jimowy utworzono 18 września 2008 utworzono 18 września 2008 witam. Mam problem z wyskakujacym dymkiem na pasku "you have a security problem". Dodaję log z highjack'a. Proszę o pomoc, gdyz sam jestem zielony. Logfile of Trend Micro HijackThis v2.0.2Scan saved at 16:56:35, on 2008-09-18Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\Explorer.EXEC:\Documents and Settings\All Users\Dane aplikacji\qjgrstkz\wxabufsj.exeC:\WINDOWS\RTHDCPL.EXEC:\Program Files\Eset\nod32kui.exeC:\Program Files\CyberLink\PowerDVD\PDVDServ.exeC:\Program Files\Java\jre1.6.0_07\bin\jusched.exeC:\WINDOWS\TEMP\a.exeC:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\qip\QuickInstallPack.exeC:\WINDOWS\TEMP\c.exeC:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exeC:\Program Files\Eset\nod32krn.exeC:\WINDOWS\system32\svchost.exeC:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exeC:\Program Files\Tlen.pl\tlen.exeC:\Program Files\Opera\Opera.exeC:\Program Files\Winamp\winamp.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/pl/R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.localR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLLO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dllO2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll (file missing)O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dllO2 - BHO: iercptbho - {D4CDC21D-43BE-4101-A1EF-E379F134771E} - C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\qip\iercpt.dllO3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLLO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dllO4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXEO4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXEO4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICEO4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"O4 - HKLM\..\Run: [uVS11 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exeO4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialogO4 - HKCU\..\Run: [EdHTML] C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe /noneO4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -hO4 - HKCU\..\Run: [somefox] C:\WINDOWS\TEMP\a.exeO4 - HKCU\..\Run: [QuickInstallPack] "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\qip\QuickInstallPack.exe" /autorunO4 - HKLM\..\Policies\Explorer\Run: [yPigu4Aj1X] C:\Documents and Settings\All Users\Dane aplikacji\qjgrstkz\wxabufsj.exeO4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exeO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dllO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cabO16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Program Files\AutoCAD 2002\AcDcToday.ocxO16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD 2002\InstBanr.ocxO16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Program Files\AutoCAD 2002\InstFred.ocxO16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\AutoCAD 2002\AcPreview.ocxO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exeO23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exeO23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe--End of file - 5576 bytes
Mateusz J. komentarz 18 września 2008 komentarz 18 września 2008 Pobierz ComboFix, ale nie uruchamiaj. Do notatnika wklej: File::C:\WINDOWS\TEMP\a.exeC:\WINDOWS\TEMP\c.exeRegistry::[HKEY_current_users\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Somefox"=- W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku: Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum. Po tej czynności problem powinien zniknąć, ale mimo to proszę o pokazanie loga. O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll (file missing) Fix w HijackThis.
jimowy komentarz 18 września 2008 Autor komentarz 18 września 2008 Dziękuję, problem zniknął. Muszę jeszcze uporac się z trojanem. Oto log z comboboxa: ComboFix 08-09-16.05 - user 2008-09-18 20:12:36.1 - [b]FAT32[/b]x86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.656 [GMT 2:00] Uruchomiony z: C:\Documents and Settings\user\Moje dokumenty\combofix\ComboFix.exe Command switches used :: C:\Documents and Settings\user\Moje dokumenty\combofix\CFScript.txt * Utworzono nowy punkt przywracania * Resident AV is active [b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b] . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\myglobalsearch C:\Program Files\myglobalsearch\bar\1.bin\MGSBAR.DLL C:\Program Files\myglobalsearch\bar\Cache\[u]0[/u]002B9C1.bin C:\Program Files\myglobalsearch\bar\Cache\[u]0[/u]002BBA5.bin C:\Program Files\myglobalsearch\bar\Cache\[u]0[/u]0B722D0 C:\Program Files\myglobalsearch\bar\Cache\[u]0[/u]0B726D7.bin C:\Program Files\myglobalsearch\bar\Cache\files.ini C:\Program Files\myglobalsearch\bar\History\search C:\Program Files\myglobalsearch\bar\Settings\prevcfg.htm C:\WINDOWS\msettings.ini C:\WINDOWS\system32\Cfx32.lic C:\WINDOWS\system32\cfx32.ocx C:\WINDOWS\TEMP\a.exe C:\WINDOWS\TEMP\c.exe . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NTMLSVC -------\Service_NtmlSvc ((((((((((((((((((((((((( Pliki utworzone od 2008-08-18 do 2008-09-18 ))))))))))))))))))))))))))))))) . 2008-09-18 16:38 . 2008-09-18 16:38 <DIR> d-------- C:\Program Files\Trend Micro 2008-09-18 15:36 . 2008-09-18 15:36 <DIR> d-------- C:\Program Files\SecureExpertCleaner 2008-09-18 15:36 . 2008-09-18 15:36 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\SEC 2008-09-18 15:35 . 2008-09-18 15:35 <DIR> d-------- C:\My Downloads 2008-09-18 15:12 . 2008-09-18 15:12 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\qjgrstkz 2008-09-12 22:46 . 2004-03-09 00:00 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX 2008-09-09 10:00 . 2008-09-09 10:00 <DIR> d-------- C:\Program Files\K-Lite Codec Pack 2008-09-09 10:00 . 2008-07-25 10:34 683,520 --a------ C:\WINDOWS\system32\divx.dll 2008-09-09 10:00 . 2008-06-12 20:36 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll 2008-09-09 10:00 . 2007-07-10 18:10 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest 2008-09-08 17:23 . 2008-09-08 17:23 <DIR> d-------- C:\Program Files\QuickTime Alternative 2008-09-08 17:23 . 2008-05-27 10:50 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2008-09-08 17:23 . 2008-05-27 10:50 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts 2008-09-08 16:53 . 2008-09-08 16:53 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-09-08 16:53 . 2008-09-08 16:53 1,409 --a------ C:\WINDOWS\QTFont.for . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-02 07:43 --------- d-----w C:\Program Files\Nuclear Coffee 2008-07-25 08:34 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll 2008-07-16 18:51 2,041,363 ----a-w C:\WINDOWS\system32\x264vfw.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4CDC21D-43BE-4101-A1EF-E379F134771E}] 2008-09-18 20:14 110592 --a------ C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\qip\iercpt.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EdHTML"="C:\Program Files\Binboy\EdHTMLv5.0\EdHTML.exe" [2003-03-24 1443328] "QuickInstallPack"="C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\qip\QuickInstallPack.exe" [2008-09-18 422864] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2006-06-13 917504] "RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 32768] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "UVS11 Preload"="C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe" [2007-03-03 341488] "RTHDCPL"="RTHDCPL.EXE" [2005-12-09 C:\WINDOWS\RTHDCPL.exe] [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run] "yPigu4Aj1X"="C:\Documents and Settings\All Users\Dane aplikacji\qjgrstkz\wxabufsj.exe" [2008-09-18 65536] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 29696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i263_32.drv "msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm "msacm.MPEGacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm "msacm.ulmp3acm"= C:\PROGRA~1\COMMON~1\ULEADS~1\MPEG\ulmp3acm.acm "msacm.l3fhg"= mp3fhg.acm "msacm.divxa32"= divxa32.acm "VIDC.X264"= x264vfw.dll "VIDC.HFYU"= huffyuv.dll "vidc.i263"= i263_32.drv "VIDC.YV12"= yv12vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC] --a------ 2005-08-12 14:43 45056 C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Program Files\\Gadu-Gadu\\gg.exe"= "D:\\Mirc\\mirc.exe"= "C:\\totalcmd\\TOTALCMD.EXE"= "D:\\UT\\System\\UnrealTournament.exe"= "C:\\Program Files\\Tlen.pl\\tlen.exe"= "D:\\Program Files\\BearShare\\BearShare.exe"= [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ce49ccd8-91d2-11dc-b52f-001485f9883c}] \Shell\Auto\command - L:\activexdebugger32.exe f \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL activexdebugger32.exe f \Shell\explore\Command - L:\activexdebugger32.exe f \Shell\open\Command - L:\activexdebugger32.exe f [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E4066320-E4AE-11CF-B1B0-00AA00BBAD66}] rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\fpxpress.inf,PerUserRemove . Zawartość folderu 'Zaplanowane zadania' . - - - - USUNIĘTO PUSTE WPISY - - - - HKCU-Run-PcSync - C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe HKCU-Run-ares - C:\Program Files\Ares\Ares.exe MSConfigStartUp-BearShare - C:\Program Files\BearShare\BearShare.exe ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-18 20:14:44 Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- PROCES: C:\WINDOWS\system32\lsass.exe -> C:\Program Files\Eset\pr_imon.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE C:\PROGRAM FILES\COMMON FILES\INTERVIDEO\DEVICESERVICE\DEVSVC.EXE C:\PROGRAM FILES\ESET\NOD32KRN.EXE C:\PROGRAM FILES\COMMON FILES\ULEAD SYSTEMS\DVD\ULCDRSVR.EXE C:\WINDOWS\system32\wscntfy.exe C:\ComboFix\pv.cfexe . ************************************************************************** . Czas ukończenia: 2008-09-18 20:15:37 - komputer został uruchomiony ponownie [user] ComboFix-quarantined-files.txt 2008-09-18 18:15:34 Przed: 2,740,305,920 bajt˘w wolnych Po: 3,285,745,664 bajt˘w wolnych 139
Mateusz J. komentarz 18 września 2008 komentarz 18 września 2008 Do notatnika wklej: Windows Registry Editor Version 5.00[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ce49ccd8-91d2-11dc-b52f-001485f9883c}] Plik ==> Zapisz jako ==> Zmień rozszerzenie na Wszystkie pliki ==> Zapisz pod nazwą FIX.REG Uruchom utworzony plik FIX.REG i potwierdź dodanie do Rejestru i zresetuj komputer. Dziękuję, problem zniknął. Muszę jeszcze uporac się z trojanem. Oto log z comboboxa:NOD32 pokazuje komunikaty o Trojanie? Jeśli tak podaj do niego ścieżkę.
jimowy komentarz 18 września 2008 Autor komentarz 18 września 2008 Pokazywał, ale juz uporałem sie z nim. Jeśli coś jeszcze wyskoczy to dam znać.
Mateusz J. komentarz 18 września 2008 komentarz 18 września 2008 Puki co usuń kwarantannę ComboFix, czyli folder c:\QooBox Ogólnie miałeś na kompie także infekcję z pendrive.
mr_kosmita komentarz 20 września 2008 komentarz 20 września 2008 Witam.Mam ten sam problem z wyskakującym komunikatem "You have a security problem". Jestem kompletnie zielony w tym jak by to usunąć,więc proszę o pomoc. Oto log z hijackthis: Logfile of Trend Micro HijackThis v2.0.2Scan saved at 23:14:12, on 2008-09-20Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.6000.16705)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeD:\inne(gry,kodeki,open office 2002,gg)\Ad-Aware 2008 Free 7.1.0.8\aawservice.exeC:\WINDOWS\Explorer.EXEC:\Program Files\VIA\RAID\raid_tool.exeC:\WINDOWS\SOUNDMAN.EXEC:\Program Files\IC\Card Reader Driver v1.9e2\Disk_Monitor.exeC:\WINDOWS\system32\RUNDLL32.EXEC:\PROGRA~1\NEOSTR~1\CnxMon.exeC:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exeC:\PROGRA~1\NEOSTR~1\TaskbarIcon.exeC:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Common Files\Real\Update_OB\realsched.exeC:\Program Files\HP\HP Software Update\HPWuSchd2.exeC:\Program Files\PowerISO\PWRISOVM.EXEC:\Program Files\DAEMON Tools\daemon.exeC:\Program Files\Winamp\winampa.exeC:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exeC:\WINDOWS\system32\ctfmon.exeD:\Gadu-Gadu\gg.exeC:\Program Files\Skype\Phone\Skype.exeC:\DOCUME~1\B&D\USTAWI~1\Temp\a.exeC:\Program Files\Spyware Doctor\swdoctor.exeC:\Program Files\HP\Digital Imaging\bin\hpqtra08.exeC:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exeC:\WINDOWS\System32\nvsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exeC:\Program Files\Skype\Plugin Manager\SkypePM.exeC:\PROGRA~1\NEOSTR~1\NeostradaTP.exeC:\PROGRA~1\NEOSTR~1\ComComp.exeC:\PROGRA~1\NEOSTR~1\Watch.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\Program Files\Opera\Opera.exeC:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exeC:\DOCUME~1\B&D\USTAWI~1\Temp\e.exeC:\WINDOWS\system32\rundll32.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.plR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.plR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TPR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaR3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLLO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocxO2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dllO2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dllO2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dllO2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dllO4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exeO4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXEO4 - HKLM\..\Run: [Disk Monitor] C:\Program Files\IC\Card Reader Driver v1.9e2\Disk_Monitor.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exeO4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exeO4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /iconO4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exeO4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exeO4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /minO4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osbootO4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exeO4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXEO4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [QuickTime Task] "D:\programy muzyczne\QuickTimeInstaller\qttask.exe" -atboottimeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg.exe" /trayO4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimizedO4 - HKCU\..\Run: [somefox] C:\DOCUME~1\B&D\USTAWI~1\Temp\a.exeO4 - HKCU\..\Run: [spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /QO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exeO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\MICROS~1\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dllO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programy\MICROS~1\OFFICE11\REFIEBAR.DLLO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dllO17 - HKLM\System\CCS\Services\Tcpip\..\{028E5889-AAF9-4458-BB93-7811C1B87D1E}: NameServer = 194.204.152.34 217.98.63.164O17 - HKLM\System\CS1\Services\Tcpip\..\{028E5889-AAF9-4458-BB93-7811C1B87D1E}: NameServer = 194.204.152.34 217.98.63.164O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLLO23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\inne(gry,kodeki,open office 2002,gg)\Ad-Aware 2008 Free 7.1.0.8\aawservice.exeO23 - Service: Avira AntiVir Personal ? Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exeO23 - Service: Avira AntiVir Personal ? Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe--End of file - 7927 bytes
Mateusz J. komentarz 20 września 2008 komentarz 20 września 2008 Pobierz ComboFix, ale nie uruchamiaj. Do notatnika wklej: File::C:\DOCUME~1\B&D\USTAWI~1\Temp\a.exeC:\DOCUME~1\B&D\USTAWI~1\Temp\e.exeC:\WINDOWS\system32\msxml71.dllRegistry::[HKEY_current_users\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Somefox"=- W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku: Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum.
mr_kosmita komentarz 20 września 2008 komentarz 20 września 2008 W sumie to poszperałem trochę w necie i zrobiłem coś innego-ale w końcu pozbyłem się tego komunikatu.Najpierw ściagnąłem ATF Cleanera i wyczyściłem prawie cały folder temp z lokalizacji C:\documents and settings\user\Local settings\Temp. Później zostało kilka plików więc tak jak radzili moi poprzednicy użyłem trybu awaryjnego żeby wejść do Windows, znowu weszłem/albo wszedłem do folderu temp i usunąłem z niego ostatni plik który sie nie dał usunać w normalnym trybie.Zrestartowałem kompa i już się nie pokazuje ten komunikat. Może starczy? Jak myślisz? Na wszelki wypadek użyłem ComboFixa.Myślę,że już teraz powinno być ok. Dzięki za wszystko. Oto log z Combofix'a: ComboFix 08-09-20.05 - B&D 2008-09-21 0:57:10.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.221 [GMT 2:00]Uruchomiony z: D:\Damian\downloads\ComboFix.exeUżyto następujących komend :: D:\Damian\downloads\CFScript.txt * Utworzono nowy punkt przywracania[b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b]FILE ::C:\DOCUME~1\B&D\USTAWI~1\Temp\a.exeC:\DOCUME~1\B&D\USTAWI~1\Temp\e.exeC:\WINDOWS\system32\msxml71.dll.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\system32\msxml71.dll.((((((((((((((((((((((((( Pliki utworzone od 2008-08-20 do 2008-09-20 ))))))))))))))))))))))))))))))).2008-09-20 23:13 . 2008-09-20 23:13 <DIR> d-------- C:\Program Files\Trend Micro2008-09-20 21:15 . 2008-09-20 21:15 0 --a------ C:\WINDOWS\Sam10_E.INI2008-09-20 21:04 . 2007-04-27 09:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll2008-09-20 21:03 . 2008-09-20 21:37 <DIR> d-------- C:\WINDOWS\system32\MAGIX2008-09-20 21:03 . 2007-10-29 13:45 667,648 --a------ C:\WINDOWS\system32\mgxoschk.dll2008-09-20 21:03 . 2008-09-20 21:11 5,937 --a------ C:\WINDOWS\mgxoschk.ini2008-09-20 20:56 . 2008-09-20 20:59 88 --a------ C:\WINDOWS\Sam9_E.INI2008-09-20 20:31 . 2008-09-20 20:49 <DIR> d-------- C:\Program Files\Spyware Doctor2008-09-14 22:14 . 2008-09-14 22:14 <DIR> d-------- C:\Program Files\Microsoft Silverlight2008-09-13 12:29 . 2008-09-13 12:29 <DIR> d-------- C:\Program Files\Koala2008-09-13 12:21 . 2008-09-13 12:21 <DIR> d-------- C:\Program Files\Pegasys Inc2008-09-07 01:23 . 2008-09-07 01:23 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb2008-09-07 01:23 . 2008-09-07 01:23 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb2008-08-24 21:20 . 2008-08-24 21:20 227 --a------ C:\WINDOWS\HP_CounterReport_Update_HPSU.ini2008-08-24 21:19 . 2008-08-24 21:19 214 --a------ C:\WINDOWS\HP_48BitScanUpdatePatch.ini2008-08-24 21:11 . 2008-08-24 21:11 221 --a------ C:\WINDOWS\HP_RedboxHprblog_HPSU.ini2008-08-21 20:10 . 2008-09-06 20:40 <DIR> d-------- C:\Program Files\Windows Media Connect 22008-08-21 20:07 . 2008-08-21 20:07 <DIR> d-------- C:\WINDOWS\system32\LogFiles2008-08-21 20:07 . 2008-08-21 20:09 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-09-20 22:56 --------- d-----w C:\Program Files\Neostrada TP2008-09-20 22:56 --------- d-----w C:\Documents and Settings\B&D\Dane aplikacji\Skype2008-09-13 11:24 --------- d-----w C:\Documents and Settings\B&D\Dane aplikacji\uTorrent2008-08-24 19:22 --------- d-----w C:\Program Files\HP2008-08-24 19:11 139,264 ----a-w C:\WINDOWS\system32\hpzjrd01.dll2008-08-12 23:37 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\ConeXware2008-08-10 08:12 --------- d-----w C:\Program Files\DAEMON Tools2008-08-06 19:32 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar2008-08-06 16:50 --------- d-----w C:\Documents and Settings\B&D\Dane aplikacji\Winamp2008-08-06 14:54 --------- d-----w C:\Program Files\Winamp2008-08-06 14:19 --------- d-----w C:\Program Files\Orban2008-08-02 11:24 --------- d-----w C:\Program Files\Xvid2008-07-26 21:31 --------- d-----w C:\Documents and Settings\B&D\Dane aplikacji\Apple Computer2008-07-26 21:25 --------- d-----w C:\Program Files\Apple Software Update2008-07-26 21:25 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer2008-07-26 21:25 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Apple2008-07-25 18:50 --------- d-----w C:\Program Files\vghd2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll2008-07-07 20:29 253,952 ----a-w C:\WINDOWS\system32\es.dll2008-06-29 11:52 46,822 ----a-w C:\WINDOWS\system32\ffdshow.reg2008-06-24 16:46 74,240 ----a-w C:\WINDOWS\system32\mscms.dll2008-06-23 16:42 826,368 ----a-w C:\WINDOWS\system32\wininet.dll2008-06-20 17:48 246,784 ----a-w C:\WINDOWS\system32\mswsock.dll.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]"Gadu-Gadu"="D:\Gadu-Gadu\gg.exe" [2008-03-20 2127296]"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2006-12-11 25424936]"Spyware Doctor"="C:\Program Files\Spyware Doctor\swdoctor.exe" [2004-12-20 1810432][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"RaidTool"="C:\Program Files\VIA\RAID\raid_tool.exe" [2004-10-11 589824]"Disk Monitor"="C:\Program Files\IC\Card Reader Driver v1.9e2\Disk_Monitor.exe" [2003-06-18 466944]"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-07-20 7110656]"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2005-07-20 86016]"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 24576]"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]"WOOWATCH"="C:\PROGRA~1\NEOSTR~1\Watch.exe" [2003-10-16 20480]"WOOTASKBARICON"="C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 53248]"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2008-05-20 185896]"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]"PWRISOVM.EXE"="C:\Program Files\PowerISO\PWRISOVM.EXE" [2006-03-18 184320]"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2006-11-12 157592]"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-08-04 36352]"QuickTime Task"="D:\programy muzyczne\QuickTimeInstaller\qttask.exe" [2008-05-27 413696]"SoundMan"="SOUNDMAN.EXE" [2004-10-27 C:\WINDOWS\SOUNDMAN.EXE]"nwiz"="nwiz.exe" [2005-07-20 C:\WINDOWS\system32\nwiz.exe][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 282624][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="D:\\programy muzyczne\\eMule\\eMule\\eMule.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="C:\\Program Files\\Opera\\Opera.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"="C:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"="C:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="D:\\inne(gry,kodeki,open office 2002,gg)\\SopCast\\adv\\SopAdver.exe"="D:\\inne(gry,kodeki,open office 2002,gg)\\SopCast\\SopCast.exe"="D:\\Gadu-Gadu\\gg.exe"="D:\\Programy\\Torrenty\\uTorrent.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"=*Newly Created Service* - PROCEXP90.Zawartość folderu 'Zaplanowane zadania'.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-09-21 00:59:14Windows 5.1.2600 Dodatek Service Pack 3 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.Czas ukończenia: 2008-09-21 1:00:01ComboFix-quarantined-files.txt 2008-09-20 22:59:58Przed: 9˙148˙669˙952 bajt˘w wolnychPo: 9,277,652,992 bajt˘w wolnych145 --- E O F --- 2008-09-10 17:04:30
Mateusz J. komentarz 21 września 2008 komentarz 21 września 2008 W sumie to poszperałem trochę w necie i zrobiłem coś innego-ale w końcu pozbyłem się tego komunikatu.Najpierw ściagnąłem ATF Cleanera i wyczyściłem prawie cały folder temp z lokalizacji C:\documents and settings\user\Local settings\Temp. Później zostało kilka plików więc tak jak radzili moi poprzednicy użyłem trybu awaryjnego żeby wejść do Windows, znowu weszłem/albo wszedłem blink.gif do folderu temp i usunąłem z niego ostatni plik który sie nie dał usunać w normalnym trybie.Zrestartowałem kompa i już się nie pokazuje ten komunikat. tongue.gifMoże starczy? wink.gif Jak myślisz? huh.gif Heh dobrze kombinowałeś z plikami Temp, wystarczyło je usunąć lub pewien klucz z rejestru Somefox.Log czysty. Usuń folder C:\QooBox
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.