REFEDIT tool bar
26 Lip 2011, 00:32
czy może ktoś powiedzieć co to takiego jest? czy to coś ważnego, i jak to wyłączyć/włączyć za pomoc dziękuję, nie wygóglowałem nic w ojczyźnianym języku o tym dziadostwie. REFEDIT TOOL BAR.
Re: REFEDIT tool bar
26 Lip 2011, 12:31
To prawdopodobnie element VBA ewentualnie AutoDesk`a. Podaj jednak logi z OTL i GMER (poniżej instrukcje) dla pewności.
OTL
viewtopic.php?f=22&t=13967#p107754.
GMER viewtopic.php?f=22&t=13967#p88736.
OTL
viewtopic.php?f=22&t=13967#p107754.GMER
viewtopic.php?f=22&t=13967#p88736.
Re: REFEDIT tool bar
26 Lip 2011, 14:10
hmm, to może ja trochę szerzej opiszę problem, bo moze coś pomieszałem. właściwie mój problem sprowadza się do tego że ściągnąłem sobie prosty programik crosshair v 10.7 który wyświetla mi celownik w praktycznie każdej grze, to nie jest hack, tylko wspomagacz dzięki któremu się troszkę celniej strzela. a problem jest taki że miga mi on cały czas, zamiast " być" to on po prostu miga co jest denerwujace. na jakimś forze znalałem że to wina właśnie tego pliku/elementu, i chce to sprawdzić.
wklejam log z gmera, z tym otl mam jakiś problem więc wkeje później. coś tam niby pisze ze znalazło jakieś rookity
??mimo wszystko i tak już od miesiąca mam zrobic format więc wcześniej czy pozniej wirusy i inne plugastwo pojdzie precz. tylko zco z tym crosshairem.
wklejam log z gmera, z tym otl mam jakiś problem więc wkeje później. coś tam niby pisze ze znalazło jakieś rookity
??mimo wszystko i tak już od miesiąca mam zrobic format więc wcześniej czy pozniej wirusy i inne plugastwo pojdzie precz. tylko zco z tym crosshairem. - Kod:
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-07-26 14:41:40
Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_HD502HJ rev.1AJ10001
Running: gmer.exe; Driver: C:\DOCUME~1\PRZEMY~1\USTAWI~1\Temp\awldapow.sys
---- Kernel code sections - GMER 1.0.15 ----
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB2D1B3A0, 0x59FFE5, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe[280] ntdll.dll!NtEnumerateValueKey 7C90D2EE 3 Bytes [68, 39, 12]
.text C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe[280] ntdll.dll!NtEnumerateValueKey + 4 7C90D2F2 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe[280] ntdll.dll!NtQuerySystemInformation 7C90D92E 3 Bytes [68, 0E, 11]
.text C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe[280] ntdll.dll!NtQuerySystemInformation + 4 7C90D932 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[468] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]
.text C:\WINDOWS\Explorer.EXE[476] ntdll.dll!NtEnumerateValueKey 7C90D2EE 4 Bytes [68, 39, 12, BC]
.text C:\WINDOWS\Explorer.EXE[476] ntdll.dll!NtEnumerateValueKey + 5 7C90D2F3 1 Byte [C3]
.text C:\WINDOWS\Explorer.EXE[476] ntdll.dll!NtQuerySystemInformation 7C90D92E 4 Bytes [68, 0E, 11, BC]
.text C:\WINDOWS\Explorer.EXE[476] ntdll.dll!NtQuerySystemInformation + 5 7C90D933 1 Byte [C3]
.text C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe[1216] ntdll.dll!NtEnumerateValueKey 7C90D2EE 3 Bytes [68, 39, 12]
.text C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe[1216] ntdll.dll!NtEnumerateValueKey + 4 7C90D2F2 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe[1216] ntdll.dll!NtQuerySystemInformation 7C90D92E 3 Bytes [68, 0E, 11]
.text C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe[1216] ntdll.dll!NtQuerySystemInformation + 4 7C90D932 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[1560] ntdll.dll!NtEnumerateValueKey 7C90D2EE 3 Bytes [68, 39, 12]
.text C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[1560] ntdll.dll!NtEnumerateValueKey + 4 7C90D2F2 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[1560] ntdll.dll!NtQuerySystemInformation 7C90D92E 3 Bytes [68, 0E, 11]
.text C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe[1560] ntdll.dll!NtQuerySystemInformation + 4 7C90D932 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe[1588] ntdll.dll!NtEnumerateValueKey 7C90D2EE 3 Bytes [68, 39, 12]
.text C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe[1588] ntdll.dll!NtEnumerateValueKey + 4 7C90D2F2 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe[1588] ntdll.dll!NtQuerySystemInformation 7C90D92E 3 Bytes [68, 0E, 11]
.text C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe[1588] ntdll.dll!NtQuerySystemInformation + 4 7C90D932 2 Bytes [10, C3] {ADC BL, AL}
.text C:\WINDOWS\system32\RUNDLL32.EXE[1964] ntdll.dll!NtEnumerateValueKey 7C90D2EE 4 Bytes [68, 39, 12, A7]
.text C:\WINDOWS\system32\RUNDLL32.EXE[1964] ntdll.dll!NtEnumerateValueKey + 5 7C90D2F3 1 Byte [C3]
.text C:\WINDOWS\system32\RUNDLL32.EXE[1964] ntdll.dll!NtQuerySystemInformation 7C90D92E 4 Bytes [68, 0E, 11, A7]
.text C:\WINDOWS\system32\RUNDLL32.EXE[1964] ntdll.dll!NtQuerySystemInformation + 5 7C90D933 1 Byte [C3]
.text C:\WINDOWS\system32\ctfmon.exe[2236] ntdll.dll!NtEnumerateValueKey 7C90D2EE 3 Bytes [68, 39, 12]
.text C:\WINDOWS\system32\ctfmon.exe[2236] ntdll.dll!NtEnumerateValueKey + 4 7C90D2F2 2 Bytes [10, C3] {ADC BL, AL}
.text C:\WINDOWS\system32\ctfmon.exe[2236] ntdll.dll!NtQuerySystemInformation 7C90D92E 3 Bytes [68, 0E, 11]
.text C:\WINDOWS\system32\ctfmon.exe[2236] ntdll.dll!NtQuerySystemInformation + 4 7C90D932 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Program Files\uTorrent\uTorrent.exe[2256] ntdll.dll!NtEnumerateValueKey 7C90D2EE 3 Bytes [68, 39, 12]
.text C:\Program Files\uTorrent\uTorrent.exe[2256] ntdll.dll!NtEnumerateValueKey + 4 7C90D2F2 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Program Files\uTorrent\uTorrent.exe[2256] ntdll.dll!NtQuerySystemInformation 7C90D92E 3 Bytes [68, 0E, 11]
.text C:\Program Files\uTorrent\uTorrent.exe[2256] ntdll.dll!NtQuerySystemInformation + 4 7C90D932 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Documents and Settings\Przemysław\Moje dokumenty\Pobieranie\gmer\gmer.exe[2940] ntdll.dll!NtEnumerateValueKey 7C90D2EE 3 Bytes [68, 39, 12]
.text C:\Documents and Settings\Przemysław\Moje dokumenty\Pobieranie\gmer\gmer.exe[2940] ntdll.dll!NtEnumerateValueKey + 4 7C90D2F2 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Documents and Settings\Przemysław\Moje dokumenty\Pobieranie\gmer\gmer.exe[2940] ntdll.dll!NtQuerySystemInformation 7C90D92E 3 Bytes [68, 0E, 11]
.text C:\Documents and Settings\Przemysław\Moje dokumenty\Pobieranie\gmer\gmer.exe[2940] ntdll.dll!NtQuerySystemInformation + 4 7C90D932 2 Bytes [10, C3] {ADC BL, AL}
.text C:\WINDOWS\system32\wuauclt.exe[3108] ntdll.dll!NtEnumerateValueKey 7C90D2EE 3 Bytes [68, 39, 12]
.text C:\WINDOWS\system32\wuauclt.exe[3108] ntdll.dll!NtEnumerateValueKey + 4 7C90D2F2 2 Bytes [10, C3] {ADC BL, AL}
.text C:\WINDOWS\system32\wuauclt.exe[3108] ntdll.dll!NtQuerySystemInformation 7C90D92E 3 Bytes [68, 0E, 11]
.text C:\WINDOWS\system32\wuauclt.exe[3108] ntdll.dll!NtQuerySystemInformation + 4 7C90D932 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Program Files\Neostrada tp\TP.exe[3668] ntdll.dll!NtEnumerateValueKey 7C90D2EE 3 Bytes [68, 39, 12]
.text C:\Program Files\Neostrada tp\TP.exe[3668] ntdll.dll!NtEnumerateValueKey + 4 7C90D2F2 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Program Files\Neostrada tp\TP.exe[3668] ntdll.dll!NtQuerySystemInformation 7C90D92E 3 Bytes [68, 0E, 11]
.text C:\Program Files\Neostrada tp\TP.exe[3668] ntdll.dll!NtQuerySystemInformation + 4 7C90D932 2 Bytes [10, C3] {ADC BL, AL}
.text C:\Program Files\Mozilla Firefox\firefox.exe[3784] ntdll.dll!NtEnumerateValueKey 7C90D2EE 6 Bytes PUSH 01181239; RET C:\WINDOWS\system32\28463\UJMI.007
.text C:\Program Files\Mozilla Firefox\firefox.exe[3784] ntdll.dll!NtQuerySystemInformation 7C90D92E 6 Bytes PUSH 0118110E; RET C:\WINDOWS\system32\28463\UJMI.007
.text C:\Program Files\Mozilla Firefox\firefox.exe[3784] ntdll.dll!LdrLoadDll 7C91632D 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
Device \Driver\usb_rndis \Device\{68A1D0BB-C220-478B-9E2A-FFC7B0033FC8} RNDISMP.SYS (Remote NDIS Miniport/Microsoft Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys
---- Processes - GMER 1.0.15 ----
Process C:\WINDOWS\system32\28463\UJMI.exe (*** hidden *** ) 2052
---- Registry - GMER 1.0.15 ----
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run@UJMI Agent C:\WINDOWS\system32\28463\UJMI.exe
---- EOF - GMER 1.0.15 ----
Re: REFEDIT tool bar
27 Lip 2011, 21:16
Jest tutaj infekcja, ale przydałyby się jeszcze logi z OTL. Jaki masz z nim dokładnie problem???
Re: REFEDIT tool bar
28 Lip 2011, 23:28
Przepraszam za zwłokę, miałem problemy z internetem. Wklejam log z OTL. Oto on:
http://wklej.eu/index.php?id=dd2adc4b2d&view=nl
http://wklej.eu/index.php?id=dd2adc4b2d&view=nl
Ostatnio edytowany przez mateo8898, 29 Lip 2011, 10:45, edytowano w sumie 1 raz
Powód: Przeklejenie loga na wklej.eu
Powód: Przeklejenie loga na wklej.eu
Re: REFEDIT tool bar
29 Lip 2011, 10:44
Nie podałeś drugiego logu z OTL (Extras.txt), uzupełnij to. Poza tym logi wklejasz na http://wklej.eu/ a w poście dajesz tylko link.
Odinstaluj toolbary: Conduit Engine, uTorrentBar Toolbar.
Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
Odinstaluj toolbary: Conduit Engine, uTorrentBar Toolbar.
Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::OTL
MOD - [2011-07-24 19:47:45 | 000,008,192 | ---- | M] () -- C:\WINDOWS\system32\28463\UJMI.006
MOD - [2011-07-24 19:47:45 | 000,005,632 | ---- | M] () -- C:\WINDOWS\system32\28463\UJMI.007
IE - HKU\S-1-5-21-507921405-57989841-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/home?AF=18776
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..extensions.enabledItems: [email protected]:3.3.3.2
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2011-06-24 21:46:40 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Przemysław\Dane aplikacji\Mozilla\Firefox\Profiles\yi3hts7o.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2011-06-24 21:46:43 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Przemysław\Dane aplikacji\Mozilla\Firefox\Profiles\yi3hts7o.default\extensions\[email protected]
[2011-05-27 10:54:24 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2011-07-24 19:47:45 | 000,000,000 | -HSD | C] -- C:\WINDOWS\System32\28463
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"nwiz"=-
:Commands
[clearallrestorepoints]
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.
Re: REFEDIT tool bar
29 Lip 2011, 11:58
oto i on :
http://www.wklej.eu/index.php?id=8d3e1ed923
i pow ykonaniu skryptu:
http://www.wklej.eu/index.php?id=abeb7d5886
logi po:
http://www.wklej.eu/index.php?id=20f1c3d645
http://www.wklej.eu/index.php?id=693f7aad56
bandzior usunięty?
http://www.wklej.eu/index.php?id=8d3e1ed923
i pow ykonaniu skryptu:
http://www.wklej.eu/index.php?id=abeb7d5886
logi po:
http://www.wklej.eu/index.php?id=20f1c3d645
http://www.wklej.eu/index.php?id=693f7aad56
bandzior usunięty?
Ostatnio edytowany przez boryna 29 Lip 2011, 12:24, edytowano w sumie 3 razy
Re: REFEDIT tool bar
29 Lip 2011, 13:03
Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL Sprzątanie.
Zaktualizuj Internet Explorer do najnowszej wersji (nawet, jeśli Go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html.
Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję Java`y Java(TM) 6 Update 23 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.
w oknie Własne opcje skanowania/skrypt wklej::OTL
FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=18776"
O4 - HKLM..\Run: [UJMI Agent] File not found
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
"NvMediaCenter"=-
:Commands
[emptytemp]
Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL
Sprzątanie.Zaktualizuj Internet Explorer do najnowszej wersji (nawet, jeśli Go nie używasz)
http://www.instalki.pl/programy/downloa ... _8_XP.html.Przeczyść dysk i rejestr CCleaner`em
https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware
https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.Odinstaluj starą wersję Java`y
Java(TM) 6 Update 23 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.