Gruby1991 utworzono 12 stycznia 2009 utworzono 12 stycznia 2009 Witam dzisiaj zroblem formata systemui jak na zlosc dalej mam tego wirusa a mianowicie wirus doslownie co chwila otwiera mi strone www.sagipsul.com niewiem co mam z nim zrobic.. Korzystam z pelnej wersji ESET N.O.D 32 Business Ver. I mam wlaczonego XP Firewall-a wiec jakim cudem on sie znow dostal na mojego kompa... A moze ciagle na nim byl ?? Prosze o pomoc jak sie tego pozbyc..
jp44 komentarz 12 stycznia 2009 komentarz 12 stycznia 2009 Przeskanuj system programem Malwarebytes Anti-Malware . Pobierz aktualizacje po czym wybierz skanowanie pełne . To co znajdzie usuń . Nod na standardowych ustawieniach nie chroni najlepiej . Wydaje mi się , że nie grzebałeś w konfiguracji , tak więc polecam obejrzeć filmik , gdzie jest przedstawiona zaawansowana konfiguracja programu w celu zwiększenia ochrony : http://yngve1.cba.pl/Konfiguracje/Nod32 Kiedy już zmienisz ustawienia wykonaj pełne skanowanie programem . Jeśli by znalazł jakąś infekcje ( tego trojana ) usuń go . Uruchom ponownie system po czym wstaw log z HijackThis Pozdrawiam .
Gruby1991 komentarz 12 stycznia 2009 Autor komentarz 12 stycznia 2009 Wlasnie robie skana MBAM-MEM Bardzo Fajny Program znalazl juz 25 Infekcji.. A co do Konfiguracji NODA to juz konfigurowalem go zaraz po formacie i zainstalowaniu Oto Logi z HijackThis Logfile of Trend Micro HijackThis v2.0.2Scan saved at 23:15:30, on 2007-01-12 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\Ati2evxx.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\system32\Ati2evxx.exe G:\WINDOWS\Explorer.EXE G:\Program Files\ATI Technologies\ATI.ACE\cli.exe G:\WINDOWS\system32\rundll32.exe G:\Program Files\Java\jre6\bin\jusched.exe G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe G:\WINDOWS\system32\ctfmon.exe G:\Program Files\Logitech\SetPoint\SetPoint.exe G:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE G:\WINDOWS\ATKKBService.exe G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe G:\Program Files\Java\jre6\bin\jqs.exe G:\Program Files\ATI Technologies\ATI.ACE\cli.exe G:\Program Files\ATI Technologies\ATI.ACE\cli.exe G:\Program Files\Mozilla Firefox\firefox.exe G:\Program Files\Internet Explorer\IEXPLORE.EXE G:\Program Files\Malwarebytes' Anti-Malware\mbam.exe G:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [skyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ATICCC] "G:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [e4264b43] rundll32.exe "G:\WINDOWS\system32\bodykeyl.dll",b O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [egui] "G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] G:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = G:\Program Files\Logitech\SetPoint\SetPoint.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - G:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase6662.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0ADB0B03-9245-4175-9671-02218A72986C}: NameServer = 217.30.129.149 217.30.137.200 O20 - AppInit_DLLs: gcfuti.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - G:\WINDOWS\ATKKBService.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Program Files\Java\jre6\bin\jqs.exe -- End of file - 5916 bytes
jp44 komentarz 12 stycznia 2009 komentarz 12 stycznia 2009 Wlasnie robie skana MBAM-MEM Bardzo Fajny Program znalazl juz 25 Infekcji.. A co do Konfiguracji NODA to juz konfigurowalem go zaraz po formacie i zainstalowaniu powiedz mi jeszcze jak uzywa sie tego HiJackThis MBAM to aktualnie jeden z lepszych programów do usuwania wszelkich zagrożeń . Sfixuj ten wpis : O4 - HKLM\..\Run: [e4264b43] rundll32.exe "G:\WINDOWS\system32\bodykeyl.dll",b Tu znajdziesz opis HijackThis : http://www.searchengines.pl/index.php?show...amp;#entry72833 Kiedy usuniesz wpis , uruchom ponownie system i wstaw ponownie log . Pozdrawiam .
Gruby1991 komentarz 12 stycznia 2009 Autor komentarz 12 stycznia 2009 Juz sfixowalem wpis tylko czekam az MBA skonczy skanowac i zaraz robie restarta i podam Logi ponownie boje sie tylko ze ten trojan co ja mam bedzie mial re-loadera o ciezko bedzie go wywalic.. bo cos czuje ze nawet po skanie wszystko bedzie tak jak bylo i po sfixowaniu Loga tez
jp44 komentarz 12 stycznia 2009 komentarz 12 stycznia 2009 Zauważyłem , że nie posiadasz żadnej zapory ! , zapewne dlatego masz takie problemy z systemem . Dobry firewall nie tylko blokuje niebezpieczne połączenia , również przyczynia się do zatrzymywania trojanów , robaków . Zainteresuj się Comodo firewall ( naprawdę świetna zapora do tego darmowa ! ) . Comodo firewall : http://dobreprogramy.pl/index.php?dz=2&...+Pro+3.0.25.378 Tu znajdziesz opis , konfiguracje programu : http://andgird.webd.pl/comodo.html Spójrz na najnowszy test : ( Comodo jest na 2 pozycji ) . http://www.matousec.com/projects/firewall-...nge/results.php Juz sfixowalem wpis tylko czekam az MBA skonczy skanowac i zaraz robie restarta i podam Logi ponownieboje sie tylko ze ten trojan co ja mam bedzie mial re-loadera o ciezko bedzie go wywalic.. bo cos czuje ze nawet po skanie wszystko bedzie tak jak bylo i po sfixowaniu Loga tez Będzie dobrze , jeśli się prawidłowo zabezpieczysz - zainstaluj firewalla .
Gruby1991 komentarz 12 stycznia 2009 Autor komentarz 12 stycznia 2009 dziekuje ?? Malo powiedziane hehe.. wiesz mam pytanie...nie musisz odpowiadac ale skad wiesz ze nie mam dobrej zapory ??
jp44 komentarz 12 stycznia 2009 komentarz 12 stycznia 2009 dziekuje ?? Malo powiedziane hehe.. wiesz mam pytanie...nie musisz odpowiadac ale skad wiesz ze nie mam dobrej zapory ?? Nie dostrzegłem jej w logach .
Gruby1991 komentarz 12 stycznia 2009 Autor komentarz 12 stycznia 2009 a ia jeszcze jedno "comodo" nie pofixuje razem z N.O.D-em ??
jp44 komentarz 12 stycznia 2009 komentarz 12 stycznia 2009 a ia jeszcze jedno "comodo" nie pofixuje razem z N.O.D-em ?? Ja używam NODa łącznie z Comodo ponad przeszło 8 miesięcy i jak na razie 0 problemów .
Gruby1991 komentarz 12 stycznia 2009 Autor komentarz 12 stycznia 2009 a to ekstra hehe "comodo" sie juz instaluje MBAM konczy SKan zaraz zrobimy Restart i zobaczymy jak to bedzie wszystko wygladało
jp44 komentarz 12 stycznia 2009 komentarz 12 stycznia 2009 a to ekstra hehe "comodo" sie juz instaluje MBAM konczy SKan zaraz zrobimy Restart i zobaczymy jak to bedzie wszystko wygladało Jeśli program będzie wysyłać zbyt dużo pytań możesz wyłączyć moduł DEFENSE+, choć bywa przydatny ( chroni przed malware, keylogery itd. ) .
Gruby1991 komentarz 12 stycznia 2009 Autor komentarz 12 stycznia 2009 albo to wszystko pomoglo albo mi sie zdaje hehe juz mi sie nic nie włącza.. bardzo ci dziekuje... OTO TERAŹNIEJSZE LOGI Logfile of Trend Micro HijackThis v2.0.2Scan saved at 00:07:39, on 2007-01-13 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\Ati2evxx.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\system32\Ati2evxx.exe G:\WINDOWS\Explorer.EXE G:\Program Files\ATI Technologies\ATI.ACE\cli.exe G:\Program Files\Java\jre6\bin\jusched.exe G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe G:\Program Files\COMODO\SafeSurf\cssurf.exe G:\Program Files\COMODO\Firewall\cfp.exe G:\WINDOWS\system32\ctfmon.exe G:\Program Files\Logitech\SetPoint\SetPoint.exe G:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE G:\WINDOWS\ATKKBService.exe G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe G:\Program Files\COMODO\Firewall\cmdagent.exe G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe G:\Program Files\Java\jre6\bin\jqs.exe G:\Program Files\ATI Technologies\ATI.ACE\cli.exe G:\Program Files\ATI Technologies\ATI.ACE\cli.exe G:\Program Files\Mozilla Firefox\firefox.exe G:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - G:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - G:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - G:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - G:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL O4 - HKLM\..\Run: [skyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ATICCC] "G:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [egui] "G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [COMODO SafeSurf] "G:\Program Files\COMODO\SafeSurf\cssurf.exe" -s O4 - HKLM\..\Run: [COMODO Firewall Pro] "G:\Program Files\COMODO\Firewall\cfp.exe" -h O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = G:\Program Files\Logitech\SetPoint\SetPoint.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - G:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase6662.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0ADB0B03-9245-4175-9671-02218A72986C}: NameServer = 217.30.129.149 217.30.137.200 O20 - AppInit_DLLs: gcfuti.dll G:\WINDOWS\system32\guard32.dll G:\WINDOWS\system32\cssdll32.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - G:\WINDOWS\ATKKBService.exe O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - G:\Program Files\COMODO\Firewall\cmdagent.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Program Files\Java\jre6\bin\jqs.exe -- End of file - 7079 bytes
jp44 komentarz 12 stycznia 2009 komentarz 12 stycznia 2009 Czy ochrona antywirusowa na pewno działa jak należy ? to bardzo dziwne ale z każdym nowym logiem dostrzegam nowe infekcje ! . W tym wypadku jest to wpis : R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - G:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL Czy ikonka od programu Nod32 na pasku zadań pali się na zielono ? .
Gruby1991 komentarz 12 stycznia 2009 Autor komentarz 12 stycznia 2009 Tak NOD Jest na zielono Comodo (Biala Tarcza z Zielonym Znaczkiem Na srodku) Przed chwila Comodo dokonał Update mi sie wydaje ze wszystko jest ok... Oto Logi z Ostatniej Chwili po tym jak skasowałem infekcje przez ciebie wykrytą.. Logfile of Trend Micro HijackThis v2.0.2Scan saved at 00:24:54, on 2007-01-13 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\Ati2evxx.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\system32\Ati2evxx.exe G:\WINDOWS\Explorer.EXE G:\Program Files\ATI Technologies\ATI.ACE\cli.exe G:\Program Files\Java\jre6\bin\jusched.exe G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe G:\Program Files\COMODO\SafeSurf\cssurf.exe G:\Program Files\COMODO\Firewall\cfp.exe G:\WINDOWS\system32\ctfmon.exe G:\Program Files\Logitech\SetPoint\SetPoint.exe G:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE G:\WINDOWS\ATKKBService.exe G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe G:\Program Files\COMODO\Firewall\cmdagent.exe G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe G:\Program Files\Java\jre6\bin\jqs.exe G:\Program Files\ATI Technologies\ATI.ACE\cli.exe G:\Program Files\ATI Technologies\ATI.ACE\cli.exe G:\Program Files\Mozilla Firefox\firefox.exe G:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - G:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - G:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - G:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL O4 - HKLM\..\Run: [skyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ATICCC] "G:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [egui] "G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [COMODO SafeSurf] "G:\Program Files\COMODO\SafeSurf\cssurf.exe" -s O4 - HKLM\..\Run: [COMODO Firewall Pro] "G:\Program Files\COMODO\Firewall\cfp.exe" -h O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = G:\Program Files\Logitech\SetPoint\SetPoint.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - G:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase6662.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0ADB0B03-9245-4175-9671-02218A72986C}: NameServer = 217.30.129.149 217.30.137.200 O20 - AppInit_DLLs: gcfuti.dll G:\WINDOWS\system32\guard32.dll G:\WINDOWS\system32\cssdll32.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - G:\WINDOWS\ATKKBService.exe O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - G:\Program Files\COMODO\Firewall\cmdagent.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Program Files\Java\jre6\bin\jqs.exe -- End of file - 6952 bytes
jp44 komentarz 12 stycznia 2009 komentarz 12 stycznia 2009 Tak NOD Jest na zielono Comodo (Biala Tarcza z Zielonym Znaczkiem Na srodku) Przed chwila Comodo dokonał Update mi sie wydaje ze wszystko jest ok... Sfixuj jeszcze wyżej wymieniony wpis . Proponowałbym po tej czynności wstawić ponownie log ( być może już ostatni ) .
Gruby1991 komentarz 12 stycznia 2009 Autor komentarz 12 stycznia 2009 Logfile of Trend Micro HijackThis v2.0.2Scan saved at 00:24:54, on 2007-01-13 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\Ati2evxx.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\system32\Ati2evxx.exe G:\WINDOWS\Explorer.EXE G:\Program Files\ATI Technologies\ATI.ACE\cli.exe G:\Program Files\Java\jre6\bin\jusched.exe G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe G:\Program Files\COMODO\SafeSurf\cssurf.exe G:\Program Files\COMODO\Firewall\cfp.exe G:\WINDOWS\system32\ctfmon.exe G:\Program Files\Logitech\SetPoint\SetPoint.exe G:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE G:\WINDOWS\ATKKBService.exe G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe G:\Program Files\COMODO\Firewall\cmdagent.exe G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe G:\Program Files\Java\jre6\bin\jqs.exe G:\Program Files\ATI Technologies\ATI.ACE\cli.exe G:\Program Files\ATI Technologies\ATI.ACE\cli.exe G:\Program Files\Mozilla Firefox\firefox.exe G:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - G:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - G:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - G:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL O4 - HKLM\..\Run: [skyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ATICCC] "G:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [egui] "G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [COMODO SafeSurf] "G:\Program Files\COMODO\SafeSurf\cssurf.exe" -s O4 - HKLM\..\Run: [COMODO Firewall Pro] "G:\Program Files\COMODO\Firewall\cfp.exe" -h O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Global Startup: Logitech SetPoint.lnk = G:\Program Files\Logitech\SetPoint\SetPoint.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - G:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase6662.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0ADB0B03-9245-4175-9671-02218A72986C}: NameServer = 217.30.129.149 217.30.137.200 O20 - AppInit_DLLs: gcfuti.dll G:\WINDOWS\system32\guard32.dll G:\WINDOWS\system32\cssdll32.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - G:\WINDOWS\ATKKBService.exe O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - G:\Program Files\COMODO\Firewall\cmdagent.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Program Files\Java\jre6\bin\jqs.exe -- End of file - 6952 bytes
jp44 komentarz 12 stycznia 2009 komentarz 12 stycznia 2009 Czysto - powinno być dobrze . Gdyby jednak pojawiły się jakieś problemy - pisz na forum . Pozdrawiam .
Mateusz J. komentarz 13 stycznia 2009 komentarz 13 stycznia 2009 Log nie jest czysty. Wszystkie wpisy dotyczące: G:\Program Files\AskSBar należy usunąć oraz folder AskSBar. Pokaż log z ComboFix: http://www.forumpc.pl/index.php?showtopic=11018
marian82szcz komentarz 14 stycznia 2009 komentarz 14 stycznia 2009 przeniosłem plik txt na ikonkę combofixa, coś pomyślał, zamknął firefoxa i otworzyło sie okienko w wierszem pleceń i nic w nim nie było, czy to oznacza, ze pozbyłem sie tego cholerstwa?
Mateusz J. komentarz 14 stycznia 2009 komentarz 14 stycznia 2009 Zrób loga wg: http://www.forumpc.pl/index.php?showtopic=11018 nic nie kazałem przenosić
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.