Drizzit
(Vandaal)
27 Czerwiec 2006 18:22
#1
No wiec nie wlacza mi sie bearshare, wyskakuje jakis dziwny komunikat:
Oczywiscie po reinstalacji dalej nie idzie…
Przy ladowaniu systemu wyskakiwaly tez jakies warningi z avasta…
I pare jeszcze innych rzeczy ale teraz mi nie przychodza do glowy : ]
Oto log:P
Logfile of HijackThis v1.99.1
Scan saved at 20:24:58, on 2006-06-27
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\winamp.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\win32.exe
D:\WINDOWS\erf.exe
D:\Documents and Settings\Paweł\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe
C:\Program Files\BearShare\BearShare.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Winamp Agent] D:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\RunServices: [RPC Service] anyxqh.exe
O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft DNT Service] c:\windows\system32\msdntsrv.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4BDBDF5-3C92-40D9-8926-27509C687941}: NameServer = 217.30.129.149,217.30.137.200
O23 - Service: lsass Microsoft (lsass system) - Unknown owner - D:\WINDOWS\erf.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
O23 - Service: win32.exe - Unknown owner - D:\WINDOWS\win32.exe
btw. jak usuwac pliki do ktorych nie jest podana sciezka, albo ktorych nie widac w podanej sciezce??
pozdraawiam, i z gory dziekuje za odpowiedz : ]
Ściągnij Windows Woorms Door Cleaner , odpal>>>zmień wszystkie znaczki z disable na enable>>>po użyciu narzedzia wymagany jest reset kompa.
start>>>uruchom>>>services.msc>>>zatrzymaj i wyłącz usługi lsass Microsoft i win32.exe
1.Startujesz do trybu awaryjnego
2.Wyłanczasz przywracanie systemu (tylko Me/Xp)
3.Kasujesz wpisy w HijackThis
4.Kasujesz pogrubione pliki/foldery
5.Dajesz nowy log z hjt + log z Silent Runners
jakie ?
Drizzit
(Vandaal)
27 Czerwiec 2006 18:31
#3
Jestes pewien ze dziala ten link do Windows Woorms Door Cleaner’a?
Bo cos niechce sie stronka zaladowac…te warningi to bylo cos ze jakis program dokonal w avascie jakichs zmian i czy chce kontynuowac urachamianie go…albo cos kolo tego, teraz niepamietam dobrze;//
jak mam usunac te pliki, jesli nawet niewiem gdzie sa? sorki, ale ja sie zbytnio nie znam na tym ;d
Szukaj C:\Windows\system32 , C:\windows , lub mogłeś też użyć opcji wyszukiwania wbudowanego w windows
jestem pewien, przed chwilą sprawdzałem i załadował się bez problemu, możesz go również ściągnąć z vortalu.
Drizzit
(Vandaal)
27 Czerwiec 2006 19:41
#5
Eh…to log z hijacka po tych wszystkich probach…pewnie jest jeszcze gorzej niz bylo ;/
Logfile of HijackThis v1.99.1
Scan saved at 21:33:42, on 2006-06-27
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Documents and Settings\Paweł\Ustawienia lokalne\Temp\Katalog tymczasowy 5 dla hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Winamp Agent] D:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [VT100 Emulator] D:\WINDOWS\System32\VT100.EXE
O4 - HKLM\..\Run: [Windows Network Firewall] D:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4BDBDF5-3C92-40D9-8926-27509C687941}: NameServer = 217.30.129.149,217.30.137.200
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe
z silenta cos niemoge wygenerowac bo pojawia sie taki tekst:
juz niewiem co robic…
Myszak
(Myszonus)
27 Czerwiec 2006 19:56
#6
Ułaaaa
Jeśli to VT100 to przechlapane
Walka z VT100 na forum…
Skasuj wpis w Hjt a plik
Uruchamiasz narzędzie KillBox ,
zaznaczasz Delete on reboot, w polu full path of file wklej ścieżkę.
D:\WINDOWS\System32\firewall.exe
klikasz X i reset kompa.
co do silenta - ściągnij i zainstaluj WMI
Drizzit
(Vandaal)
27 Czerwiec 2006 20:11
#7
sciagnalem WMI ale jak probuje zainstalowac to pisze ze unsupported platform… -,-
czyli nieda sie nic z tym zrobic? co sie bedzie dzialo dalej z tym wirusem? trzeba robic formata i to z innej partycji zeby sie go pozbyc czy sa jakies inne sposoby?? bo nie rozumiem…
pozdro…
Myszak
(Myszonus)
27 Czerwiec 2006 20:13
#8
Poczytaj tutaj : http://www.gmer.net/vt100.exe.php?lang=pl
InfinityToJa:
Przeczytaj tutaj wypowiedzi użytkownika Gmer, masz skasować plik vt100.exe, wpisy i zapuścić kaspra w celu wyleczenia zainfekowanych plików, a jeśli nie wyleczy to musisz zrobić twardego formata całego dysku, ponieważ w tej chwili masz zainfekowane wszystki pliki .exe .scr …
olek96
(Olek96)
12 Lipiec 2006 14:20
#9
wiem jak usunąc vt100.exe.Jesli chcesz się dowiedzieć to anpisz sdo mnie pw. 8)
adam9870
(adam9870)
12 Lipiec 2006 14:37
#10
Nie wydaje mi się żeby to było to o czym myślisz :mrgreen: Proszę zobaczyć:
http://forum.dobreprogramy.pl/viewtopic.php?t=74205
Poza tym można tu zajrzeć i Gutek tam zaznaczył plik do skasowania :?
http://forum.dobreprogramy.pl/viewtopic.php?t=83313
Prawdę mówiąc to ten wpis jest ciekawy :mrgreen: