Czy to wirus czy co?, .... :-| Opcje

[lazier]

Heja
Mam taki problem:
zaraz jak zalacze explorera to all www mi extra chodza etc. lecz po jakims tam czasnie "IE 6" nie chce otworzyc zadnej strony[musze sie przelogowac badz rysnac kompa, by znow all bylo good]. W "pasq" przegladarki zauwazylem, ze winda ma problem z plikiem "shdoclc.dll" i wlasnie nie wiem, co jest grane :| Na tym forum mial ktos podobny problem lecz to co Picasso przedtem napisala nie zadzialalo :-| Moze ktos wie jak to "naprawic"...??...a moze Ty...Picasso :>

aha to jest moj log z hijacka:

Logfile of HijackThis v1.98.0
Scan saved at 21:07:26, on 2004-07-19
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
E:\PROGRA~1\PESTPA~1\PPControl.exe
E:\Program Files\Winamp\winampa.exe
E:\PROGRA~1\PESTPA~1\PPMemCheck.exe
E:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\wjserb.exe
C:\winread.exe
C:\WINDOWS\System32\Launcher.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Messenger\msmsgs.exe
E:\Program Files\OpenOffice.org1.1.2\program\soffice.exe
C:\Documents and Settings\lazier\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "e:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [PestPatrol Control Center] E:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [WinampAgent] e:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PPMemCheck] E:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] E:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\ipzulv.exe
O4 - HKLM\..\Run: [asdfaa] C:\WINDOWS\System32\wjserb.exe
O4 - HKLM\..\Run: [Services] C:\winread.exe
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\System32\Launcher.exe
O4 - HKLM\..\RunServices: [Windows Guard] waumgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] wupdate.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zkmakf.exe
O4 - HKLM\..\RunServices: [WindowsRegKey%update] ethernet32m.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 1.1.2.lnk = E:\Program Files\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{96C23D4E-CA9F-4B9E-9C57-029B9B7481C8}: NameServer = 194.204.152.34 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{96C23D4E-CA9F-4B9E-9C57-029B9B7481C8}: NameServer = 194.204.152.34 217.98.63.164
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Kakohlnm.dll

[picasso]

No jasne, że masz problem. Tym razem inny. Pisałeś do mnie na PM aż 2x z problemem trojana CWS w wariacji res://plik.dll. I na pewno to co ci poradziłam POMOGłO bo nie ma już tego w logu. Są natomiast inne fałszywki! Masz mnóstwo obiektów, które udają "Microsoft Update"! Myślę, że te słowa cię przestraszyły i stworzyły ułudę, że to rzecz systemu.......


Na odstrzał:

O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\ipzulv.exe
O4 - HKLM\..\Run: [asdfaa] C:\WINDOWS\System32\wjserb.exe
O4 - HKLM\..\Run: [Services] C:\winread.exe
O4 - HKLM\..\RunServices: [Windows Guard] waumgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] wupdate.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] zkmakf.exe
O4 - HKLM\..\RunServices: [WindowsRegKey%update] ethernet32m.exe
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Kakohlnm.dll

Usuwanie:

Procedura standardowa czyli:

1. Wyłączenie Przywracania systemu i start do trybu awaryjnego.

2. Otwierasz HijackThis i haczykowanie + Fix checked wpisów wymienionych wyżej.

3. Kasacja z dysku plików wyróżnionych na czerwono. Nie zapomnij ustawić w Widoku pokazywania ukrytych elementów. I nie pomyl sobie tych plików:

msconfg.exe - plik trojana

msconfig.exe - plik systemu

5. Puszczenie w ruch obojętnych narzędzi anty (Ad-aware/Spybot, skanerki online...)

6. Reset kompa i nowy log dla picasso.


A na koniec zrób małą przyjemność swojemu kompowi i pozbądź się nieco zbędników z Autostartu:

O4 - Startup: OpenOffice.org 1.1.2.lnk = E:\Program Files\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE

Grupa "Office" spoko może wylecieć poprzez Start >>> Programy >>> Autostart >>> kasacja obu skrótów z prawokliku.

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

Wybierz coś z TEGO arsenału.


.

[lazier]

OKA zrobilem jak mi kazalas [z wyjatkiem tego tempa, ee po kiche to :>] oka wiec log tak now wyglada:

Logfile of HijackThis v1.98.0
Scan saved at 20:31:35, on 2004-07-21
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
E:\PROGRA~1\PESTPA~1\PPControl.exe
E:\Program Files\Winamp\winampa.exe
E:\PROGRA~1\PESTPA~1\PPMemCheck.exe
E:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\Launcher.exe
E:\Program Files\EasyPHP1-7\easyphp.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Program Files\OpenOffice.org1.1.2\program\soffice.exe
E:\PROGRA~1\EASYPH~1\MySql\bin\mysqld.exe
C:\WINDOWS\runservice.exe
C:\Documents and Settings\lazier\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "e:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [PestPatrol Control Center] E:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [WinampAgent] e:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [PPMemCheck] E:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] E:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\System32\Launcher.exe
O4 - HKLM\..\Run: [EasyPHP] "E:\Program Files\EasyPHP1-7\easyphp.exe"
O4 - HKLM\..\Run: [asdfaa] C:\WINDOWS\system32\wjserb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = E:\Program Files\OpenOffice.org1.1.2\program\quickstart.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Kakohlnm.dll (file missing)

PS "C:\WINDOWS\System32\Kakohlnm.dll (file missing)" tego dll'a nie moge usunac wiec go przenioslem :| i zmienilem nazwe.

WJSERB-waywalilem nie ma tego pliq to nie wiem co on sie pluje

"MSCONFG.EXE"-trojan, nie znalaz mi tego pliku, wyszuiwalem etc i nic :| zreszta alljest zrobione jak mi powiedzialas, tak to all wyglada :|

[picasso]

[lazier]

ooo hehe oka teraz mi all chodzi THX !!! WIELKIE THX!!!