Prosze sprawdzie mi loga ( kernels32.exe )
Po raz kolejny nie posłuchałem zdrowego rozsądku i szukałem cracka to pewnego programu na nieznanych stronach. No i ciach..... mam nauczkę.
Zamiast tapety – niebieski ekran z czarnym prostokątem w środku, w którym jest napisane na czerwono CRITICAL WARNING a podnim.... wszyscy wiedzą chyba co. No i pojawił się dziwny programik Spyware Sheriff którego nie instalowałem i który wykrył na moim kompie trojany. Tylko oczywiście ich nie usunie bo trzeba najpierw go kupić.
Ctrl + Alt + Del nie pomaga bo pojawia mi sie okienko źe administrator wyłączył menadzera zadań
Jak dotąd to Wyłączyłem Przywracanie Systemu i Zrobiłem Scan MKS'em i Ad–Aware'em wykryły one sporo. Ale chyba nie wszystko bo nadal trzy magiczne klawisze nie działają. Z katalogu Windows wywaliłem desktop.html no i zrbiłem scana HijackThis log załączam poniźej
To co wg. mnie jest podejrzane to pogrubiłem...
czyli kernels32.exe i coś tam jeszcze.
Mam zainstalowanego Firewalla Sygate'a i ciagle ten plik chce gdzieś cosik wysłać ( oczywiście mu nie pozwalam )
Oto kilka trojanów z łącznie chyba ponad 20 które wywaliłem jak dotąd z kompa.
TrojanAgent.Iw Trojan.Hoax.Spysheriff.A2 ... A3 .... A4 Trojan.Downloader.Small Trojan.Downloader.Agent.Ho Dialer.Ag Trojan.Cliker.Tiny.C
I jeszcze jedno. Jesli chodzi o pulpit, to w zakładce Sieć Web nic nie ma co bym mógł skasować a okenko tło jest szare tak źe nie moge nic tam zmienić. W katalogu windows są dwa podejrzane pliki
vxh8jkdq1 , vxh8jkdq8 , vxgame1 , web , kernels32 ,
abirvalg.dll abirvalg32.dll zlbw.dll Wszystkie utworzone dziś lub wczoraj podczas moich feralnych poszukiwań
Ludziska kochane POMÓŻCIE własnie kończę pisać moą pracę dyplomową i nie chcę aby mi komp zdechł.
Logfile of HijackThis v1.99.1
Scan saved at 22:34:13, on 05–07–11
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Firewall\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
D:\MKS\Bin\mks_menu.exe
D:\MKS\Bin\ABregmon.exe
C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe
C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\System32\ctfmon.exe
D:\MKS\Bin\netsvst.exe
F:\Game\H3\RegisterSOD\Remind32.exe
C:\WINDOWS\system32\spoolsv.exe
D:\MKS\Bin\NetMonSV.exe
C:\WINDOWS\system32\crypserv.exe
D:\MKS\Bin\mksmonsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\RbtProt\sgsrv.exe
C:\WINDOWS\System32\svchost.exe
D:\MKS\Bin\mks_scan.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Downloads\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wp.pl/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.interia.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.interia.pl/
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.interia.pl/
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 – BHO: PCTools Site Guard – {5C8B2A36–3DB1–42A4–A3CB–D426709BBFEB} – D:\SPYWAR~1\tools\iesdsg.dll
O2 – BHO: PCTools Browser Monitor – {B56A7D7D–6927–48C8–A975–17DF180C71AC} – D:\SPYWAR~1\tools\iesdpb.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 – HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd2.exe"
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 – HKLM\..\Run: [MKS_MENU] D:\MKS\Bin\mks_menu.exe
O4 – HKLM\..\Run: [ABREGMON] D:\MKS\Bin\ABregmon.exe
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 – HKLM\..\Run: [Nokia Connection Monitor] "C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe"
O4 – HKLM\..\Run: [SmcService] D:\Firewall\smc.exe –startgui
O4 – HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [NetMonSVStat] D:\MKS\Bin\netsvst.exe
O4 – HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 – Startup: H3 The Shadow of Death(TM).lnk = F:\Game\H3\RegisterSOD\Remind32.exe
O8 – Extra context menu item: Download with GetRight – D:\GetRight\GRdownload.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://D:\Office\OFFICE11\EXCEL.EXE/3000
O8 – Extra context menu item: Open with GetRight Browser – D:\GetRight\GRbrowse.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\WINDOWS\System32\msjava.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\WINDOWS\System32\msjava.dll
O9 – Extra button: Spyware Doctor – {2D663D1A–8670–49D9–A1A5–4C56B4E14E84} – D:\SPYWAR~1\tools\iesdpb.dll
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – D:\Office\OFFICE11\REFIEBAR.DLL
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O23 – Service: ArcaBit NetMonitor (ABNetMon) – ArcaBit sp. z o.o. – D:\MKS\Bin\NetMonSV.exe
O23 – Service: Crypkey License – Unknown owner – C:\WINDOWS\SYSTEM32\crypserv.exe
O23 – Service: MkSUpdateInt – MkS Sp. z o. o. – D:\MKS\bin\MkSUpdateInt.exe
O23 – Service: MkS_Vir Monitor (MksVirMonSvc) – Unknown owner – D:\MKS\Bin\mksmonsv.exe
O23 – Service: MkS_Scan – Unknown owner – D:\MKS\Bin\mks_scan.exe
O23 – Service: svchost.exe (moto) – Unknown owner – C:\WINDOWS\svchost.exe (file missing)
O23 – Service: NVIDIA Driver Helper Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SoftGuard Service (SG_Service) – Unknown owner – C:\Program Files\Common Files\RbtProt\sgsrv.exe
O23 – Service: Sygate Personal Firewall (SmcService) – Sygate Technologies, Inc. – D:\Firewall\smc.exe
Dobra Wiadomość
Udało mi się przywrócić tapetę i Menadzera Zadań
( Przeczytałem "Przyklejony" )
Jednak nie wiem czy pozbyłem się na dobre tego holerstwa oraz.....
Chłopaki jakie jest domyślne tło w windowsie bo ja coś namieszałem i teraz mój pulpit mimo źe z tapeta to dziwnie wygląda.
Zamiast tapety – niebieski ekran z czarnym prostokątem w środku, w którym jest napisane na czerwono CRITICAL WARNING a podnim.... wszyscy wiedzą chyba co. No i pojawił się dziwny programik Spyware Sheriff którego nie instalowałem i który wykrył na moim kompie trojany. Tylko oczywiście ich nie usunie bo trzeba najpierw go kupić.
Ctrl + Alt + Del nie pomaga bo pojawia mi sie okienko źe administrator wyłączył menadzera zadań
Jak dotąd to Wyłączyłem Przywracanie Systemu i Zrobiłem Scan MKS'em i Ad–Aware'em wykryły one sporo. Ale chyba nie wszystko bo nadal trzy magiczne klawisze nie działają. Z katalogu Windows wywaliłem desktop.html no i zrbiłem scana HijackThis log załączam poniźej
To co wg. mnie jest podejrzane to pogrubiłem...
czyli kernels32.exe i coś tam jeszcze.
Mam zainstalowanego Firewalla Sygate'a i ciagle ten plik chce gdzieś cosik wysłać ( oczywiście mu nie pozwalam )
Oto kilka trojanów z łącznie chyba ponad 20 które wywaliłem jak dotąd z kompa.
TrojanAgent.Iw Trojan.Hoax.Spysheriff.A2 ... A3 .... A4 Trojan.Downloader.Small Trojan.Downloader.Agent.Ho Dialer.Ag Trojan.Cliker.Tiny.C
I jeszcze jedno. Jesli chodzi o pulpit, to w zakładce Sieć Web nic nie ma co bym mógł skasować a okenko tło jest szare tak źe nie moge nic tam zmienić. W katalogu windows są dwa podejrzane pliki
vxh8jkdq1 , vxh8jkdq8 , vxgame1 , web , kernels32 ,
abirvalg.dll abirvalg32.dll zlbw.dll Wszystkie utworzone dziś lub wczoraj podczas moich feralnych poszukiwań
Ludziska kochane POMÓŻCIE własnie kończę pisać moą pracę dyplomową i nie chcę aby mi komp zdechł.
Logfile of HijackThis v1.99.1
Scan saved at 22:34:13, on 05–07–11
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Firewall\smc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
D:\MKS\Bin\mks_menu.exe
D:\MKS\Bin\ABregmon.exe
C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe
C:\WINDOWS\System32\kernels32.exe
C:\WINDOWS\System32\ctfmon.exe
D:\MKS\Bin\netsvst.exe
F:\Game\H3\RegisterSOD\Remind32.exe
C:\WINDOWS\system32\spoolsv.exe
D:\MKS\Bin\NetMonSV.exe
C:\WINDOWS\system32\crypserv.exe
D:\MKS\Bin\mksmonsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\RbtProt\sgsrv.exe
C:\WINDOWS\System32\svchost.exe
D:\MKS\Bin\mks_scan.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Downloads\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wp.pl/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.interia.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.interia.pl/
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.interia.pl/
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O2 – BHO: PCTools Site Guard – {5C8B2A36–3DB1–42A4–A3CB–D426709BBFEB} – D:\SPYWAR~1\tools\iesdsg.dll
O2 – BHO: PCTools Browser Monitor – {B56A7D7D–6927–48C8–A975–17DF180C71AC} – D:\SPYWAR~1\tools\iesdpb.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 – HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd2.exe"
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 – HKLM\..\Run: [MKS_MENU] D:\MKS\Bin\mks_menu.exe
O4 – HKLM\..\Run: [ABREGMON] D:\MKS\Bin\ABregmon.exe
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 – HKLM\..\Run: [Nokia Connection Monitor] "C:\Program Files\Common Files\Nokia\NCLTools\NclConf.exe"
O4 – HKLM\..\Run: [SmcService] D:\Firewall\smc.exe –startgui
O4 – HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [NetMonSVStat] D:\MKS\Bin\netsvst.exe
O4 – HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 – Startup: H3 The Shadow of Death(TM).lnk = F:\Game\H3\RegisterSOD\Remind32.exe
O8 – Extra context menu item: Download with GetRight – D:\GetRight\GRdownload.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://D:\Office\OFFICE11\EXCEL.EXE/3000
O8 – Extra context menu item: Open with GetRight Browser – D:\GetRight\GRbrowse.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\WINDOWS\System32\msjava.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\WINDOWS\System32\msjava.dll
O9 – Extra button: Spyware Doctor – {2D663D1A–8670–49D9–A1A5–4C56B4E14E84} – D:\SPYWAR~1\tools\iesdpb.dll
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – D:\Office\OFFICE11\REFIEBAR.DLL
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O23 – Service: ArcaBit NetMonitor (ABNetMon) – ArcaBit sp. z o.o. – D:\MKS\Bin\NetMonSV.exe
O23 – Service: Crypkey License – Unknown owner – C:\WINDOWS\SYSTEM32\crypserv.exe
O23 – Service: MkSUpdateInt – MkS Sp. z o. o. – D:\MKS\bin\MkSUpdateInt.exe
O23 – Service: MkS_Vir Monitor (MksVirMonSvc) – Unknown owner – D:\MKS\Bin\mksmonsv.exe
O23 – Service: MkS_Scan – Unknown owner – D:\MKS\Bin\mks_scan.exe
O23 – Service: svchost.exe (moto) – Unknown owner – C:\WINDOWS\svchost.exe (file missing)
O23 – Service: NVIDIA Driver Helper Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SoftGuard Service (SG_Service) – Unknown owner – C:\Program Files\Common Files\RbtProt\sgsrv.exe
O23 – Service: Sygate Personal Firewall (SmcService) – Sygate Technologies, Inc. – D:\Firewall\smc.exe
Dobra Wiadomość
Udało mi się przywrócić tapetę i Menadzera Zadań
( Przeczytałem "Przyklejony" )
Jednak nie wiem czy pozbyłem się na dobre tego holerstwa oraz.....
Chłopaki jakie jest domyślne tło w windowsie bo ja coś namieszałem i teraz mój pulpit mimo źe z tapeta to dziwnie wygląda.
Odpowiedzi: 4
Ano racja w związku z trojanami zainstalowałem Wintask na Trialu.
I jeszcze raz racja ten pliczek rzeczywićie powinien być tylko w systemie.
Dzięki jeszcze raz.
I jeszcze raz racja ten pliczek rzeczywićie powinien być tylko w systemie.
Dzięki jeszcze raz.
Gilanel:
Jesli chodzi o cryptserv to nie mam pojęcia co to za firma go wypuściła. Nic we właściwościach nie pisze.
Więc moźe zapytam inaczej, uzywasz jakiegoś programu w wersji trial ?
A co do klucza O23 to to nie wiem czy usunąć...
A co on włąściwie znaczy???? :?:
Te to akurat na bank badziew.
C:\WINDOWS\svchost.exe – plik szkodliwy
C:\WINDOWS\system32\svchost.exe – plik systemowy
Usuwanie:
Odpalasz wiersz poleceń, Start Uruchom >> CMD
Wpisujesz: NET STOP moto
Teraz w HJT: Config >> Misc Tools >> Delete an NT service, w okno wpisujesz: moto i potwierdzasz.
Resetujesz system i plik z podanej lokalizacji usuwasz.
Jesli chodzi o cryptserv to nie mam pojęcia co to za firma go wypuściła. Nic we właściwościach nie pisze.
A co do klucza O23 to to nie wiem czy usunąć...
A co on włąściwie znaczy???? :?:
Poza tym koputer odzyskał sprawność....
Tylko jedna rzecz mnie niepokoi..
Dawniej jak windows uruchamiał sie to najpier pojawiał sie niebieski ekran z napisem Zapraszam oraz muzyczka na dzieńdobry a później po chwili pulpit i cała reszta. :shock:
Teraz niebieski ekranik jest tylko chwilkę zaraz po nim pulpit i dopiero muzyczka...
Niby wszystko oki ale coś nie daje mi to spokoju... :?
A po za tym
Wiellllkie Dzięki za pomoc
Juź byłem bliski zrobienia FORMAT C: :(
Dzięki jeszcze raz. :D
A co do klucza O23 to to nie wiem czy usunąć...
A co on włąściwie znaczy???? :?:
Poza tym koputer odzyskał sprawność....
Tylko jedna rzecz mnie niepokoi..
Dawniej jak windows uruchamiał sie to najpier pojawiał sie niebieski ekran z napisem Zapraszam oraz muzyczka na dzieńdobry a później po chwili pulpit i cała reszta. :shock:
Teraz niebieski ekranik jest tylko chwilkę zaraz po nim pulpit i dopiero muzyczka...
Niby wszystko oki ale coś nie daje mi to spokoju... :?
A po za tym
Wiellllkie Dzięki za pomoc
Juź byłem bliski zrobienia FORMAT C: :(
Dzięki jeszcze raz. :D
Wylącz przywracanie
Zakoncz proces:
kernels32.exe
Usun:
Usługę z 023 usuń na podstawie przyklejonego topicu i linku "...usuwanie usług"
Na Twoim miejscu odinstalowałbym Spyware Doctora i usunał:
Z dysku leci równieź plik winstall.exe oraz desktop.html
Z rejestru z klucza usuń:
Sprawdz prosze jeszcze włsciwosci pliku crypserv.exe
Szczegołnie co to za firma go wyprodukowała, przypadkiem nie Kenonic ?
Zakoncz proces:
kernels32.exe
Usun:
F2 – REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\kernels32.exe
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [System] C:\WINDOWS\System32\kernels32.exe
O4 – HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O23 – Service: svchost.exe (moto) – Unknown owner – C:\WINDOWS\svchost.exe (file missing)
Usługę z 023 usuń na podstawie przyklejonego topicu i linku "...usuwanie usług"
Na Twoim miejscu odinstalowałbym Spyware Doctora i usunał:
O2 – BHO: PCTools Site Guard – {5C8B2A36–3DB1–42A4–A3CB–D426709BBFEB} – D:\SPYWAR~1\tools\iesdsg.dll
O2 – BHO: PCTools Browser Monitor – {B56A7D7D–6927–48C8–A975–17DF180C71AC} – D:\SPYWAR~1\tools\iesdpb.dll
O9 – Extra button: Spyware Doctor – {2D663D1A–8670–49D9–A1A5–4C56B4E14E84} – D:\SPYWAR~1\tools\iesdpb.dll
Z dysku leci równieź plik winstall.exe oraz desktop.html
Z rejestru z klucza usuń:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
wartość: ForceActiveDesktopOn
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
wartość: Wallpaper
Sprawdz prosze jeszcze włsciwosci pliku crypserv.exe
Szczegołnie co to za firma go wyprodukowała, przypadkiem nie Kenonic ?
Strona 1 / 1