x-kom hosting

Sagipsul Trojan Jak usunąc

Gruby1991
utworzono
utworzono

Witam dzisiaj zroblem formata systemui jak na zlosc dalej mam tego wirusa a mianowicie wirus doslownie co chwila otwiera mi strone www.sagipsul.com niewiem co mam z nim zrobic.. Korzystam z pelnej wersji ESET N.O.D 32 Business Ver. I mam wlaczonego XP Firewall-a wiec jakim cudem on sie znow dostal na mojego kompa... A moze ciagle na nim byl ?? Prosze o pomoc jak sie tego pozbyc..

jp44
komentarz
komentarz

Przeskanuj system programem Malwarebytes Anti-Malware . Pobierz aktualizacje po czym wybierz skanowanie pełne . To co znajdzie usuń .

Nod na standardowych ustawieniach nie chroni najlepiej . Wydaje mi się , że nie grzebałeś w konfiguracji , tak więc polecam obejrzeć filmik , gdzie jest przedstawiona zaawansowana konfiguracja programu w celu zwiększenia ochrony :

http://yngve1.cba.pl/Konfiguracje/Nod32

Kiedy już zmienisz ustawienia wykonaj pełne skanowanie programem . Jeśli by znalazł jakąś infekcje ( tego trojana ) usuń go .

Uruchom ponownie system po czym wstaw log z HijackThis

Pozdrawiam .

Gruby1991
komentarz
komentarz

Wlasnie robie skana MBAM-MEM Bardzo Fajny Program znalazl juz 25 Infekcji.. A co do Konfiguracji NODA to juz konfigurowalem go zaraz po formacie i zainstalowaniu :)

Oto Logi z HijackThis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:15:30, on 2007-01-12

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\Explorer.EXE

G:\Program Files\ATI Technologies\ATI.ACE\cli.exe

G:\WINDOWS\system32\rundll32.exe

G:\Program Files\Java\jre6\bin\jusched.exe

G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

G:\WINDOWS\system32\ctfmon.exe

G:\Program Files\Logitech\SetPoint\SetPoint.exe

G:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE

G:\WINDOWS\ATKKBService.exe

G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

G:\Program Files\Java\jre6\bin\jqs.exe

G:\Program Files\ATI Technologies\ATI.ACE\cli.exe

G:\Program Files\ATI Technologies\ATI.ACE\cli.exe

G:\Program Files\Mozilla Firefox\firefox.exe

G:\Program Files\Internet Explorer\IEXPLORE.EXE

G:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

G:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [ATICCC] "G:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [e4264b43] rundll32.exe "G:\WINDOWS\system32\bodykeyl.dll",b

O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [egui] "G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] G:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = G:\Program Files\Logitech\SetPoint\SetPoint.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - G:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase6662.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0ADB0B03-9245-4175-9671-02218A72986C}: NameServer = 217.30.129.149 217.30.137.200

O20 - AppInit_DLLs: gcfuti.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - G:\WINDOWS\ATKKBService.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Program Files\Java\jre6\bin\jqs.exe

--

End of file - 5916 bytes

jp44
komentarz
komentarz
Wlasnie robie skana MBAM-MEM Bardzo Fajny Program znalazl juz 25 Infekcji.. A co do Konfiguracji NODA to juz konfigurowalem go zaraz po formacie i zainstalowaniu :) powiedz mi jeszcze jak uzywa sie tego HiJackThis

MBAM to aktualnie jeden z lepszych programów do usuwania wszelkich zagrożeń .

Sfixuj ten wpis :

O4 - HKLM\..\Run: [e4264b43] rundll32.exe "G:\WINDOWS\system32\bodykeyl.dll",b

Tu znajdziesz opis HijackThis :

http://www.searchengines.pl/index.php?show...amp;#entry72833

Kiedy usuniesz wpis , uruchom ponownie system i wstaw ponownie log .

Pozdrawiam .

Gruby1991
komentarz
komentarz

Juz sfixowalem wpis tylko czekam az MBA skonczy skanowac :) i zaraz robie restarta i podam Logi ponownie

boje sie tylko ze ten trojan co ja mam bedzie mial re-loadera o ciezko bedzie go wywalic.. bo cos czuje ze nawet po skanie wszystko bedzie tak jak bylo i po sfixowaniu Loga tez :(

jp44
komentarz
komentarz

Zauważyłem , że nie posiadasz żadnej zapory ! , zapewne dlatego masz takie problemy z systemem . Dobry firewall nie tylko blokuje niebezpieczne połączenia , również przyczynia się do zatrzymywania trojanów , robaków . Zainteresuj się Comodo firewall ( naprawdę świetna zapora do tego darmowa ! ) .

Comodo firewall :

http://dobreprogramy.pl/index.php?dz=2&amp...+Pro+3.0.25.378

Tu znajdziesz opis , konfiguracje programu :

http://andgird.webd.pl/comodo.html

Spójrz na najnowszy test : ( Comodo jest na 2 pozycji ) .

http://www.matousec.com/projects/firewall-...nge/results.php

Juz sfixowalem wpis tylko czekam az MBA skonczy skanowac :) i zaraz robie restarta i podam Logi ponownie

boje sie tylko ze ten trojan co ja mam bedzie mial re-loadera o ciezko bedzie go wywalic.. bo cos czuje ze nawet po skanie wszystko bedzie tak jak bylo i po sfixowaniu Loga tez :(

Będzie dobrze , jeśli się prawidłowo zabezpieczysz - zainstaluj firewalla .

Gruby1991
komentarz
komentarz

dziekuje ?? Malo powiedziane hehe.. wiesz mam pytanie...nie musisz odpowiadac ale skad wiesz ze nie mam dobrej zapory ?? :D

jp44
komentarz
komentarz
dziekuje ?? Malo powiedziane hehe.. wiesz mam pytanie...nie musisz odpowiadac ale skad wiesz ze nie mam dobrej zapory ?? :D

Nie dostrzegłem jej w logach .

Gruby1991
komentarz
komentarz

a ia jeszcze jedno "comodo" nie pofixuje razem z N.O.D-em ??

jp44
komentarz
komentarz
a ia jeszcze jedno "comodo" nie pofixuje razem z N.O.D-em ??

Ja używam NODa łącznie z Comodo ponad przeszło 8 miesięcy i jak na razie 0 problemów .

Gruby1991
komentarz
komentarz

a to ekstra hehe "comodo" sie juz instaluje MBAM konczy SKan zaraz zrobimy Restart i zobaczymy jak to bedzie wszystko wygladało :)

jp44
komentarz
komentarz
a to ekstra hehe "comodo" sie juz instaluje MBAM konczy SKan zaraz zrobimy Restart i zobaczymy jak to bedzie wszystko wygladało :)

Jeśli program będzie wysyłać zbyt dużo pytań możesz wyłączyć moduł DEFENSE+, choć bywa przydatny ( chroni przed malware, keylogery itd. ) .

Gruby1991
komentarz
komentarz

albo to wszystko pomoglo albo mi sie zdaje hehe juz mi sie nic nie włącza.. bardzo ci dziekuje...

OTO TERAŹNIEJSZE LOGI

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:07:39, on 2007-01-13

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\Explorer.EXE

G:\Program Files\ATI Technologies\ATI.ACE\cli.exe

G:\Program Files\Java\jre6\bin\jusched.exe

G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

G:\Program Files\COMODO\SafeSurf\cssurf.exe

G:\Program Files\COMODO\Firewall\cfp.exe

G:\WINDOWS\system32\ctfmon.exe

G:\Program Files\Logitech\SetPoint\SetPoint.exe

G:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE

G:\WINDOWS\ATKKBService.exe

G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

G:\Program Files\COMODO\Firewall\cmdagent.exe

G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

G:\Program Files\Java\jre6\bin\jqs.exe

G:\Program Files\ATI Technologies\ATI.ACE\cli.exe

G:\Program Files\ATI Technologies\ATI.ACE\cli.exe

G:\Program Files\Mozilla Firefox\firefox.exe

G:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - G:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - G:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - G:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - G:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [ATICCC] "G:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [egui] "G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [COMODO SafeSurf] "G:\Program Files\COMODO\SafeSurf\cssurf.exe" -s

O4 - HKLM\..\Run: [COMODO Firewall Pro] "G:\Program Files\COMODO\Firewall\cfp.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = G:\Program Files\Logitech\SetPoint\SetPoint.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - G:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase6662.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0ADB0B03-9245-4175-9671-02218A72986C}: NameServer = 217.30.129.149 217.30.137.200

O20 - AppInit_DLLs: gcfuti.dll G:\WINDOWS\system32\guard32.dll G:\WINDOWS\system32\cssdll32.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - G:\WINDOWS\ATKKBService.exe

O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - G:\Program Files\COMODO\Firewall\cmdagent.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Program Files\Java\jre6\bin\jqs.exe

--

End of file - 7079 bytes

jp44
komentarz
komentarz

Czy ochrona antywirusowa na pewno działa jak należy ? to bardzo dziwne ale z każdym nowym logiem dostrzegam nowe infekcje ! .

W tym wypadku jest to wpis :

R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - G:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

Czy ikonka od programu Nod32 na pasku zadań pali się na zielono ? .

Gruby1991
komentarz
komentarz

Tak NOD Jest na zielono Comodo (Biala Tarcza z Zielonym Znaczkiem Na srodku) Przed chwila Comodo dokonał Update mi sie wydaje ze wszystko jest ok...

Oto Logi z Ostatniej Chwili po tym jak skasowałem infekcje przez ciebie wykrytą..

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:24:54, on 2007-01-13

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\Explorer.EXE

G:\Program Files\ATI Technologies\ATI.ACE\cli.exe

G:\Program Files\Java\jre6\bin\jusched.exe

G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

G:\Program Files\COMODO\SafeSurf\cssurf.exe

G:\Program Files\COMODO\Firewall\cfp.exe

G:\WINDOWS\system32\ctfmon.exe

G:\Program Files\Logitech\SetPoint\SetPoint.exe

G:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE

G:\WINDOWS\ATKKBService.exe

G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

G:\Program Files\COMODO\Firewall\cmdagent.exe

G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

G:\Program Files\Java\jre6\bin\jqs.exe

G:\Program Files\ATI Technologies\ATI.ACE\cli.exe

G:\Program Files\ATI Technologies\ATI.ACE\cli.exe

G:\Program Files\Mozilla Firefox\firefox.exe

G:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - G:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - G:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - G:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [ATICCC] "G:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [egui] "G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [COMODO SafeSurf] "G:\Program Files\COMODO\SafeSurf\cssurf.exe" -s

O4 - HKLM\..\Run: [COMODO Firewall Pro] "G:\Program Files\COMODO\Firewall\cfp.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = G:\Program Files\Logitech\SetPoint\SetPoint.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - G:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase6662.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0ADB0B03-9245-4175-9671-02218A72986C}: NameServer = 217.30.129.149 217.30.137.200

O20 - AppInit_DLLs: gcfuti.dll G:\WINDOWS\system32\guard32.dll G:\WINDOWS\system32\cssdll32.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - G:\WINDOWS\ATKKBService.exe

O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - G:\Program Files\COMODO\Firewall\cmdagent.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Program Files\Java\jre6\bin\jqs.exe

--

End of file - 6952 bytes

jp44
komentarz
komentarz
Tak NOD Jest na zielono Comodo (Biala Tarcza z Zielonym Znaczkiem Na srodku) Przed chwila Comodo dokonał Update mi sie wydaje ze wszystko jest ok...

Sfixuj jeszcze wyżej wymieniony wpis . Proponowałbym po tej czynności wstawić ponownie log ( być może już ostatni :) ) .

Gruby1991
komentarz
komentarz
Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:24:54, on 2007-01-13

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

Running processes:

G:\WINDOWS\System32\smss.exe

G:\WINDOWS\system32\winlogon.exe

G:\WINDOWS\system32\services.exe

G:\WINDOWS\system32\lsass.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\system32\svchost.exe

G:\WINDOWS\System32\svchost.exe

G:\WINDOWS\system32\spoolsv.exe

G:\WINDOWS\system32\Ati2evxx.exe

G:\WINDOWS\Explorer.EXE

G:\Program Files\ATI Technologies\ATI.ACE\cli.exe

G:\Program Files\Java\jre6\bin\jusched.exe

G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

G:\Program Files\COMODO\SafeSurf\cssurf.exe

G:\Program Files\COMODO\Firewall\cfp.exe

G:\WINDOWS\system32\ctfmon.exe

G:\Program Files\Logitech\SetPoint\SetPoint.exe

G:\Program Files\Common Files\Logitech\KhalShared\KHALMNPR.EXE

G:\WINDOWS\ATKKBService.exe

G:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

G:\Program Files\COMODO\Firewall\cmdagent.exe

G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

G:\Program Files\Java\jre6\bin\jqs.exe

G:\Program Files\ATI Technologies\ATI.ACE\cli.exe

G:\Program Files\ATI Technologies\ATI.ACE\cli.exe

G:\Program Files\Mozilla Firefox\firefox.exe

G:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - G:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - G:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - G:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - G:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - G:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [ATICCC] "G:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [QuickTime Task] "G:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "G:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [egui] "G:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [COMODO SafeSurf] "G:\Program Files\COMODO\SafeSurf\cssurf.exe" -s

O4 - HKLM\..\Run: [COMODO Firewall Pro] "G:\Program Files\COMODO\Firewall\cfp.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] G:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Global Startup: Logitech SetPoint.lnk = G:\Program Files\Logitech\SetPoint\SetPoint.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - G:\Program Files\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase6662.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0ADB0B03-9245-4175-9671-02218A72986C}: NameServer = 217.30.129.149 217.30.137.200

O20 - AppInit_DLLs: gcfuti.dll G:\WINDOWS\system32\guard32.dll G:\WINDOWS\system32\cssdll32.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - G:\WINDOWS\ATKKBService.exe

O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - G:\Program Files\COMODO\Firewall\cmdagent.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - G:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Program Files\Java\jre6\bin\jqs.exe

--

End of file - 6952 bytes

jp44
komentarz
komentarz

Czysto - powinno być dobrze :) . Gdyby jednak pojawiły się jakieś problemy - pisz na forum .

Pozdrawiam .

Gruby1991
komentarz
komentarz

wielkie dzieki... Pozdrawiam :)

Mateusz J.
komentarz
komentarz

Log nie jest czysty.

Wszystkie wpisy dotyczące:

G:\Program Files\AskSBar

należy usunąć oraz folder AskSBar.

Pokaż log z ComboFix: http://www.forumpc.pl/index.php?showtopic=11018

marian82szcz
komentarz
komentarz

przeniosłem plik txt na ikonkę combofixa, coś pomyślał, zamknął firefoxa i otworzyło sie okienko w wierszem pleceń i nic w nim nie było, czy to oznacza, ze pozbyłem sie tego cholerstwa?

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.