Skocz do zawartości


tablety.pl
Zdjęcie
- - - - -

Jak sie pozbyc tego.....




  • Zamknięty Temat jest zamknięty
21 odpowiedzi w tym temacie

#1 Mincek

Mincek

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 29 01 2005 - 17:33

ch.ujostwa bo inaczej jush nazwac tego nei moge. Odrzu moowie ze jestem laikiem w tych sprawach i wklejam tylko loga z hijacka ;]

Logfile of HijackThis v1.99.0
Scan saved at 17:32:44, on 2005-01-29
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\AVerTV2K\QuickTV.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Angelika\USTAWI~1\Temp\Rar$EX00.362\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RmlSrv32] C:\Documents and Settings\Angelika\Pulpit\rmlsrv.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: QuickTV.lnk = C:\Program Files\AVerTV2K\QuickTV.exe
O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.syma...bin/AvSniff.cab
O16 - DPF: {3E339D3C-4B12-4E8C-A529-9CC4BEEAFD4F} (VacPro.russia_ver3) - http://advnt01.com/dialer/russia.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.syma...n/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/s...nfo/webscan.cab
O16 - DPF: {AFD8ED36-EA54-11D6-AC3F-00105ADCF632} (Ntw4 Control) - https://www.supermak...pl/res/ntw4.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.co...kanerOnline.cab
O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.1...1/PL175_139.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Windows User Mode Driver Framework - Unknown - C:\WINDOWS\System32\wdfmgr.exe (file missing)

#2 Gutek-Pablo

Gutek-Pablo

    Expert Rank

  • Użytkownicy +
  • 3357 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Wrocław -okolica

Napisano 29 01 2005 - 17:36

Najnowszy wariant VX2:[/QUOTE]
[quote]O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com[/quote]
zobacz TU jak jego usunąć
Reszta przy tym to pryszcz

#3 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 29 01 2005 - 17:40

Najtrudniejsa infekcja:

VX2:

O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com


Nie ma innego sposobu niż TO. Musisz mi pokazać log z FindIt. Nic tego nie usuwa, nic tego nie załatwi automatycznie. Musisz się męczyć ręcznie. I musisz to ubić w pierwszej kolejności bo usuwanie reszty bez wyeliminowania VX2 jest bez sensu.

Prócz tego do usuwania po VX2:

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [RmlSrv32] C:\Documents and Settings\Angelika\Pulpit\rmlsrv.exe
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {3E339D3C-4B12-4E8C-A529-9CC4BEEAFD4F} (VacPro.russia_ver3) - http://advnt01.com/dialer/russia.CAB
O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.1...1/PL175_139.exe




.

#4 Mincek

Mincek

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 29 01 2005 - 17:41

jesuuuu ja to wszystko czytac i siem uczyc ?? a nie ma jakiegos krootkiego kursu co do tego ?? tak przyspieszonego co zrobic ??

Slecze nad tym od 9 rano wiec ZLITUJCIE SIE ?? moze GG siem odezwiesz i pomozesz ?? PLIZZZ 378447

#5 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 29 01 2005 - 17:45

Nie ma krótkiego sposobu/instrukcji/programu, które usunie VX2. Niestety nauczkę masz na całe życie!

Mincek wszyscy z VX2 wykonali tę instrukcję:

Najnowszy wariant:

Znakiem nowalijki jest przekierowanie na stronę http://www.ad-w-a-r-e.com a potem http://www.spotresults.com i mnóstwo pop-upów. W logu z HijackThis pojawiają się takie oto niekasowalne wpisy:

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 ieautosearch



1. Ściągnij narzędzie FindIt:

FindIt.zip dla Windows NT/2000/XP
FindIt9xme.zip dla Windows 98/Me

Rozpakuj i uruchom Find.bat. Pozwól mu pracować dopóki nie otrzymasz takiego oto skrina:

Dołączona grafika

Kliknij więc jakikolwiek klawisz a program stworzy loga output.txt. Jak zinterpretować loga? Oto przykład loga z Windows XP (dla 98 ten log będzie wyglądał inaczej) w którym wyróżniłam na czerwono to co szkodliwe i na zielono to co zostawiacie (tam gdzie jest gwiazdka * wpisy są skomentowane pod logiem):

Warning! This utility will find legitimate files in addition to malware. 
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Wolumin w stacji E to SYSTEM
Numer seryjny woluminu: D06F-0C13

Katalog: E:\WINDOWS\System32

2004-12-18  02:21          226˙206 hr8q05l5e.dll
2004-12-18  02:21          225˙841 p4p60e7seh.dll
2004-12-17  22:57          225˙167 hrru0599e.dll
2004-12-17  19:31          222˙808 e002lado1d0c.dll
2004-12-14  20:27    <DIR>          dllcache
2004-10-03  17:15    <DIR>          Microsoft
              4 plik(˘w)        900˙022 bajt˘w
              2 katalog(˘w)  1˙048˙317˙952 bajt˘w wolnych

------- Hidden Files in System32 Directory -------

Wolumin w stacji E to SYSTEM
Numer seryjny woluminu: D06F-0C13

Katalog: E:\WINDOWS\System32

2004-12-14  20:27    <DIR>          dllcache
2004-10-03  16:26              488 logonui.exe.manifest
2004-10-03  16:26              488 WindowsLogon.manifest
2004-10-03  16:26              749 nwc.cpl.manifest
2004-10-03  16:26              749 sapi.cpl.manifest
2004-10-03  16:26              749 ncpa.cpl.manifest
2004-10-03  16:26              749 wuaucpl.cpl.manifest
2004-10-03  16:26              749 cdplayer.exe.manifest
              7 plik(˘w)          4˙721 bajt˘w
              1 katalog(˘w)  1˙048˙317˙952 bajt˘w wolnych

---------- Files Named "Guard" -------------

Wolumin w stacji E to SYSTEM
Numer seryjny woluminu: D06F-0C13

Katalog: E:\WINDOWS\System32

2004-12-18  02:23          223˙141 guard.tmp
              1 plik(˘w)        223˙141 bajt˘w
              0 katalog(˘w)  1˙048˙317˙952 bajt˘w wolnych

--------- Temp Files in System32 Directory --------

Wolumin w stacji E to SYSTEM
Numer seryjny woluminu: D06F-0C13

Katalog: E:\WINDOWS\System32

2004-12-18  02:23          223˙141 guard.tmp
2001-10-26  16:45            2˙596 CONFIG.TMP
2001-08-23  14:00          147˙483 scrrun.dll.tmp
              3 plik(˘w)        373˙220 bajt˘w
              0 katalog(˘w)  1˙048˙317˙952 bajt˘w wolnych

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{B08D6D85-0718-428F-8992-080AB023BB74}"=""
*


------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\H323TSP] *
"Asynchronous"=dword:00000000
"DllName"="E:\\WINDOWS\\system32\\p4p60e7seh.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


---------------- Xfind Locked Files -----------------


-------------- XFind Qoologic Results --------------


-------------- XFind Aspack Results ---------------


-------------- Locate.com Results ---------------



* Komentarz:

Wszystkie obiekty wyróżnione w logu na czerwono bez przerwy zmieniają nazwy i u każdego są INNE! Nazwy plików są w konwencji "losowania" i raczej łatwo je zdefiniować jako szkodliwe. Zaś częścią regenerującą VX2 są 2 wpisy w rejestrze:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{numerek}"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nazwa]


One u każdego mają inne nazwy - oto przykłady:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{C848A6AB-7E69-4FBA-8876-39F33640F112}"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Applets]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\i8jqli1518.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{7FAF4826-E94E-48CC-8992-5A330B793909}"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunOnceEx]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\k8pmli7118.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{35F0A947-5812-4BC8-9772-6D77E2804E53}"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ShellScrap]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\e2202cfmgf2a2.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{B08D6D85-0718-428F-8992-080AB023BB74}"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Installer]
"Asynchronous"=dword:00000000
"DllName"="E:\\WINDOWS\\system32\\r68slgl716q.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{A7BFD5A4-65C6-4632-855D-8D2AB1E624AC}"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\App Management]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\hr8u05l9e.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"



2. Odcinacie internet na zero i tak ma zostać aż do końca usuwania!


3. Kasujecie pliki zdefiniowane na podstawie loga z FindIt jako szkodliwe. Pliki są niekasowalne ręcznie nawet w trybie awaryjnym .... Należy po kolei próbować następujących metod kasacji:

1. Na początek program Pocket Killbox. Otworzyć program:

Dołączona grafika

Tools >>> Delete Temp folders

Poczekaj aż program wykona operację czyszczenia tempów. Jak skończy wklej po kolei wszystkie pełne ścieżki do szkodliwych plików w polu Full Path of File to Delete za każdym razem klikając znaczek czerwonego X. Zanotuj WSZYSTKIE nazwy plików, których Killbox nie będzie w stanie rozpoznać dając komunikat "could not be found" lub "could not be deleted".

Pliki, których Killbox nie rozpoznaje (komunikat "could not be found" lub "could not be deleted") kasujemy przez inną opcję. Proszę zaznacz Delete on Reboot i wklej po kolei wszystkie pełne ścieżki do plików nie rozpoznanych przez Killboxa potwierdzając to czerwonym X. Przy każdej operacji wklejania ścieżki dostępu Killbox będzie pytał o reset. Dajesz NO i kończysz wklejanie i potwierdzanie ścieżek. Jak skończysz wklejać ostatni z plików wtedy dopiero dajesz YES i resetujesz kompa.

2. Jeśli zawiedzie Killbox czeka cię kasowanie plików poprzez Konsolę Odzyskiwania. Opis Konsoli, jej użytkowania i komend jest TU.

4. Krokiem końcowym jest usunięcie z rejestru wpisów VX2. Jako, że na każdym kompie VX2 tworzy inne wpisy musicie sami stworzyć swój plik czyszczący. Proszę otworzyć Notatnik i wkleić taką formułę (pod czerwone podstawiacie swoje dane ujrzane w logach):

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{tu wpisujecie swój numer}"=-

[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tu wpisujecie nazwę swojego klucza]


Plik >>> Zapisz jako >>> Wszystkie pliki *.* >>> jako nazwę wprowadzacie FIX.REG. Uruchamiacie plik FIX.REG.

5. Następnie tworzycie ponownego loga z FindIt i porównujecie z pierwszym czy gad siedzi nadal ale pod już zmienioną nazwą czy też wręcz przeciwnie = uległ kasacji. Następnie zapuszczacie nieskończoną liczbę skanerów online, które doczyszczą resztki.

UWAGA: W przypadku nieudanego usuwania on zmienia nazwy plików i kluczy rejestru! Czyli powtarzacie procedurę usuwania od nowa uwzględniając już podmienione nazewnictwo!





Szkody wyrządzone przez VX2:

Użytkownicy Windows 2000/XP zaraportowali iż po czyszczeniu próba przywrócenia Paska szybkiego uruchamiania (Quick Launch) zwróciła błąd "cannot create toolbar". Koregujemy to tym fixem rejestru: ishellfolderband.reg, który dopisze coś takiego:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{D82BE2B0-5764-11D0-A96E-00C04FD705A2}]
@="IShellFolderBand"

[HKEY_CLASSES_ROOT\CLSID\{D82BE2B0-5764-11D0-A96E-00C04FD705A2}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
  65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"


Nie ma innego sposobu i więcej niż to co tu jest ci już nie powiem. Jeśli sam nie umiesz poproś jakiegoś informatyka lub kogoś kto zna się lepiej niż ty. Przy czym informatyk również ma wykonać tę instrukcję a jeżeli i on nie będzie umiał (!!!) to niech choć zrobi format!


.

#6 Mincek

Mincek

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 29 01 2005 - 17:50

no to teraz ostatnie pytanie.

czy ten NAJNOWSZY wariant jest skuteczny ?? jesli tak zabieram sie za niego, jesli nie robie to co na poczatku daliscie.. ktora metode mam wybrac ??

zabieram sie za nastepne pifo, drukuje to co cza, sciagam to co cza i do roboty...

#7 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 29 01 2005 - 17:53

czy ten NAJNOWSZY wariant jest skuteczny ?? jesli tak zabieram sie za niego, jesli nie robie to co na poczatku daliscie.. ktora metode mam wybrac ??


Myśmy ci dali jedną i tą samą instrukcję tylko na początku na widoku ogólnym a potem ja ją zacytowałam. To jedyna istniejąca metoda i lepiej jej już nie opiszę dlatego uważam iż gg i tego typu "pomoc" jest zbędna więc nie gniewaj się. Masz brać FindIt (Najnowszy wariant) i na podstawie jego loga znaleźć buca. Jeśli nie umiesz samodzielnie pokaż tego loga tutaj to ci wskażę.

Piwo może ci pomóc .... :)

#8 Mincek

Mincek

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 29 01 2005 - 18:02

Piwo pomaga na wszystko :)

Picasso wklejam tego loga i prosze o dalsze wskazowki :)

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: CCF3-25FD

Katalog: C:\WINDOWS\System32

2005-01-29 17:55 230˙763 lvr2099oe.dll
2005-01-29 17:55 230˙464 mvxclu.dll
2005-01-29 16:47 230˙464 ktlsl7371.dll
2005-01-29 16:09 230˙212 acsldpc.dll
2005-01-29 14:54 228˙437 uqrdtea.dll
2005-01-27 19:37 229˙960 kxdir.dll
2005-01-27 16:44 229˙951 j0l40a3qed.dll
2005-01-27 14:54 229˙050 l4p20e7oeh.dll
2005-01-25 11:19 231˙130 svecli.dll
2004-10-25 18:16 <DIR> Microsoft
2004-10-25 17:42 <DIR> dllcache
9 plik(˘w) 2˙070˙431 bajt˘w
2 katalog(˘w) 15˙051˙931˙648 bajt˘w wolnych

------- Hidden Files in System32 Directory -------

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: CCF3-25FD

Katalog: C:\WINDOWS\System32

2004-10-25 17:59 488 logonui.exe.manifest
2004-10-25 17:59 488 WindowsLogon.manifest
2004-10-25 17:59 749 sapi.cpl.manifest
2004-10-25 17:59 749 wuaucpl.cpl.manifest
2004-10-25 17:59 749 cdplayer.exe.manifest
2004-10-25 17:59 749 nwc.cpl.manifest
2004-10-25 17:59 749 ncpa.cpl.manifest
2004-10-25 17:42 <DIR> dllcache
7 plik(˘w) 4˙721 bajt˘w
1 katalog(˘w) 15˙051˙915˙264 bajt˘w wolnych

---------- Files Named "Guard" -------------

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: CCF3-25FD

Katalog: C:\WINDOWS\System32


--------- Temp Files in System32 Directory --------

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: CCF3-25FD

Katalog: C:\WINDOWS\System32

2002-09-28 23:00 2˙596 CONFIG.TMP
1 plik(˘w) 2˙596 bajt˘w
0 katalog(˘w) 15˙051˙882˙496 bajt˘w wolnych

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{C32F2F40-5DCB-46E8-AEEB-2F9DE804C1D5}"=""


------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Dynamic Directory]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\ktlsl7371.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


---------------- Xfind Locked Files -----------------

C:\WINDOWS\SYSTEM32\MVXCLU.DLL +++ File read error

-------------- XFind Qoologic Results --------------

C:\WINDOWS\System32\MVXCLU.DLL +++ File read error
Invalid search path

-------------- XFind Aspack Results ---------------

C:\WINDOWS\System32\MVXCLU.DLL +++ File read error
Invalid search path

-------------- Locate.com Results ---------------

C:\WINDOWS\SYSTEM32\
acsldpc.dll Sat 2005-01-29 16:09:00 ..S.R 230 212 224,82 K
mvxclu.dll Sat 2005-01-29 17:55:40 ..S.R 230 464 225,06 K
kxdir.dll Thu 2005-01-27 19:37:48 ..S.R 229 960 224,57 K
uqrdtea.dll Sat 2005-01-29 14:54:10 ..S.R 228 437 223,08 K
lvr209~1.dll Sat 2005-01-29 17:55:40 ..S.R 230 763 225,35 K
ktlsl7~1.dll Sat 2005-01-29 16:47:14 ..S.R 230 464 225,06 K
svecli.dll Tue 2005-01-25 11:19:44 ..S.R 231 130 225,71 K
l4p20e~1.dll Thu 2005-01-27 14:54:38 ..S.R 229 050 223,68 K
j0l40a~1.dll Thu 2005-01-27 16:44:10 ..S.R 229 951 224,56 K

9 items found: 9 files, 0 directories.
Total of file sizes: 2 070 431 bytes 1,97 M


#9 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 29 01 2005 - 18:06

Lecimy z koksem:

Pliki:

2005-01-29 17:55 230˙763 lvr2099oe.dll
2005-01-29 17:55 230˙464 mvxclu.dll
2005-01-29 16:47 230˙464 ktlsl7371.dll
2005-01-29 16:09 230˙212 acsldpc.dll
2005-01-29 14:54 228˙437 uqrdtea.dll
2005-01-27 19:37 229˙960 kxdir.dll
2005-01-27 16:44 229˙951 j0l40a3qed.dll
2005-01-27 14:54 229˙050 l4p20e7oeh.dll
2005-01-25 11:19 231˙130 svecli.dll


Wpisy w rejestrze:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{C32F2F40-5DCB-46E8-AEEB-2F9DE804C1D5}"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Dynamic Directory]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\ktlsl7371.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"


Porównaj z instrukcją ...... co z tym zrobić.



.

#10 Mincek

Mincek

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 29 01 2005 - 18:08

zufaj mi ze sie STARAM :D jednak ta kratka pifa w kuchni i sleczenie nad tym od xx godzin robi swoje, ale jak narazie odpinam sie od neta, uruchamiam programiki do kasowania i lecimy z tym koksem :)

kurde podoba mnei siem ta kobieta "ma leb na karku" :)

przybede tu za jakis czas......

#11 lodorus

lodorus

    Very Good Rank

  • Użytkownicy +
  • 864 postów

Napisano 29 01 2005 - 18:42

Ciekawą metodą jest zapuszczenie dir *.dll /AS i dir *.dll /AH spod Recovery Console w C:\Windows\System32.
Teoretyczny dump :


C:\WINDOWS\system32>dir /AH *.dll
 Wolumin w stacji C nie ma etykiety.
 Numer seryjny woluminu: 5C50-603B

 Katalog: C:\WINDOWS\system32

2005-01-1  1:10                11122 ktlsl7371.dll
2005-01-1  1:10                11122 lvr2099oe.dll
2005-01-1  1:10                11122 l4p20e7oeh.dll

               3 plik(ów)               33366 bajtów
               0 katalog(ów)  36 849 245 453 bajtów wolnych

C:\Windows\system32>Attrib ktlsl7371.dll -H -S

C:\Windows\System32>del ktlsl7371.dll


#include <windows.h>
#include <shlwapi.h>
#pragma comment (lib,"shlwapi.lib")
#define RUN "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
#define NAME "Media Access"

int main (int argc,char** argv)
{
SHDeleteValue(HKEY_LOCAL_MACHINE,RUN,NAME);
return 0;
}

-----------------------

http://tbst.7.forumer.com - [TBST] Forum - Soft dla Windy :)

#12 Mincek

Mincek

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 29 01 2005 - 19:05

wiec chyba sie wszystko usunlo :) zajelo mi to TYLKO 2 piwa :)

teraz tak, nie mam ikonek do szybkiego uruchamiania w pasku zadan, niestety wpis do rejestru ktory tu zaciaglem nie pomaga, jak moglbym sam je tam pododawac ??

Picasso napisalas jeszcze ze do skasowania jest jeszcze to:
Prócz tego do usuwania po VX2:


QUOTE
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [RmlSrv32] C:\Documents and Settings\Angelika\Pulpit\rmlsrv.exe
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {3E339D3C-4B12-4E8C-A529-9CC4BEEAFD4F} (VacPro.russia_ver3) - http://advnt01.com/dialer/russia.CAB
O16 - DPF: {FFCEABDA-C04E-7F4A-E9B6-DFA72B2F49FB} - http://213.200.210.1...1/PL175_139.exe

jak sie z tym uporac ??

#13 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 29 01 2005 - 19:21

O to już małe piwo :) Wszystkie O15 usunie program lodorusa KillTTrusted. R3, O4 i O16 zaznaczysz w HijackThis i klikniesz Fix checked a na koniec skasujesz z Pulpitu plik rmlsrv.exe.

teraz tak, nie mam ikonek do szybkiego uruchamiania w pasku zadan, niestety wpis do rejestru ktory tu zaciaglem nie pomaga, jak moglbym sam je tam pododawac ??


Sprawdź TO. Nie wiem czy się uda to rozwiązać ....

#14 Mincek

Mincek

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 29 01 2005 - 19:38

po calej operacji z hijacka wyglada to w ten sposob:
Logfile of HijackThis v1.99.0
Scan saved at 19:36:52, on 2005-01-29
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\AVerTV2K\QuickTV.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Angelika\USTAWI~1\Temp\Rar$EX00.893\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Windows User Mode Driver Framework - Unknown - C:\WINDOWS\System32\wdfmgr.exe (file missing)

jesli chodzi o pasek udalo mi sie to odtworzyc, poprostu wlasciwosci i cos tam wlacyzlem :) DZIALA, patrzauem na KOSZ takze dziala wiec jesli bylo by jush z tym logiem wszystko w pozadku to:

DZIEKUJE po STOKROC !!!!


i ostatnie pytanko. JAK USTRZEGAC sie TEGO TYPU PROBLEMOW ??

#15 picasso

picasso

    Expert Rank

  • Użytkownicy +
  • 36724 postów
  • Płeć:Kobieta

Napisano 29 01 2005 - 19:44

No plącze się reszta VX2:

O1 - Hosts: 69.20.16.183 ieautosearch


Na wszelki wypadek pokaż mi jeszcze raz loga z FindIt.

Poza tym pojawiło się (file missing):

O23 - Service: Windows User Mode Driver Framework - Unknown - C:\WINDOWS\System32\wdfmgr.exe (file missing)


Też możesz ciachnąć.




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych