Niechciany syf w kompie po kliknieciu w link
jacol11 - 26 Mar 2006 02:45
Wszedlem dzis w jeden link podeslany mi na gadu gadu. Efekt wiadomy... W kompie mam sam syf. Badziewia z traya juz sie pozbylem za pomoca ad aware i microsoft anti spyware, pozostalo jeszcze pare rzeczy ktore nie podobaja sie hijackowi. Ponizej zalacze loga. Jak sie domyslam sa to uslugi ktore nalezy wylaczyc, ale gdy wejde w narzedzia administracyjne to nie moge wejsc nigdzie dalej. Np gdy chce wejsc w usługi wyskakuje mi ramka z napisem:
Program MMC nie moze otworzyc pliku C:\windows\system32\services.msc Być może plik nie istnieje, nie jest konsola MMC lub został utworzony przez starsza wersje programu MMC. Moze byc to takze spowodowane brakiem wystarczajacych uprawnien dostepu do pliku.
Przed kliknieciem w niechciany link wszystko bylo ok, tzn wszedzie szlo wejsc bez problemu. Jestem zalogowany na konto administratora.
Co jeszcze mam zrobic aby w kompie było czysto?
Aaaa zapomnialem dodaz ze mam zmieniona tapete. Czarne tło z białym napisem w prawym dolnym rogu:
Your computer is Danger!
Windows Security Center has detected spyware/adware infection!
It is strongly recommended to use special antispyware tools to prevent data loss.
Logfile of HijackThis v1.99.1
Scan saved at 01:41:27, on 2006-03-26
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programy\DU Meter\DUMeter.exe
C:\Program Files\D-Tools\daemon.exe
D:\Programy\MAS\gcasServ.exe
D:\Programy\MAS\gcasDtServ.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\DOCUME~1\ADMINI~1\MOJEDO~1\CURITY~1\explorer.exe
D:\Acrobat\Distillr\AcroTray.exe
D:\Programy\MAS\GIANTAntiSpywareMain.exe
C:\Program Files\Avant Browser\avant.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\NOTEPAD.EXE
G:\programy\HijackThis.exe
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Resume copy] "copyfstq.exe /startup"
O4 - HKLM\..\Run: [DU Meter] D:\Programy\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [gcasServ] "D:\Programy\MAS\gcasServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] D:\Programy\MAS\gcASCleaner.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Auer] "C:\DOCUME~1\ADMINI~1\MOJEDO~1\CURITY~1\explorer.exe" -vt ndrv
O4 - HKCU\..\Run: [Au] "C:\DOCUME~1\ADMINI~1\MOJEDO~1\CURITY~1\explorer.exe" -vt ndrv
O4 - Global Startup: Microsoft Office.lnk = D:\Programy\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Acrobat\Distillr\AcroTray.exe
O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Otwórz w nowym Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm
O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Podświetl - C:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: Szukaj - C:\Program Files\Avant Browser\Search.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{06098A0F-D68B-4AAF-A2EB-ADB38041933E}: NameServer = 194.204.159.1,194.204.152.34
O17 - HKLM\System\CS3\Services\Tcpip\..\{06098A0F-D68B-4AAF-A2EB-ADB38041933E}: NameServer = 194.204.159.1,194.204.152.34
O21 - SSODL: IZwpsSyEshRH - {E884C15E-422E-6BF4-E17D-5B1CBDD86381} - C:\WINDOWS\system32\jw.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Kolobos - 26 Mar 2006 03:40
W hijackthis usun:
R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [Auer] "C:\DOCUME~1\ADMINI~1\MOJEDO~1\CURITY~1\explorer.exe" -vt ndrv
O4 - HKCU\..\Run: [Au] "C:\DOCUME~1\ADMINI~1\MOJEDO~1\CURITY~1\explorer.exe" -vt ndrv <- usun katalog CURITY~1
O21 - SSODL: IZwpsSyEshRH - {E884C15E-422E-6BF4-E17D-5B1CBDD86381} - C:\WINDOWS\system32\jw.dll <- usun plik
Zrob skan tym:
http://linorg.ciagri.usp.br/ftp/pub/windows/anti-spyware/ssfsetup1_0.exe
http://download.ewido.net/ewido-setup.exe
Przed skanowaniem zrob update definicji, po przeskanowaniu odinstaluj oba programy.
Swoja tapete odszukaj tutaj:
http://www.searchengines.pl/phpbb203/index.php?showtopic=31936
I zastosuj sie do opisu usuwania, jak nie znajdziesz takiej jak masz u siebie bo poczytaj inne opisy i sie do nich zastosuj.
jacol11 - 26 Mar 2006 13:09
Pierwszy link niestety nie działa. Zrobiłem skan ewido. Ponizej raport ze skanowania. A co do tapety to mojej w opisach nie ma, a reszta opisow to taka ilosc ze siedzialbym przy tym caly dzien. Problem z konsolą mmc nadal nie ustąpił. Jest tak jak było. I tak ogolnie cały komp jest jakis taki mocno przymulony.
djbolo - 26 Mar 2006 13:17
Zanim czymkolwiek będziesz skanował, musisz wyłączyć przywracanie systemu i usunąć wszystkie punkty przywracania. Wspomniany "syf" może się odtwarzać przy każdym restarcie z tych punktów (o ile się tam zasiedlił). Jeżeli komputer stał się bardzo zamulony, to bardzo możliwe, że stałeś się botem spamującym... Takie coś łatwo wykryć (ZoneAlarm lub CommView). Ewido, Webroot i Ad-Aware powinny załatwić sprawę.
A msconfig działa? Czasami nawet to i rejestr jest blokowany przez tego typu infekcje...
Kolobos - 26 Mar 2006 15:40
Zawsze mozna sciagnac z innej strony:
http://www.google.pl/search?ie=UTF-8&oe=UTF-8&q=ssfsetup1%5F0%2Eexe (byle nie ze strony producenta bo ta wersja nic nie usuniesz).
Poczytaj tutaj na temat usuwania tapety:
http://www.elektroda.pl/rtvforum/viewtopic.php?p=2450291
Co do opisow na stronie searchengines to sa tam obrazki wiec wystarczy zobaczyc czy masz u siebie zablokowane tak jak na obrazku i wykonwac to co jest w danym opisie nie trzeba czytac i robic wszystkiego.