Atak wirusów - sprawdzenie loga


(Tyleke) #1

Witam wszystkich Forumowiczów.

Temat oklepany już na forum , ale jestem nowy i nie znam się na tym na tyle by poradzić samemu .

Komp coś muli i obawiam się, że złapałem jakiegoś wirusa. Skanery nic nie wykazują ale...

Wcześniej miałem problem z zaginionym plikiem ibm00001.exe Z tym się już uporałem, ale pozostaje wciąż inny problem:

Komp startuje bez problemu. Po jakimś czasie z ekranu znikają wszystkie ikony, a jak już się pojawią to z paska zadań znika praktycznie wszystko oprócz godziny, ikony programu antywirusowego.

Proszę o sprawdzenie mojego loga.

Logfile of HijackThis v1.99.1

Scan saved at 10:19:56, on 2005-10-03

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\D-Link\Air Utility\AirCFG.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\crsss.exe

D:\Instal\ashDisp.exe

D:\Programy\Gadu-Gadu\Gadu-Gadu\gg.exe

D:\Instal\aswUpdSv.exe

D:\Instal\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

D:\Instal\ashWebSv.exe

D:\Instal\ashMaiSv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Oem\Ustawienia lokalne\Temp\Katalog tymczasowy 2 dla hijackthis.zip\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programy\Acrobat\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programy\Spyboat\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiy.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [D-Link Air Utility] C:\Program Files\D-Link\Air Utility\AirCFG.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

O4 - HKLM\..\Run: [avast!] D:\Instal\ashDisp.exe

O4 - HKLM\..\Run: [MSControl28] crsss.exe

O4 - HKLM\..\RunServices: [MSControl28] crsss.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Windows installer] drwatson32.exe -run C:\winstall.exe

O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programy\Office\OFFICE11\REFIEBAR.DLL

O16 - DPF: Notowania ONET - http://gielda.onet.pl/notowania.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Instal\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Instal\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Instal\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Instal\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: WZCBDL Service (WZCBDLService) - Unknown owner - C:\Program Files\WZCBDL Service\WZCBDLS.exe (file missing)

Z góry dziękuję za pomoc i pozdrawiam.


(Tyleke) #2

Dzięki za szybką odpowiedź. Tak jak wcześniej napisaełm skanery nic nie wykazują SpyBot także.

Przesyłam jeszcze raz log we właśniwym formacie

Logfile of HijackThis v1.99.1

Scan saved at 11:25:44, on 2005-10-03

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\D-Link\Air Utility\AirCFG.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\crsss.exe

D:\Instal\ashDisp.exe

D:\Programy\Gadu-Gadu\Gadu-Gadu\gg.exe

D:\Instal\aswUpdSv.exe

D:\Instal\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

D:\Instal\ashWebSv.exe

D:\Instal\ashMaiSv.exe

C:\WINDOWS\system32\ntvdm.exe

D:\Sierra\Arcanum\Arcanum.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Oem\Ustawienia lokalne\Temp\Katalog tymczasowy 3 dla hijackthis.zip\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\programy\Acrobat\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programy\Spyboat\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\WINDOWS\system32\appwiy.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [D-Link Air Utility] C:\Program Files\D-Link\Air Utility\AirCFG.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

O4 - HKLM\..\Run: [avast!] D:\Instal\ashDisp.exe

O4 - HKLM\..\Run: [MSControl28] crsss.exe

O4 - HKLM\..\RunServices: [MSControl28] crsss.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Windows installer] drwatson32.exe -run C:\winstall.exe

O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\Office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programy\Office\OFFICE11\REFIEBAR.DLL

O16 - DPF: Notowania ONET - http://gielda.onet.pl/notowania.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Instal\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Instal\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Instal\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Instal\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: WZCBDL Service (WZCBDLService) - Unknown owner - C:\Program Files\WZCBDL Service\WZCBDLS.exe (file missing)

(Przemoxmx) #3

powiem ci tak: komp ci muli bo jest duzo syfu na nim, zrob defragmentacje dyskow i wtedy powinien przyspieszyć

moze usun niektore aplikacje startujace ze systemem (usun z autostartu to co nie potrzebne) bedzie sie mniej uruchamiac przy starcie systemu i komp sie szybciej włączy


(Tyleke) #4

Ponownie dzięki za szybką reakcje.

Komp już nie muli. Napisałem wcześniej że muli ale od czasu jak zlikwidowałem wirusy i rozwiązałem problem z plikiem ibm00001.exe pracuje ok.

Jedynym problemem są znikające ikony z paska zadań.

Programy oczywiście działają. ale ikony znikają.

Jeśli mój log budzi zastrzeżenia i jest w nim coś niepokojącego, to czy możesz wskazać konkretne wpisy? Pozdrawiam

Złączono Posta : 02.10.2005 (Nie) 9:56

Mam pewne obawy jeśli chodzi o

oraz

to chyba wirusy?

Czy moje obawy są słuszne. Jak sie tego pozbyć jeśli anty-wir ich nie znajduje?

Czy wystarczy usunąć pliki ręcznie a potem usunąć wpisy w logu?


(Kuz5) #5

Co ty za bzdury piszesz :evil:

Czy ty nie widzisz że ma zasyfiony komp a druga sprawa nie znasz sie na tym to sie poprostu za to nie łap

To jest moja ostatnia uwaga zobacze jeszcze raz takie bzdurne posty to bez zwracania ci uwagi dostaniesz ostrzeżenie :evil:

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Pliki na czerwono usun programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\WINDOWS** tool2.exe**

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

I to samo robisz ze ścieżkami:

C:\WINDOWS\System32** crsss.exe**

C:** winstall.exe**

C:\WINDOWS\system32** appwiy.dll**

Dodatkowo POCZYTAJ o usuwaniu fałszywej tapety


(Tyleke) #6

Dzieki za konkrety kuz5. Widzę że potwierdziły się moje obawy jeśli chodzi o tool2.exe oraz crsss.exe Zabieram sie do roboty. Podeślę loga po czyszczeniu.

Pozdrawiam

Złączono Posta : 02.10.2005 (Nie) 13:47

kuz5, może to dziwne pytanie, ale pisząc

miałeś na myśli usunieciewpisów z lity loga, czy też usunięcie za pomocą progrmu KillBox. Być może to i to :?

Pytam, ponieważ po odpaleniu killbox’a wpisaniu właściwej ścieżki otrzymywałem następujący komunikat" …Data has been Removed by External Process" czyli że wskazane pliki zostały już wcześniej usunięte.

Przeszukałem właściwe foldery i pliki zaznaczone na czerwono nie istnieją.

Czy należy usunąć teraz wpisy w logu?


(Gutek) #7

Tak jeżeli nie masz juz ich to Ok

Dokładnie poczytaj: http://www.searchengines.pl/phpbb203/in … opic=31936 i zobacz na: Usuwanie fałszywej tapety SpySheriff / PSGuard