r   e   k   l   a   m   a

jak tego sie pozbyc

Zaloguj się, aby obserwować  
Obserwujący 0

18 postów w tym temacie

Napisano

C:\WINDOWS\system32\mstscex.dll - prawdopodobnie odmiana Win32/TrojanDownloader.Agent trojan

C:\WINDOWS\system32\oleauth32.dll - prawdopodobnie odmiana Win32/TrojanDownloader.Agent trojan

C:\WINDOWS\system32\winlogon.exe - Win32/Patched.B wirus

C:\WINDOWS\system32\dllcache\winlogon.exe - Win32/Patched.B wirus

C:\WINDOWS\system32\drivers\kcp.sys - Win32/Agent.NHJ trojan

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

Logi podajemy w całości.

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

to był wynik z NODA32

a to jest log

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:09:45, on 2008-02-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Spark\Spark.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\TightVNC\WinVNC.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Opoznienia\OpoznieniaN.Exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.pkp.com.pl:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\googletoolbar1.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [crtfmon] C:\WINDOWS\sysdll.exe

O4 - HKCU\..\Run: [spark] C:\Program Files\Spark\Spark.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus ... nicode.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3F23E612-8ABC-4147-BA53-4403337F4836}: NameServer = 172.17.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{3F23E612-8ABC-4147-BA53-4403337F4836}: NameServer = 172.17.1.1

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\Program Files\TightVNC\WinVNC.exe

--

End of file - 4519 bytes

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
r   e   k   l   a   m   a

Napisano

nic sie nie zmieniło :(

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

tyle tego pakowac

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

Warto spróbować będą chronić twój komputer mają skaner rezydentny

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

a nod32 miał być dobry z kasperskim nie nialem takich problemow

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
r   e   k   l   a   m   a

Napisano

Jeden i drugi na swój sposób jest dobry a infekcji się niestety nie uniknie ,po prostu trzeba w internecie serfować z głową.

Przeskanowałeś ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

skanuje

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

nic sie nie zmieniło

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:44:41, on 2008-02-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\TightVNC\WinVNC.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\taskmgr.exe

C:\Program Files\Eset\nod32.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.pkp.com.pl:80

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\googletoolbar1.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\TightVNC\WinVNC.exe" -servicehelper

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [crtfmon] C:\WINDOWS\sysdll.exe

O4 - HKCU\..\Run: [spark] C:\Program Files\Spark\Spark.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus ... nicode.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3F23E612-8ABC-4147-BA53-4403337F4836}: NameServer = 172.17.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{3F23E612-8ABC-4147-BA53-4403337F4836}: NameServer = 172.17.1.1

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: VNC Server (winvnc) - Constantin Kaplinsky - C:\Program Files\TightVNC\WinVNC.exe

--

End of file - 4949 bytes

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

ciągle NOD wywala te same wiry co w 1 post wkleilem :(

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Na forum używamy polskich znaczków (ę, ą, ś, ż, ź, ć, ń, ł, ó).

Pozdrawiam Gutek2222

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350

Pobierz program SDFix


  • [*:2drcjchc]Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)
    [*:2drcjchc]Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)
    [*:2drcjchc]Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat
    [*:2drcjchc]Wciśnij Y nastąpi proces usuwania.
    [*:2drcjchc]Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
    [*:2drcjchc]Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.
    [*:2drcjchc]Pokaż Report.txt znajdujący się w folderze SDFix.

po tym - Daj log z ComboFix

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

POdmień z płyty windowsa plik C:\Windows\System32\winlogon.exe i C:\Windows\System32\dllcache\winlogon.exe

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

a to co zostało załatwiłem tak:

Uruchamiasz Gmer i wykonujesz te akcje:

* Przechodzisz do zakładki Procesy i klikasz w Zabij wszystko

* Przechodzisz do zakładki Pliki i kasujesz C:\WINDOWS\system32\winlogon.exe. Mimo, że SDFix tego nie pokazuje = sprawdź czy przypadkiem nie ma też pliku C:\WINDOWS\system32\dllcache\winlogon.exe (do kasacji).

* Następnie w zakładce Pliki podświetl plik C:\WINDOWS\ServicePackFiles\i386\winlogon.exe i kliknij w Kopiuj. Dostaniesz dialog zapisywania pliku. Plik zapisz pod nazwą winlogon.exe w katalogu C:\WINDOWS\system32. Sprawdź czy poprawnie się tam zapisze = bez tego pliku nie wejdziesz do Windows!

* Reset komputera.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

* Przechodzisz do zakładki Pliki i kasujesz C:\WINDOWS\system32\winlogon.exe. Mimo, że SDFix tego nie pokazuje = sprawdź czy przypadkiem nie ma też pliku C:\WINDOWS\system32\dllcache\winlogon.exe (do kasacji).

# Infected Winlogon.exe Found!

#

# Winlogon File Locations:

#

# "C:\WINDOWS\system32\winlogon.exe" 505344 2008-02-05 06:32

# "C:\WINDOWS\system32\dllcache\winlogon.exe" 505344 2008-02-05 06:32

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zaloguj się, aby skomentować

Będziesz mógł dodać komentarz po zalogowaniu się



Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0