Problem z ochroną komputera - HELP

IP: *.neoplus.adsl.tpnet.pl 26.02.07, 21:43
Mam taki problem: wczoraj jak odpaliłem kompa zauważyłem, że zniknęły
wszystkie pliki exe do programów zabezpieczających kompa (avast antywirus,
keiro firewall),to co wczesniej odpalało sie na starcie i działo w tle
przestało działąc, nie odpala sie przy starcie i w ogóle nie daje sie
uruchomic bo nie ma jak, zniknął takze plik exe do spybota, aktualizacji
avg-spyware i aby było dziwniej jak instaluje spybota na nowo to wyszystko
przebiega sprawnie i pieknie, instalacja jest succesfully i instaluje sie
wszystko prócz pliku exe, próbowalem kilka razy, restartowałem i za kazdym
razem jest to samo.
Nie mam pojecia co sie dzieje i nie wiem co robic. Próbuje ściągac jakies
programy skanujące z netu ale one nic nie pokazują a dalej nie moge niczego
ani spybota ani avast uruchomic.
Moze ktos wie o co chodzi? Bede bardzo wdzieczny za pomoc. Pozdrawiam.
    • Gość: Kolobos Re: Problem z ochroną komputera - HELP IP: *.escom.net.pl 26.02.07, 23:15
      Pewnie, ze problem jak sie instaluje rootkity.

      Sciagnij sobie gmera.

      - W zakladce rootkit klikasz prawym przyciskiem myszy na wpisach (tylko tych dotyczacych m_hook.sys) i przywracasz SSDT wszystkich:
      SSDT \??\C:\Documents and Settings\twoja nazwa uzytkownika\Dane aplikacji\hidires\m_hook.sys ZwCreateFile

      W zakaldce procesy zakoncz:
      Process C:\WINDOWS\system32\hldrrr.exe

      W zakladce CMD wklejasz:

      RD /S /Q "C:\Documents and Settings\twoja nazwa uzytkownika\Dane aplikacji\hidires"
      DEL C:\WINDOWS\system32\hldrrr.exe

      pozniej wybierasz REGEDIT i wklejasz tam:

      Windows Registry Editor Version 5.00

      [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}]

      Nastepnie zakladka procesy i tam wybierasz zabij wszytko, przechodzisz
      znowu do CMD i tam przy obu wybierasz uruchom i reset.

      Oczywiscie za "twoja nazwa uzytkownika" wstawiasz swoja nazwe katalogu.

      Po wszystkim wklej log z hijackthis.
      • Gość: newbe Re: Problem z ochroną komputera - HELP IP: *.neoplus.adsl.tpnet.pl 27.02.07, 22:11
        Logfile of HijackThis v1.99.1
        Scan saved at 22:10:41, on 2007-02-27
        Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v7.00 (7.00.6000.16414)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\Windows Defender\MsMpEng.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\system32\CTSvcCDA.EXE
        C:\WINDOWS\system32\inetsrv\inetinfo.exe
        C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
        C:\Program Files\Microsoft Analysis Services\Bin\msmdsrv.exe
        C:\WINDOWS\system32\MsPMSPSv.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\wscntfy.exe
        C:\Program Files\Winamp\winampa.exe
        C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
        C:\Program Files\Mouse\MouseDrv.exe
        C:\WINDOWS\system32\RunDll32.exe
        C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
        C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
        C:\Program Files\Windows Defender\MSASCui.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\WINDOWS\system32\ctfmon.exe
        C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
        C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
        C:\Program Files\Mozilla Firefox\firefox.exe
        C:\WINDOWS\System32\dllhost.exe
        C:\WINDOWS\system32\inetsrv\DavCData.exe
        C:\Documents and Settings\Michal\Pulpit\Hijackthis\hijackthis.exe

        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        go.microsoft.com/fwlink/?LinkId=69157
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
        go.microsoft.com/fwlink/?LinkId=54896
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
        go.microsoft.com/fwlink/?LinkId=54896
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
        go.microsoft.com/fwlink/?LinkId=69157
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no
        file)
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
        O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
        Files\Java\jre1.5.0_10\bin\ssv.dll
        O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
        c:\program files\google\googletoolbar2.dll
        O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
        C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
        O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
        files\google\googletoolbar2.dll
        O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
        O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program
        Files\Java\jre1.5.0_10\bin\jusched.exe"
        O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
        O4 - HKLM\..\Run: [DeluxMouse] C:\Program Files\Mouse\MouseDrv.exe
        O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
        O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
        O4 - HKLM\..\Run: [ISUSPM Startup]
        C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
        O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common
        Files\InstallShield\UpdateService\issch.exe" -start
        O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware
        7.5\avgas.exe" /minimized
        O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows
        Defender\MSASCui.exe" -hide
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
        O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Michal\Dane
        aplikacji\hidires\hidr.exe
        O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
        800-840\dslmon.exe
        O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL
        Server\80\Tools\Binn\sqlmangr.exe
        O8 - Extra context menu item: &Google Search - res://c:\program
        files\google\GoogleToolbar2.dll/cmsearch.html
        O8 - Extra context menu item: &Translate English Word - res://c:\program
        files\google\GoogleToolbar2.dll/cmwordtrans.html
        O8 - Extra context menu item: Backward Links - res://c:\program
        files\google\GoogleToolbar2.dll/cmbacklinks.html
        O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program
        files\google\GoogleToolbar2.dll/cmcache.html
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
        O8 - Extra context menu item: Similar Pages - res://c:\program
        files\google\GoogleToolbar2.dll/cmsimilar.html
        O8 - Extra context menu item: Translate Page into English - res://c:\program
        files\google\GoogleToolbar2.dll/cmtrans.html
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console -
        {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
        Files\Java\jre1.5.0_10\bin\ssv.dll
        O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
        C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
        O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -
        %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
        O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
        {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network
        Diagnostic\xpnetdiag.exe (file missing)
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
        C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger -
        {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O11 - Options group: [INTERNATIONAL] International*
        O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
        O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn
        ContactFinderControl) - www.linkedin.com/cab/LinkedInContactFinderControl.cab
        O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) -
        www.mks.com.pl/skaner/SkanerOnline.cab
        O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
        acs.pandasoftware.com/activescan/as5free/asinst.cab
        O17 - HKLM\System\CCS\Services\Tcpip\..\{B6D1E7B3-D8D9-4CFF-8039-4BA3D50B0F9B}:
        NameServer = 194.204.159.1 217.98.63.164
        O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program
        Files\Common Files\Microsoft Shared\Help\hxds.dll
        O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87}
        - C:\WINDOWS\system32\textwareilluminatorbaseProtocol.dll
        O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
        O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -
        C:\WINDOWS\system32\WPDShServiceObj.dll
        O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -
        C:\WINDOWS\system32\CTSvcCDA.EXE
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
        - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
        O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies -
        C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

        • Gość: Kolobos Re: Problem z ochroną komputera - HELP IP: *.escom.net.pl 27.02.07, 22:31
          W hjt usun:
          R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no
          file)
          O4 - HKLM\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
          O4 - HKCU\..\Run: [hldrrr] C:\WINDOWS\system32\hldrrr.exe
          O4 - HKCU\..\Run: [drvsyskit] C:\Documents and Settings\Michal\Dane
          aplikacji\hidires\hidr.exe

          Plik hldrrr.exe oraz katalog hidires usun z dysku (o ile je jeszcze masz), zainstaluj tez antywirus.
Pełna wersja