CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Problem z "uoqssxrv" :(

Problem z "uoqssxrv" :(

Witam. od paru dni mam problem z internetem a konkretnie z wczytywaniem stron i pingiem w grach. Zauwarzylem ze w folderze Program Files jest folder o nazwie "uoqssxrv" zawierający plik: aMACAAAN.exe, aMACAAAN.dll, cnml.exe, i kilka plików w formacie .dat Po przeskanowaniu komputera programami Norton Internet Security 2005 i Lavasoft Ad–Aware SE Personal wykryły mi te pliki jako wirus.
Oto raport z Nortona:

"Plik C:\Program Files\uoqssxrv\NAAACAMa.exe to zagroźenie Adware.
Aby uzyskać więcej informacji o tym zagroźeniu, kliknij: Adware.CommonName"
Co więcej w folderze "C:\windows\system32\drivers\" jest plik o nazwie winik.sys powiązany z resztą. Próbowałem juź cały folder usunąć w trybie awaryjnym i nic. W rejestrze systemu odnalazłem gałęzie powiązane z tymi plikami których nie da sie usunąć, a nawet jak usune to wracają. Proszę bardzo o pomoc!! bo nie mam juz siły. Jeźeli to w czymś pomoze to zauwazyłem, źe plik profil.dat z tego folderu wygląda następująco: H \ P r o g r a m F i l e s \ u o q s s x r v \ a M A C A A A N . d l l H \ P r o g r a m F i l e s \ u o q s s x r v \ a M A C A A A N . e x e H \ P r o g r a m F i l e s \ u o q s s x r v \ N A A A C A M a . e x e @ \ P r o g r a m F i l e s \ u o q s s x r v \ c n m l . e x e F \ P r o g r a m F i l e s \ u o q s s x r v \ p r o f i l e . d a t F \ W I N D O W S \ S y s t e m 3 2 \ d r i v e r s \ W i n I K . s y s  \ R E G I S T R Y \ M A C H I N E \ S O F T W A R E \ M i c r o s o f t \ W i n d o w s \ C u r r e n t V e r s i o n \ R u n \ c M 0 H U 9 o x r \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ w i n i k j \ R E G I S T R Y \ M A C H I N E \ S y s t e m \ C o n t r o l S e t 0 0 1 \ S e r v i c e s \ w i n i k
Dołączam jeszcze log z HijackThis. moze tez w czyms pomoze:
Logfile of HijackThis v1.99.0
Scan saved at 23:25:33, on 2005–07–21
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\uoqssxrv\aMACAAAN.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AutoConnect\AutoConnect.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD–LC\symlcsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\hijackthis\HijackThis.exe

O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: IE 4.x–5.x BHO in ObjectPascal – {49E0E0F0–5C30–11D4–945D–000000000000} – C:\PROGRA~1\MarBit\TOOLS\IEHelper.dll (file missing)
O2 – BHO: PCTools Site Guard – {5C8B2A36–3DB1–42A4–A3CB–D426709BBFEB} – C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll (file missing)
O2 – BHO: Norton Internet Security – {9ECB9560–04F9–4bbc–943D–298DDF1699E1} – C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 – Toolbar: Norton Internet Security – {0B53EAC3–8D69–4b9e–9B19–A37C9A5676A7} – C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 – HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 – HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 – HKLM\..\Run: [AlcFDMonitor] C:\WINDOWS\ALCFDRTM.EXE
O4 – HKLM\..\Run: [DAEMON Tools–1033] "C:\Program Files\D–Tools\daemon.exe" –lang 1033
O4 – HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" –osboot
O4 – HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{08321744–8EF7–4CE0–9CD0–6969C185387A}\SVCHOST.EXE
O4 – HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{08321744–8EF7–4CE0–9CD0–6969C185387A}\SECURITY.EXE
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O8 – Extra context menu item: Download with Internet TOOLS – C:\Program Files\MarBit\TOOLS\MBdownload.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\MSMSGS.EXE
O9 – Extra 'Tools' menuitem: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\MSMSGS.EXE
O16 – DPF: {15AD6789–CDB4–47E1–A9DA–992EE8E6BAD6} – http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge–c139.cab
O16 – DPF: {2BC66F54–93A8–11D3–BEB6–00105AA9B6AE} (Symantec AntiVirus scanner) – http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 – DPF: {37A49D66–2735–4BB9–8503–82BA5E2333D0} (MailCfg Control) – http://www.poczta.wp.pl/3/mailcfg.ocx
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114940954968
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {70BA88C8–DAE8–4CE9–92BB–979C4A75F53B} (GSDACtl Class) – https://www.gamespyid.com/alaunch.cab
O16 – DPF: {B38870E4–7ECB–40DA–8C6A–595F0A5519FF} (MsnMessengerSetupDownloadControl Class) – http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{A2C408D1–8039–485D–B8D3–96CA5C082E77}: NameServer = 194.204.152.34 217.98.63.164
O23 – Service: Symantec Event Manager – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 – Service: Symantec Network Proxy – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 – Service: Symantec Password Validation – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 – Service: Symantec Settings Manager – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 – Service: ISSvc – Symantec Corporation – C:\Program Files\Norton Internet Security\ISSVC.exe
O23 – Service: Norton AntiVirus Auto–Protect Service – Symantec Corporation – C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 – Service: NVIDIA Display Driver Service – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SAVScan – Symantec Corporation – C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 – Service: ScriptBlocking Service – Symantec Corporation – C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 – Service: Symantec Network Drivers Service – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 – Service: Symantec SPBBCSvc – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 – Service: Symantec Core LC – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\CCPD–LC\symlcsvc.exe

PROSZE O POMOC!! Z góry wielkie dzięki

Odpowiedzi: 11

Instalowałes konsole na dysku czy odpalałes ją z płyty ?
Panel sterownia >> System >> Zaawansowane >> Uruchamianie i odzyskiwanie: Ustawienia >> Czas wyswietlania w razie potrzeby opcji odzyskiwania, ustaw na 0.
Bobi
Dodano
22.07.2005 22:48:19
Ok juz nie ma juź nic. Zrobiłem tak jak kazałes. KillBox usunął ten klik a ja folder. Dodałem teź do rejestru to co kazałes. Wszystko powinno być juź ok, jak bym mial jakies problemy to bede pisać. Naprawde nie wiem jak Ci dziękować. Mam Tylko jeszcze jedno pytanie. Bo teraz po instalacji Konsoli odzyskiwania przed wejsciem do windowsa pyta sie co wybrac czy konsole czy wina. Czy idzie zrobić tak aby automatycznie wchodził do windowsa??
Pablo_18Kce
Dodano
22.07.2005 18:34:44
Dobra to juź będziemy kończyć.
Nie bede Cie juz męczył z konsolami, sciagnij program Pocket Killbox (znajdziesz w google)
Uruchom go, zaznacz "Delete on reboot" a w Full patch wpisz C:\Program Files\uoqssxrv\aMAAACN.dll
Zresetuj system, pliku juz byc nie powinno, usuniesz tylko pusty katalog.

Zrob sobie kolejnego fixa:
Windows Registry Editor Version 5.00

[–HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIKa]

[–HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

[–HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIKa]

[–HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIKa]

I standardowo wklejasz to do notatnika, Plik >> Zapisz jako, z listy Wybierasz jako typ wszystkie pliki, jako nazwe wpisz np. fix.reg
Plik dodajesz do rejestru.
Mam nadzieje ze tym razem komplikacji nie bedzie.
Bobi
Dodano
22.07.2005 17:30:19
Ok zrobilem wszystko tak jak kazałes i udało sie:) chyba. W tym folderze "uogssxrv" nie moge usunąć pliku aMAAACN.dll a tak to wszystko z tamtąd juź poleciało i w folderze C:\windows\system32\drivers\pliku winik.sys tez nie ma.
To jest to z WordPada z tego programu co prosiłes abym wkleił:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIKa]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIKa\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WinIKa\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
"Service"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK\0000]
"DeviceDesc"="WinIK"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIKa]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIKa\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIKa\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIKa]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIKa\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIKa\Security]

[HKEY_USERS\S–1–5–21–1614895754–1229272821–839522115–1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
"f"="C:\\Documents and Settings\\xxx\\Pulpit\\winik.reg"

[HKEY_USERS\S–1–5–21–1614895754–1229272821–839522115–1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\reg]
"a"="C:\\Documents and Settings\\xxx\\Pulpit\\winik.reg"

Ps. Co z tym niedobitkiem?? aMAAACN.dll ?? Idzie to jakoś usunąc??
Z góry wielkie dzięki, bardzo mi pomogłeś:)
Pablo_18Kce
Dodano
22.07.2005 17:18:57
Dobrze podsumuje wszystko.
1. Wkładasz płyte z Windowsem XP do napędu, przestwiasz w BIOSie bootowanie na CD–ROM
Reset komputera i kiedy na dole ekranu bedzie napisane zebu wcisnac jakis klawisz robisz to, przechodzi łądowanie sterowników etc. następnie wciskasz na klawiaturze litere R
Podajesz numer instalacji – zwykle jest to 1 i wpisujesz hasło administratora.
Jesteś w konsoli.

2. Teraz wpisujesz polecenia:
disable winik
cd C:\PROGRA~1
RD /S /Q uoqssxrv
cd C:\Windows\system32\drivers
del winik.sys
Z konsoli wychodzi wpisując exit

3. System uruchamiasz teraz normalnie, odpalasz wiersz poleceń i próbujesz wpisać:
sc stop winik, a poźniej sc delete winik
Nie zaskoczy spróbuj z samym delete.

4. Jeśli nadal nic robisz fixa, który Ci podałem w poprzednim poście, dodajesz to do rejestru.

5. Sciagasz plik w postu powyźej, wpisujesz skazane słowo do szukania i wyniki przedstawiasz na forum.

6. Zostaje Ci jeszcze dobicie reszty śmiecia, który wskazałem i pokasowanie z klucza Run wpisu cM0HU9oxr

Jesli teraz nic z tego nie załąpałeś to przykro mi, raczej nic z tego nie będzie.
Bobi
Dodano
22.07.2005 16:33:46
A gdzie jest konsola odzyskiwania ??
Pablo_18Kce
Dodano
22.07.2005 15:10:43
Kurna mieszam, disable obsługiwane jest z konsoli odzyskiwania.

Wobec tego uruchom konsole odzyskiwania i wpisz:
disable winik.sys
cd C:\PROGRA~1
RD /S /Q uoqssxrv


Uruchom system i zrób takiego fixa.
Windows Registry Editor Version 5.00

[–HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINIK]

[–HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WinIK]

[–HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINIK]

[–HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\WinIK]

[–HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINIK]

[–HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinIK]


Zapisz to w notatniku z rozszerzeniem reg
Ponadto ściągnij ten plik, rozpakuj, otwórz, wpisz: winik i poczekaj.
Po chwili otworzy sie WordPad, skopiuj wszystko i wklej do nastepnego posta.
Bobi
Dodano
22.07.2005 13:09:01
Jest mały problem:(

Gdy w cmd wisuje polecenie: "disable winik.sys"
Wyskakuje mi informacja: Nazwa "disable" nie jest rozpoznawana jako polecenie wewnętrzne lub zewnętrzne, program wykonywalny lub plik wsadowy.
A gdy wpisuje następnie sc stop winik i sc delete winik to wyskakuje: [SC] OpenService FAILED
Co mam zrobic??
Pablo_18Kce
Dodano
22.07.2005 12:44:55
Pablo_18Kce:
A co to za linia komend, i jak ją wywołać??


Start >> Uruchom >> CMD
Bobi
Dodano
22.07.2005 12:09:45
"W linii komend najpierw:
disable winik.sys
sc stop winik
sc delete winik"

A co to za linia komend, i jak ją wywołać??

Napisz bo w takich sprawach jestem ptrochce Ciemny :shock:
Pablo_18Kce
Dodano
22.07.2005 12:00:47
Od takich spraw prosze ja Ciebie jest dział bezpieczeństwo, nie Windows XP.

Wyłącz przywracanie

Wiec na podstawie danych w tym pliku wiemu ze jest syfiasty sterownik (winik.sys) oraz usługa (winik)

W linii komend najpierw:
disable winik.sys
sc stop winik
sc delete winik

Teraz dopiero po wyłączeniu procesu: aMACAAAN.exe próbujesz wywalic katalog z dysku w całości.

Dodatkowo do usunięcia:
O2 – BHO: PCTools Site Guard – {5C8B2A36–3DB1–42A4–A3CB–D426709BBFEB} – C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll (file missing)
O4 – HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{08321744–8EF7–4CE0–9CD0–6969C185387A}\SVCHOST.EXE
O4 – HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{08321744–8EF7–4CE0–9CD0–6969C185387A}\SECURITY.EXE
O4 – HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O16 – DPF: {15AD6789–CDB4–47E1–A9DA–992EE8E6BAD6} – http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge–c139.cab


Zdaje się źe programu nie ma, jeśli jest zostaw:
O2 – BHO: IE 4.x–5.x BHO in ObjectPascal – {49E0E0F0–5C30–11D4–945D–000000000000} – C:\PROGRA~1\MarBit\TOOLS\IEHelper.dll (file missing)
O8 – Extra context menu item: Download with Internet TOOLS – C:\Program Files\MarBit\TOOLS\MBdownload.htm
Bobi
Dodano
22.07.2005 01:45:55
Pablo_18Kce
Dodano:
22.07.2005 01:28:42
Komentarzy:
11
Strona 1 / 1