Avast! - wirus?

juz chyba od trzech tygodni Avast! wywala mi takie okienko:

avastgx9.jpg

co to za szmelc?? i jak się go pozbyć??

Obeznaj się z tym i daj logi tutaj :wink:

Aeron , możesz bardziej sprecyzować swój problem…?

Czy ten Plik znajduje sie na PC czy na jakims serwie…?

Z tego co widać to na serwerze…wiec log raczej nie pomoże chociaż jak x-awier mówi

:slight_smile:

oto log

Logfile of HijackThis v1.99.1

Scan saved at 14:02:42, on 2006-07-26

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\sygate\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\Avast!\aswUpdSv.exe

C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

D:\Avast!\ashServ.exe

D:\Bluetooth\BTNtService.exe

D:\120%\Alcohol 120\StarWind\StarWindService.exe

D:\Avast!\ashMaiSv.exe

C:\WINDOWS\Mixer.exe

D:\Avast!\ashDisp.exe

D:\Avast!\ashWebSv.exe

D:\Winamp\winampa.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\AQQ\AQQ.exe

C:\Program Files\Messenger\msmsgs.exe

D:\Phone\Skype.exe

D:\eMule\emule.exe

D:\Bluetooth\BlueSoleil.exe

D:\Mozilla Firefox 2 Beta 1\firefox.exe

C:\WINDOWS\system32\taskmgr.exe

D:\Winamp\Winamp.exe

D:\GIMP-2.0\bin\gimp-2.2.exe

D:\GIMP-2.0\lib\gimp\2.0\plug-ins\script-fu.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\NOTEPAD.EXE

D:\totalcmd\TOTALCMD.EXE

D:\WinRar\WinRAR.exe

C:\DOCUME~1\Alex\USTAWI~1\Temp\Rar$EX00.793\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts: localhost 127.0.0.1

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [avast!] D:\Avast!\ashDisp.exe

O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 -lock

O4 - HKLM\..\Run: [SmcService] D:\sygate\smc.exe -startgui

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [yooba.exe] C:\WINDOWS\system32\yooba.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AQQ] D:\AQQ\AQQ.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Skype] "D:\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [eMuleAutoStart] D:\eMule\emule.exe -AutoStart

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = D:\Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0E067622-D7C0-4E51-A5C7-81CF8D87E98F}: NameServer = 85.255.114.11,85.255.112.234

O17 - HKLM\System\CCS\Services\Tcpip\..\{5F240573-D640-4FE9-9E0D-EDE538997A78}: NameServer = 85.255.114.11,85.255.112.234

O17 - HKLM\System\CCS\Services\Tcpip\..\{B80E10F8-E939-4171-BC59-2A3A1540C3C1}: NameServer = 85.255.114.11,85.255.112.234

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.234

O17 - HKLM\System\CS1\Services\Tcpip\..\{0E067622-D7C0-4E51-A5C7-81CF8D87E98F}: NameServer = 85.255.114.11,85.255.112.234

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.234

O17 - HKLM\System\CS2\Services\Tcpip\..\{0E067622-D7C0-4E51-A5C7-81CF8D87E98F}: NameServer = 85.255.114.11,85.255.112.234

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.234

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Avast!\aswUpdSv.exe

O23 - Service: Autodesk Licensing Service - Unknown owner - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Avast!\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Avast!\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Avast!\ashWebSv.exe" /service (file missing)

O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\Bluetooth\BTNtService.exe

O23 - Service: License Management Service ESD - Unknown owner - C:\Program Files\Common Files\element5 Shared\Service\Licence Manager ESD.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\sygate\smc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\120%\Alcohol 120\StarWind\StarWindService.exe

on jest na serweze i tak jak by próbował się dostać do kompa ale avast go blokuje wiec on próbuje jeszcze raz i tak w kółko a przy okazji kompa muli…

Złączono Posta : 26.07.2006 (Sro) 14:52

nie wiem czy ci o to chodzi??

avast2ub3.jpg

Nie martw się. Avast zablokował wirusa zanim on dostał się do systemu. Sory że wcześniej skasowałem swojego posta.

to wiem ale co mam zrobić zeby nie pokazywał się ten komunikat??

Tego raczej nie da się zrobić. Chyba że chcesz wyłączyć skanowanie ruchu HTTP. Ale jak to zrobisz to wiry będą się dostawać do kompa bo nie będą blokowane na stronach. Niestety nie pamiętam gdzie wyłancza się skanowanie ruchu HTTP. Napewno gdzieś w ustawieniach skanera dostępowego Avast. Musisz sam tą opcję znaleść.

Co do loga , to chyba wszystko ok , lecz nie ciekawią mnie te 2 wpisy?

:-s

Trojan znajduje się w pliku wykonywalnym exe na stronie, a nie w Twom komputerze, gdyż dostęp został zablokowany przez antywira. Niewykluczone jest że było to fałszywy alarm Avasta który niestety dosyć często je generuje. Jeżli nie chcesz żeby ten komunikat się wyświetlał to nie wchodź na tą stronę 8) .

Ale w żadnym wypadku nie wyłączaj modułu ochrony rezdyntnej HTTP, możesz zmienić antywira na:

AntiVir PersonalEdition Classic 7 6.35.01.000

http://dobreprogramy.pl/index.php?dz=2&id=388&t=30

który niewiele ustępuje Avastowi i generuje o wiele mniej fałszywek.

Zgadzam się z fiesta ale decyzja należy do ciebie :slight_smile: Jak nazywa się ta feralna strona na której Avast wykrywa wirusa ??

właśnie chodzi o to że nie wiem co to za strona :? nawet jak nie surfuje po necie to tak się dzieje

przecież masz adres IP strony

to w czym problem wejśc na nią i sprawdzić ?

Ja już to robiłem. Pisze że nie mam uprawniem do dostępu do tego serwera.

to sterownik od myszy A4Tech. Zostaw ty to w spokoju.

Aeron

Na tej stronie jest wirus. Chyba nie chcesz go sobie wrzucić?

Chcesz sprawdzić skąd jest serwer

Użyj do tego celu darmowego programu

IP Locator. Dostajesz wszystkie informacje z ripe.net Jak się uprzesz możesz nawet tam zadzwonić :mrgreen:

hmmm… znazłem program expres IP locator jak wpisuje nr IP to wyskakuje błąd ze nie ma takiego numeru IP :confused:

Poczytaj o Optymilizacji systemu :wink:

Zablokuj ten adres w firewallu.

ze strony http://www.all-nettools.com/toolbox mam to:

85.255.112.0 - 85.255.127.255

Inhoster hosting company

OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

Andrei Kislizin

OOO Inhoster,

ul.Antonova 5, Kiev,

03186, Ukraine

+38 044 2404332

Fast Web Hosting Support

01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 201.

UA

+357 99 117759

support@fwebhost.com

ponadto masz w logu jeszcze to:

O17 - HKLM\System\CCS\Services\Tcpip…{0E067622-D7C0-4E51-A5C7-81CF8D87E98F}: NameServer = 85.255.114.11,85.255.112.234

O17 - HKLM\System\CCS\Services\Tcpip…{5F240573-D640-4FE9-9E0D-EDE538997A78}: NameServer = 85.255.114.11,85.255.112.234

O17 - HKLM\System\CCS\Services\Tcpip…{B80E10F8-E939-4171-BC59-2A3A1540C3C1}: NameServer = 85.255.114.11,85.255.112.234

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.234

O17 - HKLM\System\CS1\Services\Tcpip…{0E067622-D7C0-4E51-A5C7-81CF8D87E98F}: NameServer = 85.255.114.11,85.255.112.234

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.234

O17 - HKLM\System\CS2\Services\Tcpip…{0E067622-D7C0-4E51-A5C7-81CF8D87E98F}: NameServer = 85.255.114.11,85.255.112.234

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.11 85.255.112.234

To klucze podmiany DNSów. Wywal to w cholere.

Przydał by sie jeszcze log z SilentRunners

http://www.searchengines.pl/phpbb203/in … ntry207029

Inna sprawa, ze razem z systemem laduje sie kupa smieci(niepotzrebnych programów). Wypadaloby to zoptymalizowac, ale tona pozniej.

Pozdrawiam

Zablokowałem go antywirem i firewallem - już nie wyskakuje :mrgreen:

Dzięki za pomoc

Użyj programu Killbox

–> Uruchamiasz zaznaczasz Delete on reboot, w polu full path of file wklej ścieżkę :

C:\WINDOWS\system32\yooba.exe

Klikasz X i reset kompa. Wpis skoś hijackiem.

No i wywal ukraińskie DNS’y :