\msjava.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: sysPersonalFirewall (kosovachat.ww4.us) - Unknown owner - C:\WINDOWS\System32\msnmssgr.exe" -netsvcs (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe O23 - Service: Windows HWinfo Loader - Unknown owner - C:\WINDOWS\iexplre.exe Odpowiedz Link Zgłoś
Gość: Kolobos Re: kolejny krok IP: *.warszawa.sdi.tpnet.pl 07.09.05, 00:59 Uzyj tego: www.wilderssecurity.net/downloads/rbkiller.exe W menadzerze zadan zakoncz te procesy: C:\WINDOWS\task.exe C:\WINDOWS\iexplre.exe C:\Program Files\MD7466\ICON.EXE I usun te pliki. W hijackthis usun to: O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe <- jak juz pisalem wczesniej usun katalog Media Gateway O4 - HKLM\..\RunServices: [system32.exe] bling.exe <- usun plik C:\Windows\system32\bling.exe O4 - HKLM\..\RunServices: [Vital Load Process] bling.exe O4 - HKLM\..\RunServices: [Windows Services] msfwe1.exe <- usun plik tez z system32 O4 - HKLM\..\RunServices: [sysPersonalFirewall] msnmssgr.exe <- usun plik O4 - HKLM\..\RunServices: [mouse] mouse.exe <- usun plik O4 - HKCU\..\Run: [Spoolsys] spoolrv.exe <- usun plik Teraz usulugi: Start->Uruchom->services.msc Odszukaj tam te uslugi i we wlasciwosciach kazdej z nich zmien tryb uruchomienia na wylaczony oraz zatrzymaj je: O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: sysPersonalFirewall (kosovachat.ww4.us) - Unknown owner - C:\WINDOWS\System32\msnmssgr.exe" -netsvcs (file missing) O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe O23 - Service: Windows HWinfo Loader - Unknown owner - C:\WINDOWS\iexplre.exe Nastepnie Hijackthis->Open Misc Tools->Delete Nt service i tam wpisz: hwclock kosovachat.ww4.us tskman Windows HWinfo Loader Jak juz to wszystko zrobisz to wklej nowy log. Odpowiedz Link Zgłoś
Gość: anka tragedia!!!! IP: 80.50.35.* 07.09.05, 14:30 i wszystko juz wczoraj grało ale w tzw. miedzyczasie cos sie stało. Znikły wszystkie aktywne programy z paska na dole /pojawia sie tylko ewido ktory jeszcze nie zostal odinstalowany i ze siec siec jest rozlaczona - a wczesniej to byl jeszcze avast, spybot i winamp.../, a na dodatek nie moge odpalic zadnego programu z pulpitu i ze startu /np. w panelu sterowania SYSTEm i DODAJ - /Wyinstaluj w ogole sie nie odpala a niektore foldery tam zas chodza normalnie/ a czesc jest tak ze przez normalne klikniecie sie nie odpala, a ale daje sie odpalic ale poprzez opcje URUCHOM,/np. antyvirus,winamp / Neostrada przestała działać i włączam ją przez URUCHOM ale wyskakuje ze kłopoty z plikiem comcomp.exe i brak połaczenia.... kompletnie nie wiem co sie dzieje.... co robić??? to jakiś wirus czy moze cos usuniete przez przypadek... wogole to pisze teraz z cafe.... pomocy KOLOBOS!!!! Odpowiedz Link Zgłoś
Gość: tata1959 Re: tragedia!!!! IP: *.neoplus.adsl.tpnet.pl 07.09.05, 20:38 witaj tak...powiedzmy błąd w sztuce. ściągnij na dysk pliczek UnHookExec.inf. securityresponse.symantec.com/avcenter/UnHookExec.inf jak będzie na dysku prawy klik>>>zainstaluj,nic nie zobaczysz ale powinno pomóc. potem zaopraszam na www.searchengines.pl/phpbb203/index.php?showforum=99 trzeba dokończyć te zmagania z syfem. pozdrawiam . Odpowiedz Link Zgłoś
Gość: anka ok, zobaczymy IP: 80.50.35.* 08.09.05, 19:28 dobra , mam to na dyskietce i jutro zdam relacje czy zadzialalo... Odpowiedz Link Zgłoś
Gość: anka nowy log IP: *.neoplus.adsl.tpnet.pl 09.09.05, 16:45 nowy log po unhookexec.inf i po dokonaniu tych wszystkich zmian: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Winamp\winampa.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\winclient.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\MD7466\ICON.EXE C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\ewido\security suite\ewidoctrl.exe C:\Program Files\ewido\security suite\ewidoguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Neostrada TP\Watch.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\kuba\Moje dokumenty\KAEYMXx@neostrada.pl\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32 \NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01 \bin\jusched.exe O4 - HKLM\..\Run: [DiskCheck] "C:\WINDOWS\winclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32 \NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Slim 3000 Monitor.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5- 00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: v3cab - searchmiracle.com/cab/v3cab.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8F5B4E28-25E3-4098-A4CE-930EAC891E46}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido\security suite\ewidoguard.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Odpowiedz Link Zgłoś
Gość: Kolobos Re: nowy log IP: *.warszawa.sdi.tpnet.pl 09.09.05, 17:10 Odinstaluj ewido. To juz Ci chyba dawalem.. forum.gazeta.pl/forum/72,2.html?f=34&w=15679891&a=15680440 To do kasacji: O16 - DPF: v3cab - searchmiracle.com/cab/v3cab.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab To tez wyglada na syf: O4 - HKLM\..\Run: [DiskCheck] "C:\WINDOWS\winclient.exe" Bo raczej nie jest to NetPatrol. Odpowiedz Link Zgłoś
Gość: anka Re: kolejny krok IP: *.neoplus.adsl.tpnet.pl 09.09.05, 16:43 ok. po skorzystaniu z UnhookExe programy zaczeły się odpalać dobrze ... natomiast to co sugerował KOLOBOS w zasadzie wszystko zrobione: pofixowane wpisy w Hijacku i pousuwane w Hijackthis->Open Misc Tools->Delete Nt service ... jednego tylko nie mogę zrobić - zakonczyc procesów w menedzerze zadan - gdyz wyskakuje ze zostal wylaczony przez administratora /nastąpiło to samoistnie gdyz pamietam ze wczesniej mozna bylo wejsc tam bezproblemowo/.... aha i te ponizsze pliki usuniete zostaly przeze mnie juz wczesniej po ostatniej sugestii: O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media > Gateway\MediaGateway.exe <- jak juz pisalem wczesniej usun katalog Media Ga > teway > O4 - HKLM\..\RunServices: [system32.exe] bling.exe <- usun plik > C:\Windows\system32\bling.exe > O4 - HKLM\..\RunServices: [Vital Load Process] bling.exe > O4 - HKLM\..\RunServices: [Windows Services] msfwe1.exe <- usun plik tez z > system32 > O4 - HKLM\..\RunServices: [sysPersonalFirewall] msnmssgr.exe <- usun plik > O4 - HKLM\..\RunServices: [mouse] mouse.exe <- usun plik > O4 - HKCU\..\Run: [Spoolsys] spoolrv.exe <- usun plik Odpowiedz Link Zgłoś
Gość: tata1959 Re: kolejny krok IP: *.neoplus.adsl.tpnet.pl 09.09.05, 18:01 witaj hm...mósisz zrobić takie coś: REGEDIT5 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=dword:00000000 "**del.DisableTaskMgr"=" " [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "DisableTaskMgr"=dword:00000000 Plik >>> Zapisz jako >>> *.* Wszystkie pliki >>> zasejwuj jako TASKMG.REG. Plik podwójnie klikasz i potwierdzasz pozdrawiam Odpowiedz Link Zgłoś
Gość: anka nowy log i pytanie o UnhookExec.inf IP: *.neoplus.adsl.tpnet.pl 09.09.05, 18:02 ok. ewido odinstalowane, a i w hijackthis pousuwane te wpisy... A mam jeszcze problem z tym UnhookExec.inf , bo musze go instalować po kazdym restarcie aby odpalały sie programy normalnie, jak to zrobic by było to automatyczne???? a oto nowy log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Winamp\winampa.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\MD7466\ICON.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Winamp\Winamp.exe C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Neostrada TP\Watch.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\kuba\Moje dokumenty\KAEYMXx@neostrada.pl\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32 \NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01 \bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32 \NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Slim 3000 Monitor.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5- 00401C608501} - C:\WINDOWS\System32\msjava.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{8F5B4E28-25E3-4098-A4CE-930EAC891E46}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Odpowiedz Link Zgłoś
Gość: anka taskmg.reg - kolejny krok IP: *.neoplus.adsl.tpnet.pl 09.09.05, 18:12 zrobione TATO ;) Odpowiedz Link Zgłoś
Gość: tata1959 Re: taskmg.reg - kolejny krok IP: *.neoplus.adsl.tpnet.pl 09.09.05, 19:50 witaj tak...to znaczy że menadżer działa,Tak? czy mogę prosić łatwiejszy zestaw pytań? dobra...a co to jest to: C:\Program Files\MD7466\ICON.EXE jakoś mi to nie leży. dopieścisz w między czasie kompa ,a ja pomyślę. O4 - HKLM\..\Run:[NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe Start >>> Uruchom >>> msconfig >>> w zakładce Uruchamianie wyłącz te wpisy. O4 - HKLM\..\Run:[WinampAgent] "C:\Program Files\Winamp3\winampa.exe" Agent winampa siedzi sobie w trayu i pilnuje żeby żaden inny progs nie przechwycił np. mp3.Kliknij na ikone i usuń z traya. O4 - HKLM\..\Run:[SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe Panel sterowania >>> Java Plug-in >>> Update >>> odptaszkuj Check for updates automatically no i tego zamulacza: O4 - Startup:Microsoft Office.lnk =C:\Program Files\Microsoft Office\Office\OSA9.EXE Zaś ten usuniesz przez Start >>> Programy >>> Autostart >>> kasacja z prawokliku. daj mi jeszcze loga z Silent Runners www.silentrunners.org/ jest to skrypt VBS,ściągasz go na pulpit i klikasz podwójnie,czekasz troszkę i powino ukazać się takie okienko o zakończeniu działania a na pulpicie plik textowy Startups programs ,wklej go go posta. po tych operacjach chcę zobaczyć też loga z hijacka. pozdrawiam . Odpowiedz Link Zgłoś
Gość: Kolobos Re: taskmg.reg - kolejny krok IP: *.warszawa.sdi.tpnet.pl 09.09.05, 21:32 C:\Program Files\MD7466\ICON.EXE to pewnie cos od kamery Medion Digital camera md7466 albo jakis syf ;-) Odpowiedz Link Zgłoś
Gość: tata1959 Re: taskmg.reg - kolejny krok IP: *.neoplus.adsl.tpnet.pl 09.09.05, 22:19 witaj @Kolobos tak...jaki net jest mały,pozdrawiam. co do tego wpisu to też tak myślę że to coś może od aparatu,ale tu powinna nam podkowiedzieć koleżanka. pozdrawiam i trzymaj się. . Odpowiedz Link Zgłoś
Gość: anka znowu Win32:Trojan-gen. {Other} ehhhh IP: *.neoplus.adsl.tpnet.pl 09.09.05, 22:38 tak , tak to od aparatu MEdion ;).... Wlasnie robie to co zaleca TATA ale ... cholera jasna w miedzyczasie przed chwila znowu pojawił sie ten pieprzony wirus Win32:Trojan-gen. {Other} w C:\WINDOWS\system32\rdriv.sys.... po tej samej procedurze co zalecał w 2 poscie KOLOBOS nadal jest a traktujac go szczepionką zalecaną 'g data 123' to w trakcie skanu wiesza sie na pliku C:\WINDOWS\system32\rdpwsx.dll . ECh czy ja sie go kiedys pozbede ;) CO ROBIC!!!! Zaraz wysle skan z hijacka i silentrunner.vbs po zalecanych przez Tate operacjach 'wyłaczających' Odpowiedz Link Zgłoś
Gość: anka hmmm....nowy log IP: *.neoplus.adsl.tpnet.pl 09.09.05, 22:57 a teraz po restarcie avast juz tego wirusa nie wykrywa!!! hmmm więc go nie ma???? aha TATO ten plik taskmg.reg spowodowal ze programy odpalają się od razu po klinieciu ikonek wiec tu pomoglo, ale MEnedzer zadań wciąż jest nieaktywny i pojawia sie zapis ze jest wylaczony przez admina.... Nie moge tez odpalic SilentRunners.vbs bo wyskakuje ze dostep do hosta skryptów systemu windows jest wylaczony.... oj, ale ja WAM utrudniam zycie a raczej ten nieszczesny komp... ;) a oto nowy log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\MD7466\ICON.EXE C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\task.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Neostrada TP\Watch.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\cmd.exe C:\Documents and Settings\kuba\Moje dokumenty\KAEYMXx@neostrada.pl\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=explorer.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32 \NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32 \NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - Global Startup: Slim 3000 Monitor.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5- 00401C608501} - C:\WINDOWS\System32\msjava.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{8F5B4E28-25E3-4098-A4CE-930EAC891E46}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Windows Task Manager Service (tskman) - Unknown owner - C:\WINDOWS\task.exe Odpowiedz Link Zgłoś
Gość: tata1959 Re: hmmm....nowy log IP: *.neoplus.adsl.tpnet.pl 10.09.05, 00:40 witaj tak..co do skryptów to poczytaj ten przyklejony PICASSO tu www.searchengines.pl/phpbb203/index.php?showtopic=11529&st=0&p=132533&#entry132533 tylko PIKA opisuje wyłączanie a ty masz włączyć,a najlepiej to zrobisz wpadając do nas na forum www.searchengines.pl/phpbb203/index.php?showforum=99,tu poprostu trudno pracować. tylko opisz dokładnie co się dzieje a w szczególności o tym C:\WINDOWS\system32\rdriv.sys bo jest to rootkit sterownikowy. pozdrawiam. . Odpowiedz Link Zgłoś
Gość: anka Menedzer zadań nie działa... IP: *.neoplus.adsl.tpnet.pl 11.09.05, 22:23 weekend minął ale problemy zostały... ;) ... a więc nie mogę włączyć tego przeklętego menedżera zadań... silentrunners sie nie odpala a stosując noscrpit.exe gdzie TaTA sugerował pozycje ENABLE to jest tak że to wcale nie było wyłaczone ale własnie ENABLE... gdy jednak ustawiam jako DISABLE wówczas klikając na silentrunnersa jest pytanie w jakim programie ma go otworzyć... aha na kompie zainstalowany teraz jest arcavir z gazety PCKM - to chyba ciut lepsze od avasta mam nadzieje /ale juz przy skanowaniu twardego pojawiają sie kwasy - część wykrytych trojanów nie usuwa, w ogole okno USUŃ robi się nieaktywne... niebardzo mi sie to podoba, skoro te syfy są a ja nic nie moge zrobić/ Odpowiedz Link Zgłoś
Gość: Kolobos Re: Menedzer zadań nie działa... IP: *.warszawa.sdi.tpnet.pl 11.09.05, 23:21 Wakla z wiatrakami... Wklej sobie do notatnika to: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] "DisableTaskMgr"=- Zapisz jako fix.reg i uruchom, ale pewnie jakis syf Ci to na bierzaco blokuje. Odpowiedz Link Zgłoś
Gość: anka Re: Menedzer działa... IP: *.neoplus.adsl.tpnet.pl 12.09.05, 00:43 Wielkie dzięki!!! Menedżer zaczął działać zajebiście po odpaleniu tego pliku;))) Pozdrawiam!!! Dzięki!!! Odpowiedz Link Zgłoś
