prosze o sprawdzenie loga :p

[zaro]

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 13:41:55, on 2005-07-04
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE
C:\WINDOWS\system32\Drivers\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\w?crtupd.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\oset\isho.exe
C:\Program Files\SEC\MagicTune 2.5\GammaTray.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton AntiVirus\cfgwiz.exe
C:\Program Files\Symantec\LiveUpdate\LUAll.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\FlashGet\flashget.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gogle.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)
O2 - BHO: (no name) - {74B45673-B092-E313-96EC-B149631FC5CF} - C:\WINDOWS\system32\iffg.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Program Files\DashBar\DashBar30.dll (file missing)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [fergnkl] C:\WINDOWS\fergnkl.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Ypgzy] C:\Program Files\Hrpgel\Rbnxb.exe
O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1
O4 - HKLM\..\Run: [d267cicf] C:\WINDOWS\System32\d267cicf.exe
O4 - HKLM\..\Run: [Generic Host Process for Win32 Services] C:\WINDOWS\system32\Drivers\svchost.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\PROGRA~1\NORTON~1\Cfgwiz.exe /R
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Eczxzhlt] C:\WINDOWS\System32\w?crtupd.exe
O4 - HKCU\..\Run: [180ClientStubInstall] "C:\DOCUME~1\ToMeK\USTAWI~1\Temp\zang.exe"
O4 - HKCU\..\Run: [Omsp] C:\Program Files\oset\isho.exe
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Search - http://kc.bar.need2find.com/KC/menusearch.html?p=KC
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://kazaalite.pl/stats/script/loud.chm::/Bridge-c139.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ms-its:mhtml:file://c:\nosuxxx.mht!http://kazaalite.pl/stats/script/mt.chm::/MediaTicketsInstaller.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gorzow.mm.pl
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = gorzow.mm.pl
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe



[Tom@szek]

Nie znam tego -

Kod: Zaznacz wszystko

C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE

Kod: Zaznacz wszystko

C:\Program Files\oset\isho.exe

Do usunięcia na pewno to: ( w trybie awaryjnym. Wcześniej wyłącz przywracanie systemu )

Kod: Zaznacz wszystko

C:\WINDOWS\System32\w?crtupd.exe

Kod: Zaznacz wszystko

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

Kod: Zaznacz wszystko

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)

Kod: Zaznacz wszystko

      O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL (file missing)

Kod: Zaznacz wszystko

O2 - BHO: (no name) - {74B45673-B092-E313-96EC-B149631FC5CF} - C:\WINDOWS\system32\iffg.dll

Kod: Zaznacz wszystko

      O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Program Files\DashBar\DashBar30.dll (file missing)

Kod: Zaznacz wszystko

      O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll (file missing)

Kod: Zaznacz wszystko

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [fergnkl] C:\WINDOWS\fergnkl.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Ypgzy] C:\Program Files\Hrpgel\Rbnxb.exe
O4 - HKLM\..\Run: [MW1HelperStartUp] C:\PROGRA~1\MAGICW~1\MW1HEL~1.EXE /partner MW1
O4 - HKLM\..\Run: [d267cicf] C:\WINDOWS\System32\d267cicf.exe
O4 - HKLM\..\Run: [Generic Host Process for Win32 Services] C:\WINDOWS\system32\Drivers\svchost.exe

Z czego katalog Media Access usunąć ręcznie.

Kod: Zaznacz wszystko

O4 - HKCU\..\Run: [Eczxzhlt] C:\WINDOWS\System32\w?crtupd.exe
O4 - HKCU\..\Run: [180ClientStubInstall] "C:\DOCUME~1\ToMeK\USTAWI~1\Temp\zang.exe"
O4 - HKCU\..\Run: [Omsp] C:\Program Files\oset\isho.exe
O4 - Global Startup: Color Calibration.lnk = ?

Kod: Zaznacz wszystko

      O8 - Extra context menu item: &Search - http://kc.bar.need2find.com/KC/menusearch.html?p=KC

Kod: Zaznacz wszystko

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://kazaalite.pl/stats/script/loud.chm::/B ridge-c139.cab           
     O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ms-its:mhtml:file://c:\nosuxxx.mht!http://kazaalite.pl/stats/script/mt.chm::/Med iaTicketsInstaller.cab

Kod: Zaznacz wszystko

      O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = gorzow.mm.pl
      O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = gorzow.mm.pl

Co do pliku

C:\WINDOWS\System32\w?crtupd.exe

Zastrzeżony znak "?" uniemożliwia kasację plików, ich znalezienie opcją typu Szukaj czy podgląd w działających procesach gdyż pytajnik to SYMBOL WIELOZNACZNY zastępujący litery. Np. uruchamiając opcję Szukaj i wpisując jako poszukiwany obiekt ??chost otrzymamy jako znaleziska pliki: svchost i rdchost = oba prawidłowe od Windows a nie ten szkodliwy z pytajnikami! Tak wygląda struktura nazewnictwa Windows, który podstawia pod ? pojedynczą literę by plik "pasował" do legalnej i zatwierdzonej konwencji nazywnictwa Billa Gatesa tongue.gif I trojan to niestety wykorzystał ....

Dzięki temu trikowi trojan potrafi stworzyć w folderze Windows plik O TAKIEJ SAMEJ NAZWIE a teoretycznie 2 pliki o tej samej nazwie nie mogą być w jednym i tym samym folderze!


Jak znaleźć i skasować te pliki?

Niestety nie można ich znaleźć opcją Szukaj i trzeba użyć własnych oczu. Trik to przejście do folderu gdzie ten plik jest czyli C:\WINDOWS\system32 i posortowanie Widoku wg nazwy. Pliki z prawidłową nazwą będą w logicznej kolejności a pliki z nieprawidłową (czyli nasz pytajnikowiec) bez i wylądują na spodzie. W weryfikacji pomoże też sprawdzenie daty - nowsze to śmieci. Samo zaś kasowanie również ręcznie gdyż wszystkie programy typu Killbox itd. będą zachowywały się identycznie jak Windows podstawiając pod pytajniki litery.

[zaro]

dopra bede próbował dzieki za opis jak sie tego wszystkiego pozbyc