Skocz do zawartości


tablety.pl
Zdjęcie
- - - - -

Co to za robal (jkkgj.dll)




  • Zamknięty Temat jest zamknięty
6 odpowiedzi w tym temacie

#1 less315

less315

    Second Rank

  • Użytkownicy +
  • 107 postów

Napisano 19 11 2005 - 14:44

Hello,

komp zahcowuje mi sie w miare normalnie - tyle tlko ze wyskakuja pop-upy wszelakie ( najczesciej instalacja WinFixer) jak przypadkiem odpale IE ( normalnie na firefoxie), wiec poszperalem nieco - mam plik jkkjg.dll, schowany jako guard.tmp.

Oto logi:

Logfile of HijackThis v1.99.1
Scan saved at 14:25:02, on 2005-11-19
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\cFosSpeed\cFosSpeed.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\cFosSpeed\spd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Mac\Pulpit\hijackthis1.99.1\HijackThis.exe

O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\System32\jkkjg.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.micros...b?1127509808623
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.micros...b?1127509784795
O20 - Winlogon Notify: jkkjg - C:\WINDOWS\System32\jkkjg.dll
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Program Files\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows Smrss Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)


i z Silenta

"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\gg.exe" /tray" ["Gadu-Gadu Sp. z oo"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
"KAVPersonal50" = ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize" ["Kaspersky Lab"]
"cFosSpeed" = "C:\Program Files\cFosSpeed\cFosSpeed.exe" ["cFos Software GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{FC148228-87E1-4D00-AC06-58DCAA52A4D1}\(Default) = "MSEvents Object" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\jkkjg.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! jkkjg\DLLName = "C:\WINDOWS\System32\jkkjg.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"]
WhoLockMe\(Default) = "{81ED7E40-2DE4-47ae-91CA-C3E8E8E98E22}"
-> {CLSID}\InProcServer32\(Default) = "C:\Documents and Settings\Mac\Pulpit\WhoLockMe104\WhoLockMe.dll" ["Bitmind"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\shellex.dll" ["Kaspersky Lab"]
WhoLockMe\(Default) = "{81ED7E40-2DE4-47ae-91CA-C3E8E8E98E22}"
-> {CLSID}\InProcServer32\(Default) = "C:\Documents and Settings\Mac\Pulpit\WhoLockMe104\WhoLockMe.dll" ["Bitmind"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

cFosSpeed System Service, cFosSpeedS, ""C:\Program Files\cFosSpeed\spd.exe" -service" ["cFos Software GmbH"]
kavsvc, kavsvc, ""C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe"" ["Kaspersky Lab"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


i z VX2Look dla pewności

Keys under notify :

jkkjg : NOT KNOWN : C:\WINDOWS\System32\jkkjg.dll <> 2005-10-17 17:59:42 [540692]

User Agent :

No VX2 Activity detected in User Agent :)

Zarządzanie skanerem ICM - {176d6597-26d3-11d1-b350-080036a75b03} - icmui.dll
Strona zabezpieczeń NTFS - {1F2E5C40-9550-11CE-99D2-00AA006E086C} - rshx32.dll
Strona właściwości OLE Docfile - {3EA48300-8CF6-101B-84FB-666CCB9BCD32} - docprop.dll
Rozszerzenia powłoki dla udostępniania zasobów - {40dd6e20-7c17-11ce-a804-00aa003ca9f6} - ntshrui.dll
PlusPack CPL Extension - {41E300E0-78B6-11ce-849B-444553540000} - %SystemRoot%\System32\themeui.dll
Rozszerzenie CPL karty graficznej - {42071712-76d4-11d1-8b24-00a0c9068ff3} - deskadp.dll
Rozszerzenie CPL monitora wyświetlania - {42071713-76d4-11d1-8b24-00a0c9068ff3} - deskmon.dll
Rozszerzenie CPL kadrowania wyświetlania - {42071714-76d4-11d1-8b24-00a0c9068ff3} - deskpan.dll
Strona zabezpieczeń usługi DS - {4E40F770-369C-11d0-8922-00A024AB2DBB} - dssec.dll
Strona zgodności - {513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8} - SlayerXP.dll
Program obsługi danych wycinkowych powłoki - {56117100-C0CD-101B-81E2-00AA004AE837} - shscrap.dll
Rozszerzenie Disc Copy - {59099400-57FF-11CE-BD94-0020AF85B590} - diskcopy.dll
Rozszerzenia powłoki dla obiektów Microsoft Windows Network - {59be4990-f85c-11ce-aff7-00aa003ca9f6} - ntlanui2.dll
Zarządzanie monitorem ICM - {5DB2625A-54DF-11D0-B6C4-0800091AA605} - %SystemRoot%\System32\icmui.dll
Zarządzanie drukarką ICM - {675F097E-4C4D-11D0-B6C1-0800091AA605} - %SystemRoot%\system32\icmui.dll
Rozszerzenia powłoki dla kompresji plików - {764BF0E1-F219-11ce-972D-00AA00A14F56} - %SystemRoot%\system32\icmui.dll
Rozszerzenie powłoki drukarek sieci Web - {77597368-7b15-11d0-a0c2-080036af3f03} - printui.dll
Disk Quota UI - {7988B573-EC89-11cf-9C00-00AA00A14F56} - dskquoui.dll
Menu kontekstowe szyfrowania - {853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} - dskquoui.dll
Aktówka - {85BBD920-42A0-1069-A2E4-08002B30309D} - syncui.dll
Fonts - {BD84B380-8CA2-1069-AB1D-08000948F534} - fontext.dll
Profil ICC - {DBCE2480-C732-101B-BE72-BA78E9AD5B27} - %SystemRoot%\system32\icmui.dll
Strona zabezpieczeń drukarek - {F37C5810-4D3F-11d0-B4BF-00AA00BBB723} - rshx32.dll
Rozszerzenia powłoki dla udostępniania zasobów - {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} - ntshrui.dll
Display TroubleShoot CPL Extension - {f92e8c40-3d33-11d2-b1aa-080036a75b03} - deskperf.dll
Rozszerzenie Crypto PKO - {7444C717-39BF-11D1-8CD9-00C04FC29D45} - C:\WINDOWS\system32\cryptext.dll
Rozszerzenie Crypto Sign - {7444C719-39BF-11D1-8CD9-00C04FC29D45} - C:\WINDOWS\system32\cryptext.dll
Połączenia sieciowe - {7007ACC7-3202-11D1-AAD2-00805FC1270E} - C:\WINDOWS\system32\NETSHELL.dll
Połączenia sieciowe - {992CFFA0-F557-101A-88EC-00DD010CCC48} - C:\WINDOWS\system32\NETSHELL.dll
&Skanery i aparaty fotograficzne - {E211B736-43FD-11D1-9EFB-0000F8757FCD} - wiashext.dll
&Skanery i aparaty fotograficzne - {FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD} - wiashext.dll
&Skanery i aparaty fotograficzne - {905667aa-acd6-11d2-8080-00805f6596d2} - wiashext.dll
&Skanery i aparaty fotograficzne - {3F953603-1008-4f6e-A73A-04AAC7A992F1} - wiashext.dll
&Skanery i aparaty fotograficzne - {83bbcbf3-b28a-4919-a5aa-73027445d672} - wiashext.dll
Remote Sessions CPL Extension - {F0152790-D56E-4445-850E-4F3117DB740C} - C:\WINDOWS\System32\remotepg.dll
Rozszerzenia powłoki dla hosta skryptów systemu Windows - {60254CA5-953B-11CF-8C96-00AA00B8708C} - C:\WINDOWS\System32\wshext.dll
Microsoft Data Link - {2206CDB2-19C1-11D1-89E0-00C04FD7A829} - C:\Program Files\Common Files\System\Ole DB\oledb32.dll
Pasek zadań i menu Start - {0DF44EAA-FF21-4412-828E-260A8728E7F1} - C:\Program Files\Common Files\System\Ole DB\oledb32.dll
Wyszukaj - {2559a1f0-21d7-11d4-bdaf-00c04f60b9f0} - %SystemRoot%\system32\shdocvw.dll
Pomoc i obsługa techniczna - {2559a1f1-21d7-11d4-bdaf-00c04f60b9f0} - %SystemRoot%\system32\shdocvw.dll
Pomoc i obsługa techniczna - {2559a1f2-21d7-11d4-bdaf-00c04f60b9f0} - %SystemRoot%\system32\shdocvw.dll
Uruchom... - {2559a1f3-21d7-11d4-bdaf-00c04f60b9f0} - %SystemRoot%\system32\shdocvw.dll
Internet - {2559a1f4-21d7-11d4-bdaf-00c04f60b9f0} - %SystemRoot%\system32\shdocvw.dll
E-mail - {2559a1f5-21d7-11d4-bdaf-00c04f60b9f0} - %SystemRoot%\system32\shdocvw.dll
Czcionki - {D20EA4E1-3957-11d2-A40B-0C5020524152} - %SystemRoot%\system32\shdocvw.dll
Narzędzia administracyjne - {D20EA4E1-3957-11d2-A40B-0C5020524153} - %SystemRoot%\system32\shdocvw.dll
Audio Media Properties Handler - {875CB1A1-0F29-45de-A1AE-CFB4950D0B78} - %SystemRoot%\System32\shmedia.dll
Video Media Properties Handler - {40C3D757-D6E4-4b49-BB41-0E5BBEA28817} - %SystemRoot%\System32\shmedia.dll
Wav Properties Handler - {E4B29F9D-D390-480b-92FD-7DDB47101D71} - %SystemRoot%\System32\shmedia.dll
Avi Properties Handler - {87D62D94-71B3-4b9a-9489-5FE6850DC73E} - %SystemRoot%\System32\shmedia.dll
Midi Properties Handler - {A6FD9E45-6E44-43f9-8644-08598F5A74D9} - %SystemRoot%\System32\shmedia.dll
Video Thumbnail Extractor - {c5a40261-cd64-4ccf-84cb-c394da41d590} - %SystemRoot%\System32\shmedia.dll
Pasek narzędzi programu Microsoft Internet - {5E6AB780-7743-11CF-A12B-00AA004AE837} - %SystemRoot%\System32\browseui.dll
Stan pobierania - {22BF0C20-6DA7-11D0-B373-00A0C9034938} - %SystemRoot%\System32\browseui.dll
Folder powłoki zwiększonej - {91EA3F8B-C99B-11d0-9815-00C04FD91972} - %SystemRoot%\System32\browseui.dll
Folder powłoki zwiększonej 2 - {6413BA2C-B461-11d1-A18A-080036B11A03} - %SystemRoot%\System32\browseui.dll
BandProxy - {F61FFEC1-754F-11d0-80CA-00AA005B4383} - %SystemRoot%\System32\browseui.dll
Pasek przeglądarki Microsoft - {7BA4C742-9E81-11CF-99D3-00AA004AE837} - %SystemRoot%\System32\browseui.dll
Pasek wyszukiwania - {30D02401-6A81-11d0-8274-00C04FD5AE38} - %SystemRoot%\System32\browseui.dll
Pasek multimediów - {32683183-48a0-441b-a342-7c2a440a9478} - %SystemRoot%\System32\browseui.dll
Wyszukiwanie w okienku - {169A0691-8DF9-11d1-A1C4-00C04FD75D13} - %SystemRoot%\System32\browseui.dll
Wyszukiwanie w sieci Web - {07798131-AF23-11d1-9111-00A0C98BA67D} - %SystemRoot%\System32\browseui.dll
Narzędzie opcji drzewa rejestru - {AF4F6510-F982-11d0-8595-00AA004CD6D8} - %SystemRoot%\System32\browseui.dll
&Adres - {01E04581-4EEE-11d0-BFE9-00AA005B4383} - %SystemRoot%\System32\browseui.dll
Pole edycji adresu - {A08C11D2-A228-11d0-825B-00AA005B4383} - %SystemRoot%\System32\browseui.dll
Autouzupełnianie Microsoft - {00BB2763-6A77-11D0-A535-00C04FD7D062} - %SystemRoot%\System32\browseui.dll
Wyodrębnianie obrazów Trident - {7376D660-C583-11d0-A3A5-00C04FD706EC} - %SystemRoot%\System32\browseui.dll
Lista autouzupełniania MRU - {6756A641-DE71-11d0-831B-00AA005B4383} - %SystemRoot%\System32\browseui.dll
Niestandardowa lista autouzupełniania MRU - {6935DB93-21E8-4ccc-BEB9-9FE3C77A297A} - %SystemRoot%\System32\browseui.dll
Dostępny - {7e653215-fa25-46bd-a339-34a2790f3cb7} - %SystemRoot%\System32\browseui.dll
Pasek podręczny śledzenia - {acf35015-526e-4230-9596-becbe19f0ac9} - %SystemRoot%\System32\browseui.dll
Analizator paska adresu - {E0E11A09-5CB8-4B6C-8332-E00720A168F2} - %SystemRoot%\System32\browseui.dll
Lista autouzupełniania historii Microsoft - {00BB2764-6A77-11D0-A535-00C04FD7D062} - %SystemRoot%\System32\browseui.dll
Lista autouzupełniania folderu powłoki Microsoft - {03C036F1-A186-11D0-824A-00AA005B4383} - %SystemRoot%\System32\browseui.dll
Kontener wielu list autouzupełniania Microsoft - {00BB2765-6A77-11D0-A535-00C04FD7D062} - %SystemRoot%\System32\browseui.dll
Menu witryny paska powłoki - {ECD4FC4E-521C-11D0-B792-00A0C90312E1} - %SystemRoot%\System32\browseui.dll
Shell DeskBarApp - {3CCF8A41-5C85-11d0-9796-00AA00B90ADF} - %SystemRoot%\System32\browseui.dll
Pasek pulpitu powłoki - {ECD4FC4C-521C-11D0-B792-00A0C90312E1} - %SystemRoot%\System32\browseui.dll
Shell Rebar BandSite - {ECD4FC4D-521C-11D0-B792-00A0C90312E1} - %SystemRoot%\System32\browseui.dll
Pomoc dla użytkownika - {DD313E04-FEFF-11d1-8ECD-0000F87A470C} - %SystemRoot%\System32\browseui.dll
Globalne ustawienia folderów - {EF8AD2D1-AE36-11D1-B2D2-006097DF8C11} - %SystemRoot%\System32\browseui.dll
Favorites Band - {EFA24E61-B078-11d0-89E4-00C04FC9E26E} - %SystemRoot%\System32\shdocvw.dll
Shell Automation Inproc Service - {0A89A860-D7B1-11CE-8350-444553540000} - %SystemRoot%\System32\shdocvw.dll
Shell DocObject Viewer - {E7E4BC40-E76A-11CE-A9BB-00AA004AE837} - %SystemRoot%\System32\shdocvw.dll
Microsoft Browser Architecture - {A5E46E3A-8849-11D1-9D8C-00C04FC99D61} - %SystemRoot%\System32\shdocvw.dll
InternetShortcut - {FBF23B40-E3F0-101B-8488-00AA003E56F8} - shdocvw.dll
Microsoft Url History Service - {3C374A40-BAE4-11CF-BF7D-00AA006946EE} - %SystemRoot%\System32\shdocvw.dll
Historia - {FF393560-C2A7-11CF-BFF4-444553540000} - %SystemRoot%\System32\shdocvw.dll
Tymczasowe pliki internetowe - {7BD29E00-76C1-11CF-9DD0-00A0C9034933} - %SystemRoot%\System32\shdocvw.dll
Tymczasowe pliki internetowe - {7BD29E01-76C1-11CF-9DD0-00A0C9034933} - %SystemRoot%\System32\shdocvw.dll
Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll
Ekran powitalny pakietu IE4 - {A2B0DD40-CC59-11d0-A3A5-00C04FD706EC} - %SystemRoot%\System32\shdocvw.dll
CDF Extension Copy Hook - {67EA19A0-CCEF-11d0-8024-00C04FD75D13} - %SystemRoot%\System32\shdocvw.dll
ISFBand OC - {131A6951-7F78-11D0-A979-00C04FD705A2} - %SystemRoot%\System32\shdocvw.dll
Search Assistant OC - {9461b922-3c5a-11d2-bf8b-00c04fb93661} - %SystemRoot%\System32\shdocvw.dll
Internet - {3DC7A020-0ACD-11CF-A9BB-00AA004AE837} - %SystemRoot%\System32\shdocvw.dll
Internet Name Space - {871C5380-42A0-1069-A2EA-08002B30309D} - %SystemRoot%\System32\shdocvw.dll
Pasek eksploratora - {EFA24E64-B078-11d0-89E4-00C04FC9E26E} - %SystemRoot%\System32\shdocvw.dll
Sendmail service - {9E56BE60-C50F-11CF-9A2C-00A0C90A90CE} - C:\WINDOWS\System32\sendmail.dll
Sendmail service - {9E56BE61-C50F-11CF-9A2C-00A0C90A90CE} - C:\WINDOWS\System32\sendmail.dll
Folder pamięci podręcznej ActiveX - {88C6C381-2E85-11D0-94DE-444553540000} - %SystemRoot%\System32\occache.dll
WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll
Subscription Mgr - {ABBE31D0-6DAE-11D0-BECA-00C04FD940BE} - %SystemRoot%\System32\webcheck.dll
Folder subskrypcji - {F5175861-2688-11d0-9C5E-00AA00A45957} - %SystemRoot%\System32\webcheck.dll
WebCheckWebCrawler - {08165EA0-E946-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll
WebCheckChannelAgent - {E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB} - %SystemRoot%\System32\webcheck.dll
TrayAgent - {E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7} - %SystemRoot%\System32\webcheck.dll
Code Download Agent - {7D559C10-9FE9-11d0-93F7-00AA0059CE02} - %SystemRoot%\System32\webcheck.dll
ConnectionAgent - {E6CC6978-6B6E-11D0-BECA-00C04FD940BE} - %SystemRoot%\System32\webcheck.dll
PostAgent - {D8BD2030-6FC9-11D0-864F-00AA006809D9} - %SystemRoot%\System32\webcheck.dll
WebCheck SyncMgr Handler - {7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB} - %SystemRoot%\System32\webcheck.dll
Menedżer aplikacji powłoki - {352EC2B7-8B9A-11D1-B8AE-006008059382} - %SystemRoot%\System32\appwiz.cpl
Wyliczanie zainstalowanych aplikacji - {0B124F8F-91F0-11D1-B8B5-006008059382} - %SystemRoot%\System32\appwiz.cpl
Publikator aplikacji Darwin - {CFCCC7A0-A282-11D1-9082-006008059382} - %SystemRoot%\System32\appwiz.cpl
Shell Image Verbs - {e84fda7c-1d6a-45f6-b725-cb260c236066} - %SystemRoot%\System32\shimgvw.dll
Shell Image Data Factory - {66e4e4fb-f385-4dd0-8d74-a2efd1bc6178} - %SystemRoot%\System32\shimgvw.dll
GDI+program wyodrębniający miniatury plików - {3F30C968-480A-4C6C-862D-EFC0897BB84B} - C:\WINDOWS\System32\shimgvw.dll
Informacje podsumowujące obsługi miniatur (DOCFILES) - {9DBD2C50-62AD-11d0-B806-00C04FD706EC} - C:\WINDOWS\System32\shimgvw.dll
Wyodrębnianie miniatur HTML - {EAB841A0-9550-11cf-8C16-00805F1408F3} - C:\WINDOWS\System32\shimgvw.dll
Shell Image Property Handler - {eb9b1153-3b57-4e68-959a-a3266bc3d7fe} - %SystemRoot%\System32\shimgvw.dll
Kreator publikacji w sieci Web - {CC6EEFFB-43F6-46c5-9619-51D571967F7D} - %SystemRoot%\System32\netplwiz.dll
Zamawianie odbitek w sieci Web - {add36aa8-751a-4579-a266-d66f5202ccbb} - %SystemRoot%\System32\netplwiz.dll
Obiekt powłoki kreatora publikacji - {6b33163c-76a5-4b6c-bf21-45de9cd503a1} - %SystemRoot%\System32\netplwiz.dll
Kreator uzyskiwania profilu usługi Passport - {58f1f272-9240-4f51-b6d4-fd63d1618591} - %SystemRoot%\System32\netplwiz.dll
Konta użytkowników - {7A9D77BD-5403-11d2-8785-2E0420524153} - %SystemRoot%\System32\netplwiz.dll
Plik kanału - {f39a0dc0-9cc8-11d0-a599-00c04fd64433} - %SystemRoot%\System32\cdfview.dll
Skrót kanału - {f3aa0dc0-9cc8-11d0-a599-00c04fd64434} - %SystemRoot%\System32\cdfview.dll
Obiekt obsługi kanału - {f3ba0dc0-9cc8-11d0-a599-00c04fd64435} - %SystemRoot%\System32\cdfview.dll
Channel Menu - {f3da0dc0-9cc8-11d0-a599-00c04fd64437} - %SystemRoot%\System32\cdfview.dll
Channel Properties - {f3ea0dc0-9cc8-11d0-a599-00c04fd64438} - %SystemRoot%\System32\cdfview.dll
FTP Folders Webview - {63da6ec0-2e98-11cf-8d82-444553540000} - C:\WINDOWS\System32\msieftp.dll
Microsoft DocProp Shell Ext - {883373C3-BF89-11D1-BE35-080036B11A03} - C:\WINDOWS\System32\docprop2.dll
Microsoft DocProp Inplace Edit Box Control - {A9CF0EAE-901A-4739-A481-E35B73E47F6D} - C:\WINDOWS\System32\docprop2.dll
Microsoft DocProp Inplace ML Edit Box Control - {8EE97210-FD1F-4B19-91DA-67914005F020} - C:\WINDOWS\System32\docprop2.dll
Microsoft DocProp Inplace Droplist Combo Control - {0EEA25CC-4362-4A12-850B-86EE61B0D3EB} - C:\WINDOWS\System32\docprop2.dll
Microsoft DocProp Inplace Calendar Control - {6A205B57-2567-4A2C-B881-F787FAB579A3} - C:\WINDOWS\System32\docprop2.dll
Microsoft DocProp Inplace Time Control - {28F8A4AC-BBB3-4D9B-B177-82BFC914FA33} - C:\WINDOWS\System32\docprop2.dll
Directory Query UI - {8A23E65E-31C2-11d0-891C-00A024AB2DBB} - %SystemRoot%\System32\dsquery.dll
Shell properties for a DS object - {9E51E0D0-6E0F-11d2-9601-00C04FA31A86} - %SystemRoot%\System32\dsquery.dll
Directory Object Find - {163FDC20-2ABC-11d0-88F0-00A024AB2DBB} - %SystemRoot%\System32\dsquery.dll
Directory Start/Search Find - {F020E586-5264-11d1-A532-0000F8757D7E} - %SystemRoot%\System32\dsquery.dll
Directory Property UI - {0D45D530-764B-11d0-A1CA-00AA00C16E65} - %SystemRoot%\System32\dsuiext.dll
Directory Context Menu Verbs - {62AE1F9A-126A-11D0-A14B-0800361B1103} - %SystemRoot%\System32\dsuiext.dll
MyDocs Copy Hook - {ECF03A33-103D-11d2-854D-006008059367} - %SystemRoot%\System32\mydocs.dll
MyDocs Drop Target - {ECF03A32-103D-11d2-854D-006008059367} - %SystemRoot%\System32\mydocs.dll
MyDocs Properties - {4a7ded0a-ad25-11d0-98a8-0800361b1103} - %SystemRoot%\System32\mydocs.dll
Offline Files Menu - {750fdf0e-2a26-11d1-a3ea-080036587f03} - %SystemRoot%\System32\cscui.dll
Offline Files Folder Options - {10CFC467-4392-11d2-8DB4-00C04FA31A66} - %SystemRoot%\System32\cscui.dll
Folder plików trybu offline - {AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E} - %SystemRoot%\System32\cscui.dll
Microsoft Agent Character Property Sheet Handler - {143A62C8-C33B-11D1-84FE-00C04FA34A14} - C:\WINDOWS\msagent\agentpsh.dll
DfsShell - {ECCDF543-45CC-11CE-B9BF-0080C87CDBA6} - C:\WINDOWS\System32\dfsshlex.dll
%DESC_PublishDropTarget% - {60fd46de-f830-4894-a628-6fa81bc0190d} - %SystemRoot%\System32\photowiz.dll
MMC Icon Handler - {7A80E4A8-8005-11D2-BCF8-00C04F72C717} - %SystemRoot%\System32\mmcshext.dll
.CAB file viewer - {0CD7A5C0-9F37-11CE-AE65-08002B2E1262} - cabview.dll
&Do osób... - {32714800-2E5F-11d0-8B85-00AA0044F941} - C:\Program Files\Outlook Express\wabfind.dll
Windows Media Player Play as Playlist Context Menu Handler - {8DD448E6-C188-4aed-AF92-44956194EB1F} - C:\WINDOWS\System32\wmpshell.dll
Windows Media Player Burn Audio CD Context Menu Handler - {CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C} - C:\WINDOWS\System32\wmpshell.dll
Windows Media Player Add to Playlist Context Menu Handler - {F1B9284F-E9DC-4e68-9D7E-42362A59F0FD} - C:\WINDOWS\System32\wmpshell.dll
Web Folders - {BDEADF00-C265-11D0-BCED-00A0C90AB50F} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
WinRAR shell extension - {B41DB860-8EE4-11D2-9906-E49FADC173CA} - C:\Program Files\WinRAR\rarext.dll
Microsoft Office HTML Icon Handler - {42042206-2D85-11D3-8CFF-005004838597} - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
CMCUTIL Menu Extension - {19741013-C829-11D1-8233-0020AF3E97A9} - C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
NvCpl DesktopContext Class - {A70C977A-BF00-412C-90B7-034C51DA2439} - C:\WINDOWS\System32\nvcpl.dll
Desktop Explorer - {1CDB2949-8F65-4355-8456-263E7C208A5D} - C:\WINDOWS\System32\nvshell.dll
Desktop Explorer Menu - {1E9B04FB-F9E5-4718-997B-B8DA88302A47} - C:\WINDOWS\System32\nvshell.dll
nView Desktop Context Menu - {1E9B04FB-F9E5-4718-997B-B8DA88302A48} - C:\WINDOWS\System32\nvshell.dll
Play on my TV helper - {FFB699E0-306A-11d3-8BD1-00104B6F7516} - C:\WINDOWS\System32\nvcpl.dll
AlcoholShellEx - {32020A01-506E-484D-A2A8-BE3CF17601C3} - C:\WINDOWS\System32\nvcpl.dll

WARNING ! This can show legitimate System files !
VX2 files is : Guard.tmp and some dll named alphanumeric.
Looking for VX2 files ...




Kiedy przełączam się w awaryjny to na glownym profilu wyskakuje mi tylko zapytanie o to, czy chce wejsc w awaryjny - a potem jest czarny ekran ( zostaja napisy u gory - "Tryb warayjny..." etc - wiec komp dziala ale nic robic nie moge ;/
Jak wejde jako administrator - to przez moment jest normalnie - a potem znowu tak samo.

KillBox nie konczy czysczenia TMP nawet - bo moze to zorbic tylko na reebocie, tak jak tylko na rebiocie moze usunac jkkjg.dll - ale niestety w kiedy odpalam delete on reebot wyskakuje blad - proces zostal zablokowany.

w Vx2looku niby moge go skasowac - ale oczywscie wraca. StartFix generuje blad I/O 105...

Chcialem sobie sam poradzic ale juz sie gubie powoli - a moze interpretacja bledna i to nie jest VX2..? Ale z tego co czytalem to on generuje jakies takie nazwy wlasnie. Ale z drugiej strony nie mam O1 - Hosts: 69.20.16.183...:)
Ad-aware pokazuje mi raz na jakis czas virtumonde... wiec moze to to ale z drugiej strony LSP-fix nic nie pokazuje...

Im brdziej kombinje tym mniej wiem ...:D

#2 Gutek-Pablo

Gutek-Pablo

    Expert Rank

  • Użytkownicy +
  • 3357 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Wrocław -okolica

Napisano 19 11 2005 - 15:33

Co do hijacka:

O2 - BHO: MSEvents Object - {FC148228-87E1-4D00-AC06-58DCAA52A4D1} - C:\WINDOWS\System32\jkkjg.dll
O20 - Winlogon Notify: jkkjg - C:\WINDOWS\System32\jkkjg.dll
O23 - Service: Windows Smrss Service - Unknown owner - C:\WINDOWS\svchost.exe (file missing)


1. Wyłączyć Przywracanie systemu w XP TU
2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).
3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.
4. Skasować z dysku pliki i foldery, które podkreśliłem na czerwono
5. Dokończyć skanerami online - Scanery do wyboru
6. Pokazać nowy log :)

023 - Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Windows Smrss Service potem usuń plik

EDIT: Jak siepojawia O2 MSEvents Object to jest VUNDO!!! Racja tato1959 :D

#3 tata1959

tata1959

    Expert Rank

  • Użytkownicy +
  • 1695 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Warszawa

Napisano 19 11 2005 - 15:52

witam
tak...nie ! to nie VX2 tylko Vundo!!,czytasz dokładnie Usuwanie Trojana Vundo

pozdrawiam

.
Tak...ten obrazek mówi wszystko....

#4 less315

less315

    Second Rank

  • Użytkownicy +
  • 107 postów

Napisano 19 11 2005 - 17:09

Heh - o Vundo tez myslalem :)

Nie udawalo mi sie wejsc w tryb awaryjny - wiec cala procedure killvundu zrobilem w normalnym.
Jako sie udalo i skasowal - w logach go ni widze, choc juz parenasie razy zrestartowalem kompa.

VundoFix V2.15 by Atri
--------------------------------------------------------------------------------------

Listing files contained in the vundofix folder.
--------------------------------------------------------------------------------------

killvundo.bat
process.exe
ReadMe.txt
vundo.reg
vundofix.txt

--------------------------------------------------------------------------------------

Filepaths entered
--------------------------------------------------------------------------------------

The filepath entered was c:\windows\system32\jkkjg.dll

The second filepath entered was c:\windows\system32\gjkkj.*

--------------------------------------------------------------------------------------

Log from Process
--------------------------------------------------------------------------------------


Killing PID 784 'smss.exe'

Killing PID 1644 'explorer.exe'
Killing PID 1644 'explorer.exe'


Killing PID 864 'winlogon.exe'
Killing PID 864 'winlogon.exe'
Killing PID 864 'winlogon.exe'
--------------------------------------------------------------------------------------

Could not delete c:\windows\system32\jkkjg.dll.
c:\windows\system32\gjkkj.* Deleted sucessfully.

Fixing Registry
--------------------------------------------------------------------------------------


Teraz ju moge wejsc norlanie do awaryjnego - wiec sadze, ze to wlasnie Vundo go blokowalo.
Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:08:09, on 2005-11-19
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\cFosSpeed\cFosSpeed.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\cFosSpeed\spd.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Mac\Pulpit\hijackthis1.99.1\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.micros...b?1127509808623
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.micros...b?1127509784795
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsec...scan/axscan.cab
O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - C:\Program Files\cFosSpeed\spd.exe" -service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Sadze ze sie udalo pomimo braku tego awaryjnego - koncze jeszcze online skanerami.

I mam pytanie - jesli mam Kasperskego PRO, ktory sie bydle jedne aktualizuje non stop - to dlaczego on tego ani nei widzi, ani nie usuwa - skoro to popularny trojan...?

Czy jeśli teraz lece na duecie Kaspersky + SPYBOT to juz mi nie powinno nic takiego wlazic czy jeszcze firewalla dorzucic...?

Dzieki za pomoc.
M

#5 tata1959

tata1959

    Expert Rank

  • Użytkownicy +
  • 1695 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Warszawa

Napisano 19 11 2005 - 17:35

witaj
tak..log wygląda czysto ,a to :

c:\windows\system32\gjkkj.* Deleted sucessfully.

oznacza że go ubiłeś,przeleć jeszcze skanerami online.
firewall to podstawa,i żle że go nie masz poczytaj w dziale o zabezpieczeniach Tu
co do twego pytania...zawsze powtarzam,nie ma takiego programu i nie będzie nigdy co nas zabezpieczy na 100% to tylko bezmyślne maszynki (pomocne i owszem :) ) nie CZŁOWIEK ! :D

pozdrawiam i pilnuj się :)


.
Tak...ten obrazek mówi wszystko....

#6 less315

less315

    Second Rank

  • Użytkownicy +
  • 107 postów

Napisano 20 11 2005 - 10:59

No właśnie jestem w fazie testowania - Outpost ( od nigo zaczalem) jdnak chyba selekcji nie przejedzie. Opóznia mi start systemu o jakies 30-40 sekund, a to jednak juz jest przesada :/
No ale po przygodzie z VUNDO to juz sie przekonalem, ze jakis jednak miec musze :unsure:

M.

#7 Gutek-Pablo

Gutek-Pablo

    Expert Rank

  • Użytkownicy +
  • 3357 postów
  • Płeć:Mężczyzna
  • Lokalizacja:Wrocław -okolica

Napisano 20 11 2005 - 11:04

Mały wybór masz tutaj - http://dobreprogramy...x.php?dz=1&t=84




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych