Bardzo dziwny wirus czy co to jest ?

IP: *.daminet.pl 14.09.06, 13:49
Włanczam explorera, wszystko gra. Gdy jednak chce właczyć jedna ze stronke,
zaczyna mi się pojawiać zamiast niej, jakieś dziwne znaki. Natomiast
uruchamiajac tą sama stronke w innej przegladrce internetowej, wszystko
chodzi cacy. Jeśli ktoś zna rozwiazanie tego problemu, będę mu bardzo
wdzięczny. Zastanawiam się, jak to możliwe w jednej przegladrce chodzi a w
drugiej, takie dziwaczne litery na białym tle, które nic nie oznaczają.
    • Gość: Kolobos Re: Bardzo dziwny wirus czy co to jest ? IP: *.warszawa.sdi.tpnet.pl 14.09.06, 13:57
      Jaka strona? Jakie znaki? Wklej log z hijackthis.

      > jak to możliwe w jednej przegladrce chodzi a w drugiej, takie dziwaczne
      > litery na białym tle, które nic nie oznaczają.

      Jedna jest zepsuta, a druga nie.
      • Gość: Piero Re: Bardzo dziwny wirus czy co to jest ? IP: 82.139.13.* 14.09.06, 21:47
        Logfile of HijackThis v1.99.1
        Scan saved at 21:41:54, on 2006-09-14
        Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\csrss.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Alwil Software\Avast4\ashDisp.exe
        C:\WINDOWS\system32\ctfmon.exe
        C:\Program Files\eMule\emule.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\InterMute\SpySubtract\SpySub.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\Program Files\Azureus\Azureus.exe
        C:\WINDOWS\system32\wdfmgr.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\Program Files\Tlen.pl\tlen.exe
        C:\Program Files\Mozilla Firefox\firefox.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\Documents and Settings\Piotrek\Pulpit\INSTALKI\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/
        R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
        Settings,AutoConfigURL = www.daminet.pl/daminet.pac
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
        Files\Java\jre1.5.0_06\bin\ssv.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\system32\msdxm.ocx
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
        O4 - Startup: Azureus.lnk = C:\Program Files\Azureus\Azureus.exe
        O4 - Startup: eMule.lnk = C:\Program Files\eMule\emule.exe
        O4 - Global Startup: SpySubtract.lnk = C:\Program
        Files\InterMute\SpySubtract\SpySub.exe
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console -
        {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
        Files\Java\jre1.5.0_06\bin\ssv.dll
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
        C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger -
        {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
        O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) -
        mks.com.pl/skaner/SkanerOnline.cab
        O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
        www3.ca.com/securityadvisor/virusinfo/webscan.cab
        O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
        acs.pandasoftware.com/activescan/as5free/asinst.cab
        O20 - Winlogon Notify: xmm13g - C:\WINDOWS\SYSTEM32\xmm13g.dll
        O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file)
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashMaiSv.exe" /service (file missing)
        O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashWebSv.exe" /service (file missing)
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
        - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
        • Gość: Kolobos Re: Bardzo dziwny wirus czy co to jest ? IP: *.warszawa.sdi.tpnet.pl 14.09.06, 22:46
          Masz haxdoora i dlatego sie nie otwiera.

          Przeskanuj system przy pomocy ewido.

          W hjt usun:
          O20 - Winlogon Notify: xmm13g - C:\WINDOWS\SYSTEM32\xmm13g.dll
          O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file)

          Sciagnij:
          users.telenet.be/marcvn/tools/haxfix.exe
          Uruchom i wybierz opcje numer 1, log (haxlog.txt), ktory sie utworzy wklej na forum.
          • Gość: Piero Re: Bardzo dziwny wirus czy co to jest ? IP: 82.139.13.* 14.09.06, 23:50
            HAXFIX logfile - by Marckie
            ______________
            version 4.17
            2006-09-14 23:48:18,81

            checking for haxdoor
            --------------------
            checking for a3d files....
            a3d files found
            ps.a3d

            checking for matching notify keys....
            matching notify keys found
            xmm13g

            checking for matching services....
            matching services found
            tmcomm
            xmm13g
            mmx19g

            checking for matching safeboot services....
            matching safeboot services found
            xmm13g.sys
            mmx19g.sys

            checking for other haxdoorfiles....


            Checking for goldun
            -------------------
            checking for notify keys....
            no notify keys found

            checking for services....
            no services found

            checking for other goldunfiles....


            Finished
          • Gość: Piero Re: Bardzo dziwny wirus czy co to jest ? IP: 82.139.13.* 14.09.06, 23:52
            Zrobilem tak jak powiedziałeś i wkleilem wcześniej tego loga. Jest mały problem
            ponieważ w normalnym trybie nie mogę usunać tego wpisu, ale zobaczę, może
            awaryjnie on pójdzie, albo ręcznie z biblioteki windowsa, a mianowicie o ten
            wpis chodzi: O20 - Winlogon Notify: xmm13g - C:\WINDOWS\SYSTEM32\xmm13g.dll
          • Gość: Piero Re: Bardzo dziwny wirus czy co to jest ? IP: *.daminet.pl 15.09.06, 01:24
            Udało mi się unać ten drugi login za pomocą tego programu, który mi podałeś,
            czyli : haxfix . Nie stety dalej się ten cyrk robi. Wkleje obecny log z tego
            haxfix, a oto on:

            HAXFIX logfile - by Marckie
            ______________
            version 4.17
            2006-09-15 1:21:25,83

            checking for haxdoor
            --------------------
            checking for a3d files....
            a3d files not found

            checking for matching notify keys....
            no matching notify keys found

            checking for matching services....
            matching services found
            tmcomm

            checking for matching safeboot services....
            no matching safeboot services found

            checking for other haxdoorfiles....


            Checking for goldun
            -------------------
            checking for notify keys....
            no notify keys found

            checking for services....
            no services found

            checking for other goldunfiles....


            Finished

          • Gość: Piero Re: Bardzo dziwny wirus czy co to jest ? IP: *.daminet.pl 15.09.06, 01:27
            Oraz obecny log z programu HijackThis:

            Logfile of HijackThis v1.99.1
            Scan saved at 01:26:41, on 2006-09-15
            Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\Explorer.EXE
            C:\WINDOWS\system32\spoolsv.exe
            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            C:\Program Files\Alwil Software\Avast4\ashServ.exe
            C:\Program Files\Alwil Software\Avast4\ashDisp.exe
            C:\WINDOWS\system32\ctfmon.exe
            C:\Program Files\eMule\emule.exe
            C:\Program Files\Azureus\Azureus.exe
            C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
            C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
            C:\Program Files\Mozilla Firefox\firefox.exe
            C:\Program Files\ewido anti-spyware 4.0\guard.exe
            C:\Program Files\ewido anti-spyware 4.0\ewido.exe
            C:\Documents and Settings\Piotrek\Pulpit\INSTALKI\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/
            R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
            Settings,AutoConfigURL = www.daminet.pl/daminet.pac
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
            Files\Java\jre1.5.0_06\bin\ssv.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWS\system32\msdxm.ocx
            O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
            O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
            O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
            O4 - Startup: Azureus.lnk = C:\Program Files\Azureus\Azureus.exe
            O4 - Startup: eMule.lnk = C:\Program Files\eMule\emule.exe
            O4 - Global Startup: SpySubtract.lnk = C:\Program
            Files\InterMute\SpySubtract\SpySub.exe
            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
            C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
            O9 - Extra 'Tools' menuitem: Sun Java Console -
            {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
            Files\Java\jre1.5.0_06\bin\ssv.dll
            O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
            C:\Program Files\Messenger\msmsgs.exe
            O9 - Extra 'Tools' menuitem: Windows Messenger -
            {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
            O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
            O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) -
            mks.com.pl/skaner/SkanerOnline.cab
            O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) -
            www3.ca.com/securityadvisor/virusinfo/webscan.cab
            O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
            acs.pandasoftware.com/activescan/as5free/asinst.cab
            O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashServ.exe
            O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashMaiSv.exe" /service (file missing)
            O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashWebSv.exe" /service (file missing)
            O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. -
            C:\Program Files\ewido anti-spyware 4.0\guard.exe
            O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
            - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

          • Gość: Piero Re: Bardzo dziwny wirus czy co to jest ? IP: *.daminet.pl 15.09.06, 02:15
            Zrobilem jeszcze skana ewido. Weszlem na ta stronke wrescie w explorer oraz do
            wiem. Chyba sie udalo, ale jakby co prosze o przyjrzenie sie tamtym loga.
            Dziekuje za pomoc Ci bardzo. Chyba bitwa wygrana, a wlasciwie wojna.
            • Gość: Kolobos Re: Bardzo dziwny wirus czy co to jest ? IP: *.warszawa.sdi.tpnet.pl 15.09.06, 09:49
              Wszystko juz wyglada ok.
      • Gość: Piero Re: Bardzo dziwny wirus czy co to jest ? IP: 82.139.13.* 14.09.06, 21:54
        Nie stety tych znaków nie moge wkleić, które sie pojawiaja zamiast rządanej
        strony, ponieważ wyskakuje mi tu komunikat "Zbyt dużo znaków binarnych w
        treści". Podkreślam że adres strony w przegladarce explorera nie ulega zmianie,
        jest taki sam, wyświetla te dziwaczne symbole, zamiast rządanej przezemnie
        strony internetowej. Dzieje się to na wielu stronach np. Encykopedia Wiem, oto
        jej adres: pl.wikipedia.org/wiki/WIEM
      • Gość: Piero Re: Bardzo dziwny wirus czy co to jest ? IP: 82.139.13.* 14.09.06, 22:00
        Natomiast w przegladarce do stron mozilla - firefox, wszystko chodzi jak trzeba.
        Pierwszy raz mi się coś takie przydarzyło. Miałem już takie rzeczy, ale to
        strona startowa sie zmieniała, ale takiego czegoś to nigdy. Pamietam że problem
        ze strona startową, można było rozwiazać po przez wyczyszczenie calkowite
        rejestru i czegoś tam, tylko wylecialo mi zgłowy, jaki komunikat się wpisywalo
        do windowsa lub też jakim programem się to robiło. Może by to pomogło, ale nie
        stety nie pamietam, jak dokładnie to wykonywałem.
      • Gość: Piero Re: Bardzo dziwny wirus czy co to jest ? IP: 82.139.13.* 14.09.06, 22:09
        Zapomniałbym dodać, że ślaczki czy jak to nazwać, pojawiają sie różne.
        Mianowicie inne na enyklopedi wiem, a inne na innej stronie, ktora też się nie
        ładuje, jak trzeba. Może to jakiś bład kodowania, nie mam zielonego pojecia.
Pełna wersja