CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Kolejny czarny ekran

Kolejny czarny ekran

Witam
Jestem posiadaczem kolejnego czarnego ekranu z napisem YOU ARE IN DANGER. patrzylem na poprzednie posty na forum ale wg nich nie dalem rady tego rozwiazac. Dlatego osobno wklejam swojego loga i prosze o pomoc
z gory dzieki


Logfile of HijackThis v1.97.7
Scan saved at 10:44:03, on 2005–01–24
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32 undll32.exe
C:PROGRA~1Navnt pssvc.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32 undll32.exe
C:Program FilesInternet Optimizeroptimize.exe
C:WINDOWSSystem32msrexe.exe
C:Program FilesInternet Optimizeractalert.exe
C:Program FilesSEDSED.exe
C:WINDOWSSystem32Services{5F97A033–C405–493C–A667–A590C8218C4C}SVCHOST.EXE
C:WINDOWSSystem32wuauclt.exe
C:WINDOWSSystem32 undll32.exe
C:WINDOWSSystem32vqgkou.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSSystem32CAPRPCSK.EXE
C:WINDOWSSystem32spooldriversw32x863CAPPSWK.EXE
C:WINDOWSsystem32spooldriversw32x863CAPPSWK.EXE
C:Program FilesInternet ExplorerIexplore.exe
C:WINDOWSSystem32wpabaln.exe
C:securityHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O2 – BHO: (no name) – {00000010–6F7D–442C–93E3–4A4827C2E4C8} – C:WINDOWS em220.dll
O4 – HKLM..Run: [{12EE7A5E–0674–42f9–A76B–000000004D00}] rundll32.exe stlb2.dll,DllRunMain
O4 – HKLM..Run: [WCSE Mgr] "C:Program FilesInternet Optimizeroptimize.exe"
O4 – HKLM..Run: [System Service] C:WINDOWSSystem32msrexe.exe
O4 – HKLM..Run: [SESync] "C:Program FilesSEDSED.exe"
O4 – HKLM..Run: [Service Host] C:WINDOWSSystem32Services{5F97A033–C405–493C–A667–A590C8218C4C}SVCHOST.EXE
O4 – HKLM..Run: [ntechin] C:WINDOWSsystem32 20050308.exe
O4 – HKLM..Run: [NPS Event Checker] C:PROGRA~1Navnt pscheck.exe
O4 – HKLM..Run: [CAPON] C:WINDOWSSystem32SpoolDriversw32x863CAPONN.EXE
O4 – HKLM..Run: [A70F6A1D–0195–42a2–934C–D8AC0F7C08EB] rundll32.exe E6F1873B.DLL,D9EBC318C
O4 – HKLM..Run: [Narrator] C:WINDOWSSystem32vqgkou.exe
O4 – HKLM..Run: [Internet Optimizer] "C:Program FilesInternet Optimizeroptimize.exe"
O4 – HKLM..Run: [KpubSrv32] C:WINDOWSkpubsrv.exe
O4 – Global Startup: ę ńń Canon LBP–810.LNK = C:WINDOWSsystem32spooldriversw32x863CAPPSWK.EXE
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 – Unknown file in Winsock LSP: c:windowssystem32dolsp.dll
O10 – Unknown file in Winsock LSP: c:windowssystem32dolsp.dll
O10 – Unknown file in Winsock LSP: c:windowssystem32dolsp.dll
O10 – Unknown file in Winsock LSP: c:windowssystem32dolsp.dll

Odpowiedzi: 13

Eeeee tam, co znaczy "nie da sie" ?
Tu napisano co zrobic:
http://forum.gladiator–antivirus.com/index.php?showtopic=20868
http://www.webuser.co.uk/cgi–bin/forums/showflat.pl?Cat=&Board=hijackthis&Number=132983&page=16&view=collapsed&sb=5&o=93&part=

Usuwales niepotrzebne rzeczy z Dodaj/usun ? Usun.
Sciagnij zalacznik, rozpakuj i odpal.
EL NINO
Dodano
26.01.2005 20:26:59
Po kilku probach doszedlem do tego ze nie bylo tego zastarnego czarnego pulpitu tylko bialy z powrotem do active pulpit
jak kliknalem wysskoczyl mi syf z powrotem.
powoli trace nadzieje, ze zdolam :(
jot
Dodano
26.01.2005 16:38:19
jot:
Gdy doszedlem do cjsnsrv.exe – nie moglem go wykasowac mimo ze w procesach go nie bylo.
Odpalasz z plyty XP, wchodzisz do konsoli odzyskiwania i kasujesz recznie, wpisujac:
del C:WINDOWScjcnsrv.exe

Wyczysc rowniez recznie plik Hosts z niepotrzebnych wpisow.
No a co do bledu HJ, to moze trzeba sciagnac nowy ? Nie mam teraz czasu zeby szukac specyfikacji bledow.
EL NINO
Dodano
26.01.2005 14:19:36
lol no to jest znwou troche zametu.

Otoz przy probie wyrzucania tych kluczy przez hijack this wyskoczyl komunikat:

Unexpected error has occurde at procedure modMain_Fixother1item (sItem_01_Hosts:69.20.16.183 ieautosearch)
Error #70 – permission dannied

Niezrazony powylaczalem wszystko co sie dalo i przystapilem do kasowania plikow. Gdy doszedlem do cjsnsrv.exe – nie moglem go wykasowac mimo ze w procesach go nie bylo.

No i teraz ostatni problem ktory sie pojawil – odpalam hijacka – program normalnie mi sie odpala – daje check no i sie wylacza :(

Co teraz ?:P
jot
Dodano
26.01.2005 14:01:56
Usuwasz zarowno w HJ jak i z dysku pliki

C:Program FilesSEDSED.exe
C:WINDOWSSystem32Services{5F97A033–C405–493C–A667–A590C8218C4C}SVCHOST.EXE
C:Program FilesInternet Optimizeroptimize.exe
C:Program FilesInternet Optimizeractalert.exe
R3 – Default URLSearchHook is missing
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O2 – BHO: (no name) – {00000010–6F7D–442C–93E3–4A4827C2E4C8} – C:WINDOWS em220.dll
O4 – HKLM..Run: [{12EE7A5E–0674–42f9–A76B–000000004D00}] rundll32.exe stlb2.dll,DllRunMain
O4 – HKLM..Run: [WCSE Mgr] "C:Program FilesInternet Optimizeroptimize.exe"
O4 – HKLM..Run: [SESync] "C:Program FilesSEDSED.exe"
O4 – HKLM..Run: [Service Host] C:WINDOWSSystem32Services{5F97A033–C405–493C–A667–A590C8218C4C}SVCHOST.EXE
O4 – HKLM..Run: [ntechin] C:WINDOWSsystem32 20050308.exe
O4 – HKLM..Run: [A70F6A1D–0195–42a2–934C–D8AC0F7C08EB] rundll32.exe E6F1873B.DLL,D9EBC318C
O4 – HKLM..Run: [Internet Optimizer] "C:Program FilesInternet Optimizeroptimize.exe"
O4 – HKLM..Run: [CjcnSrv32] C:WINDOWScjcnsrv.exe
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
EL NINO
Dodano
26.01.2005 13:20:27
wiec wyrzuciolem to lspfixem
te wpisy usuwalem ale tez wracaja
przywracanie systemu jest wylaczone

jestem bliski placzu bo to komp ksiegowej :(

swiezy log:

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32 undll32.exe
C:WINDOWSsystem32spoolsv.exe
C:PROGRA~1Navnt pssvc.exe
C:WINDOWSExplorer.EXE
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSSystem32 undll32.exe
C:Program FilesSEDSED.exe
C:WINDOWSSystem32Services{5F97A033–C405–493C–A667–A590C8218C4C}SVCHOST.EXE
C:WINDOWSSystem32 undll32.exe
C:Program FilesInternet Optimizeroptimize.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSsystem32spooldriversw32x863CAPPSWK.EXE
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet Exploreriexplore.exe
C:WINDOWSSystem32CAPRPCSK.EXE
C:Program FilesInternet Optimizeractalert.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet ExplorerIexplore.exe
C:securityHijackThis.exe

R3 – Default URLSearchHook is missing
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
O2 – BHO: (no name) – {00000010–6F7D–442C–93E3–4A4827C2E4C8} – C:WINDOWS em220.dll
O4 – HKLM..Run: [{12EE7A5E–0674–42f9–A76B–000000004D00}] rundll32.exe stlb2.dll,DllRunMain
O4 – HKLM..Run: [WCSE Mgr] "C:Program FilesInternet Optimizeroptimize.exe"
O4 – HKLM..Run: [SESync] "C:Program FilesSEDSED.exe"
O4 – HKLM..Run: [Service Host] C:WINDOWSSystem32Services{5F97A033–C405–493C–A667–A590C8218C4C}SVCHOST.EXE
O4 – HKLM..Run: [ntechin] C:WINDOWSsystem32 20050308.exe
O4 – HKLM..Run: [NPS Event Checker] C:PROGRA~1Navnt pscheck.exe
O4 – HKLM..Run: [CAPON] C:WINDOWSSystem32SpoolDriversw32x863CAPONN.EXE
O4 – HKLM..Run: [A70F6A1D–0195–42a2–934C–D8AC0F7C08EB] rundll32.exe E6F1873B.DLL,D9EBC318C
O4 – HKLM..Run: [Internet Optimizer] "C:Program FilesInternet Optimizeroptimize.exe"
O4 – HKLM..Run: [CjcnSrv32] C:WINDOWScjcnsrv.exe
O4 – Global Startup: ę ńń Canon LBP–810.LNK = C:WINDOWSsystem32spooldriversw32x863CAPPSWK.EXE
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O17 – HKLMSystemCCSServicesTcpip..{FAF2D6FB–D490–4196–B01B–692C8ED5F402}: NameServer = 194.204.159.1,194.204.152.34
jot
Dodano
26.01.2005 13:07:14
jot, pokaz jeszcze raz loga i sciagnij http://www.cexx.org/lspfix.htm do pozbycia sie Winsock LSP: c:windowssystem32dolsp.dll
Plik optimize.exe z calym folderem rowniez do usuniecia, ze nie wspomne o wpisach w Hosts –
O1 – Hosts: 69.20.16.183 auto.search.msn.com
O1 – Hosts: 69.20.16.183 search.netscape.com
O1 – Hosts: 69.20.16.183 ieautosearch
EL NINO
Dodano
26.01.2005 12:58:59
wylaczone jest niby na tym kompie
jot
Dodano
26.01.2005 12:55:50
O wracaniu : – wyłącz "przywracanie" i dopiero wywalaj.
Rebe
Dodano
26.01.2005 12:53:59
wiec msrexe i dolsp.dll wyrzucilem wg porady

niestety ten vqgkou.exe – ni jak nie daje sie rady usunac .Probowalem przez hijack this, pozniej przez wykiblowanie tego z rejestru i wyrzucanie tego execa > zawsze wraaca a w necie nie moge znalezc nic na ten temat.

prose o pomoc
jot
Dodano
26.01.2005 12:47:28
To zamyka oczy i ...wywala (równieź ze ścieźki rejestru podanej w odpowiedziach ) :P
Rebe
Dodano
24.01.2005 12:11:31
a jak ktos nie jest dobry z nagielskiego ? :oops:
jot
Dodano
24.01.2005 12:06:55
msrexe.exe – trojan
vqgkou.exe – najstarsi górale nie iwedzą co to
dolsp.dll – http://computing.net/windows2000/wwwboard/forum/61019.html

To tak z grubsza
Rebe
Dodano
24.01.2005 12:04:35
jot
Dodano:
24.01.2005 11:55:38
Komentarzy:
13
Strona 1 / 1