Bitdefiner 9 - virusy pomocy

koszmos (Sebastian188) 2007-01-13 17:44:30 UTC #1

od niedawan mam oto tego antyvirusa i co troche wykrywa mi trojana av kiler w plikach windows/wep/explorer i w plike direct a tekże niemoże usunąć kilku virusów ( raport )

oto raort ze scanu

//	Product: BitDefender 9 Professional Plus

//	Version: 9.5

//

//	Utworzony na:	12/01/2007	23:17:31

//

//-----------------------------------------------------------------



Statystyki


Ścieżka skanowania	: C:\

Foldery	: 1534

Pliki	: 340014

Archiwa	: 4314 

Spakowane pliki	: 21030

Niezidentyfikowane wirusy	: 1

Zainfekowane pliki	: 0

Ostrzeżenia	: 0

Podejrzane pliki	: 6

Niezainfekowane pliki	: 0

Usunięte pliki	: 1

Przekopiowane pliki	: 0

Przeniesione pliki	: 0

Zmienione nazwy plików	: 0

I/O błędy	: 15

Czas skanowania	: 00:55:32

Prędkość skanowania (files/sec)	: 102


Statystyki spyware


Sprawdzone procesy pamięci	: 19

Zainfekowane procesy pamięci	: 0

Sprawdzone klucze rejestru : 1727

Zainfekowane klucze rejestru : 1

Sprawdzone cookies : 12

Zainfekowane cookies : 0

Pliki zainfekowane przez spyware : 0

Wykryte zagrożenia spyware	: 1



Sygnatury wirusów	: 399361

Skanuj pluginy	: 16

Pluginy Archiwa	: 41

Rozpakuj wtyczki	: 6

Prześlij wtyczki	: 6

Wtyczki systemowe	: 5


Opcje skanowania


Wykrycie

[X] Skanowanie boot sektorów

[X] Scanuj archiwa

[X] Scanuj spakowane pliki

[X] Scanuj email


Maska pliku

[] Programy

[X] Wszystkie pliki

[] Rozszerzenia zdefiniowanego użytkownika: 

[] Wyłączaj rozszerzenia: ;


Działanie


Zainfekowane obiekty

[] Pomiń

[X] Wylecz

[] Usuń

[] Kopiuj do kwarantanny

[] Przenieś do kwarantanny

[] Zmień nazwę

[] Użytkownik


Ponowne działanie

[] Pomiń

[] Usuń

[] Kopiuj do kwarantanny

[X] Przenieś do kwarantanny

[] Zmień nazwę

[] Użytkownik


Opcje skanowania

[X] Włącz ostrzeżenia

[X] Włącz heurystyki

[] Pokaż wszystkie pliki w log

[X] Plik raportu: C:\Program Files\Softwin\BitDefender9\Logs\vscan_1168640251.log


Opcje skanowania spyware


[X] Procesy pamięci

[X] Klucze rejestru

[X] Cookies



Podsumowanie:

=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\DIRECTZAFX\ImagePath=>C:\WINDOWS\SYSTEM32\DIRECTX.EXE	Podejrzane BehavesLike:Win32.AV-Killer
=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\DIRECTZAFX\ImagePath=>C:\WINDOWS\SYSTEM32\DIRECTX.EXE	kopiowanie zakończone niepowodzeniem
=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\DIRECTZAFX\DisplayName=>C:\WINDOWS\SYSTEM32\DIRECTX.EXE	Podejrzane BehavesLike:Win32.AV-Killer
=>HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\DIRECTZAFX\DisplayName=>C:\WINDOWS\SYSTEM32\DIRECTX.EXE	kopiowanie zakończone niepowodzeniem
=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\DIRECTZAFX\ImagePath=>C:\WINDOWS\SYSTEM32\DIRECTX.EXE	Podejrzane BehavesLike:Win32.AV-Killer
=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\DIRECTZAFX\ImagePath=>C:\WINDOWS\SYSTEM32\DIRECTX.EXE	kopiowanie zakończone niepowodzeniem
=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\DIRECTZAFX\DisplayName=>C:\WINDOWS\SYSTEM32\DIRECTX.EXE	Podejrzane BehavesLike:Win32.AV-Killer
=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\DIRECTZAFX\DisplayName=>C:\WINDOWS\SYSTEM32\DIRECTX.EXE	kopiowanie zakończone niepowodzeniem
=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\DIRECTZAFX\ImagePath=>C:\WINDOWS\SYSTEM32\DIRECTX.EXE	Podejrzane BehavesLike:Win32.AV-Killer
=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\DIRECTZAFX\ImagePath=>C:\WINDOWS\SYSTEM32\DIRECTX.EXE	kopiowanie zakończone niepowodzeniem
=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\DIRECTZAFX\DisplayName=>C:\WINDOWS\SYSTEM32\DIRECTX.EXE	Podejrzane BehavesLike:Win32.AV-Killer
=>HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET002\SERVICES\DIRECTZAFX\DisplayName=>C:\WINDOWS\SYSTEM32\DIRECTX.EXE	kopiowanie zakończone niepowodzeniem
=>HKEY_CLASSES_ROOT\MAGNET	Wykrytych: magne2t
=>HKEY_CLASSES_ROOT\MAGNET	Usunięte
	Uaktualnione 


a to ze HJ


Logfile of HijackThis v1.99.1

Scan saved at 18:48:21, on 2007-01-13

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\Mouse\Amoumain.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Softwin\BitDefender9\bdoesrv.exe

C:\progra~1\softwin\bitdef~1\bdnagent.exe

C:\progra~1\softwin\bitdef~1\bdswitch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Kalendarz XP\Kalendarz.exe

C:\Program Files\SAGEM WiFi manager\WLANUTL.exe

C:\WINDOWS\Web\explorer.exe

C:\Program Files\Java\jre1.5.0_10\bin\jucheck.exe

C:\Program Files\Spik\Spik.exe

C:\progra~1\softwin\bitdef~1\bdnews.exe

C:\progra~1\softwin\bitdef~1\bdnews.exe

C:\progra~1\softwin\bitdef~1\bdnews.exe

C:\progra~1\softwin\bitdef~1\bdnews.exe

C:\progra~1\softwin\bitdef~1\bdnews.exe

C:\progra~1\softwin\bitdef~1\bdnews.exe

C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe

C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

c:\progra~1\softwin\bitdef~1\bdmcon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\user\Pulpit\bezpieczeństwo\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"

O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe

O4 - Global Startup: SAGEM Wi-Fi 11g USB adapter LAN Utility.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: DirectX Service (DirectZafx) - Unknown owner - C:\WINDOWS\system32\directx.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Bieniol (Bbieniol) 2007-01-13 17:50:00 UTC #2

Start -> uruchom -> services.msc -> zatrzymaj i wyłącz usługe DirectX Service

Otwórz hijackthis -> open misc tools section -> delete a NT service -> wpisz DirectZafx i ok

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):

Po zabiegach nowy log z Hijacka + log z Silent Runners

koszmos (Sebastian188) 2007-01-13 18:07:12 UTC #3

jak daje żeby go wyłączyć ( DirectX Service ) to pisze tylko uruchom czyli że niejest wlączony a jak daje Hj i chce usunąć DirectZafx to wyskakuje

Bieniol (Bbieniol) 2007-01-13 18:14:29 UTC #4

Zrób wszystko, co napisałem dalej, a następnie wklej logi, o które prosiłem

koszmos (Sebastian188) 2007-01-13 18:34:59 UTC #5

logi z hj z silenta nimoge nawed włączyć bo pisze ze niema dostępy do jakiegoś scriptu

Logfile of HijackThis v1.99.1

Scan saved at 19:37:58, on 2007-01-13

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\PROGRA~1\Mouse\Amoumain.exe

C:\Program Files\Softwin\BitDefender9\vsserv.exe

C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

C:\Program Files\Softwin\BitDefender9\bdoesrv.exe

C:\progra~1\softwin\bitdef~1\bdnagent.exe

C:\progra~1\softwin\bitdef~1\bdswitch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Kalendarz XP\Kalendarz.exe

C:\Program Files\SAGEM WiFi manager\WLANUTL.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\user\Pulpit\bezpieczeństwo\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"

O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"

O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe

O4 - Global Startup: SAGEM Wi-Fi 11g USB adapter LAN Utility.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: DirectX Service (DirectZafx) - Unknown owner - C:\WINDOWS\system32\directx.exe (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Program Files\Sunbelt Software\CounterSpy\SBCSSvc.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Bieniol (Bbieniol) 2007-01-13 18:44:19 UTC #6

Otwórz notatnik i wklej w nim to:

Plik -> zapisz jako -> zmień rozszerzenie na wszystkie pliki -> zapisz pod nazwą FIX.BAT

W trybie awaryjnym odpal plik FIX.BAT i restart kompa

Po zabiegach nowe logi

Co do Silenta, to poczytaj tutaj -> http://www.searchengines.pl/phpbb203/in ... opic=15989

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem