BlueScreeny po wirusach, nie mogę wejść w moje konto

ZnacieLeona · 14 Czerwiec 2007 16:30

Witam.

Używam teraz trybu awaryjnego, ponieważ gdy tylko wejdę na moje konto od razu jest reset.

Logi z HJ:

Logfile of HijackThis v1.99.1 Scan saved at 17:58:46, on 2007-06-14 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\Pawlito\Moje dokumenty\Pliki\Programy\Kodeki i programy\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.daminet.pl/daminet.pac R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programy\Adobe Reader\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\Programy\BitComet\tools\BitCometBHO.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Programy\Free Download Manager\iefdmcks.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM…\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe” O8 - Extra context menu item: Download all links using BitComet - res://E:\Programy\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://E:\Programy\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://E:\Programy\BitComet\BitComet.exe/AddLink.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - E:\Programy\Ares\chatServer.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing) O23 - Service: Virtual IR COM Port, Service Program (IrCOMM2kSvc) - Jan Kiszka - C:\WINDOWS\System32\ircomm2k.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Silent Runners:

“Silent Runners.vbs”, revision R50, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} “visin” = “C:\WINDOWS\System32\visin.exe” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “NvCplDaemon” = “RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup” [MS] “nwiz” = “nwiz.exe /install” [“NVIDIA Corporation”] “NeroCheck” = “C:\WINDOWS\System32\NeroCheck.exe” [“Ahead Software Gmbh”] “AVP” = ““C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe”” [“Kaspersky Lab”] HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}(Default) = (no title provided) \StubPath = ““C:\WINDOWS\System32\rundll32.exe” “C:\Program Files\Messenger\msgsc.dll”,ShowIconsUser” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided) -> {HKLM…CLSID} = “AcroIEHlprObj Class” \InProcServer32(Default) = “E:\Programy\Adobe Reader\ActiveX\AcroIEHelper.dll” [“Adobe Systems Incorporated”] {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}(Default) = “BitComet ClickCapture” -> {HKLM…CLSID} = “BitComet Helper” \InProcServer32(Default) = “E:\Programy\BitComet\tools\BitCometBHO.dll” [null data] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided) -> {HKLM…CLSID} = “SSVHelper Class” \InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll” [“Sun Microsystems, Inc.”] {CC59E0F9-7E43-44FA-9FAA-8377850BF205}(Default) = (no title provided) -> {HKLM…CLSID} = “FDMIECookiesBHO Class” \InProcServer32(Default) = “E:\Programy\Free Download Manager\iefdmcks.dll” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{1CDB2949-8F65-4355-8456-263E7C208A5D}” = “Eksplorator pulpitów” -> {HKLM…CLSID} = “Eksplorator pulpitów” \InProcServer32(Default) = “C:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A47}” = “Desktop Explorer Menu” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”] “{2B3453E4-49DF-11D3-8229-0080BE509050}” = “GMail Drive” -> {HKLM…CLSID} = “GMail Drive” \InProcServer32(Default) = “C:\WINDOWS\System32\ShellExt\GMailFS.dll” [“Bjarke Viksoe”] “{2B3453E4-49DF-11D3-8229-0080BE509052}” = “GMailFS Property Sheet” -> {HKLM…CLSID} = “GMailFS Property Sheet” \InProcServer32(Default) = “C:\WINDOWS\System32\ShellExt\GMailFS.dll” [“Bjarke Viksoe”] “{2B3453E4-49DF-11D3-8229-0080BE509054}” = “GMailFS Drop Handler” -> {HKLM…CLSID} = “GMailFS Drop Handler” \InProcServer32(Default) = “C:\WINDOWS\System32\ShellExt\GMailFS.dll” [“Bjarke Viksoe”] “{2B3453E4-49DF-11D3-8229-0080BE509056}” = “GMailFS Context Menu” -> {HKLM…CLSID} = “GMailFS Context Menu” \InProcServer32(Default) = “C:\WINDOWS\System32\ShellExt\GMailFS.dll” [“Bjarke Viksoe”] “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “E:\Programy\WinRAR\rarext.dll” [null data] “{ABC70703-32AF-11d4-90C4-D483A70F4825}” = “CMenuExtender” -> {HKLM…CLSID} = “CMenuExtender” \InProcServer32(Default) = “C:\WINDOWS\BricoPacks\Vista Inspirat\iColorFolder\CMExt.dll” [“Revenger inc.”] “{32020A01-506E-484D-A2A8-BE3CF17601C3}” = “AlcoholShellEx” -> {HKLM…CLSID} = “AlcoholShellEx” \InProcServer32(Default) = “E:\Programy\ALCOHO~1\ALCOHO~1\AXShlEx.dll” [“Alcohol Soft Development Team”] “{ED65AC21-B24F-11d3-BA80-00C0CA16AA37}” = “Siemens Device” -> {HKLM…CLSID} = “Siemens Device” \InProcServer32(Default) = “C:\Program Files\Mobile Phone Manager\DES\DESShellExt.dll” [null data] “{ED65AC22-B24F-11d3-BA80-00C0CA16AA37}” = “Siemens Device ContextMenuHandler” -> {HKLM…CLSID} = “Siemens Device ContextMenuHandler” \InProcServer32(Default) = “C:\Program Files\Mobile Phone Manager\DES\DESShellExt.dll” [null data] “{ED65AC23-B24F-11d3-BA80-00C0CA16AA37}” = “Siemens SX1 PropertySheetHandler” -> {HKLM…CLSID} = “Siemens Device PropertySheetHandler” \InProcServer32(Default) = “C:\Program Files\Mobile Phone Manager\DES\DESShellExt.dll” [null data] “{cc86590a-b60a-48e6-996b-41d25ed39a1e}” = “Portable Media Devices Menu” -> {HKLM…CLSID} = “Portable Media Devices Menu” \InProcServer32(Default) = “C:\WINDOWS\System32\Audiodev.dll” [MS] “{85E0B171-04FA-11D1-B7DA-00A0C90348D6}” = “Statystyki ochrony WWW” -> {HKLM…CLSID} = “Statystyki ochrony WWW” \InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll” [“Kaspersky Lab”] HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\ “load” = (value not set) HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <> klogon\DLLName = “C:\WINDOWS\System32\klogon.dll” [“Kaspersky Lab”] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}(Default) = “PDF Column Info” -> {HKLM…CLSID} = “PDF Shell Extension” \InProcServer32(Default) = “E:\Programy\Adobe Reader\ActiveX\PDFShell.dll” [“Adobe Systems, Inc.”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\ShellEx.dll” [“Kaspersky Lab”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “E:\Programy\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ CMenuExtender(Default) = “{ABC70703-32AF-11d4-90C4-D483A70F4825}” -> {HKLM…CLSID} = “CMenuExtender” \InProcServer32(Default) = “C:\WINDOWS\BricoPacks\Vista Inspirat\iColorFolder\CMExt.dll” [“Revenger inc.”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “E:\Programy\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Kaspersky Anti-Virus(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\ShellEx.dll” [“Kaspersky Lab”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “E:\Programy\WinRAR\rarext.dll” [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} “undockwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “C:\Documents and Settings\Pawlito\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\Documents and Settings\Pawlito\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Autostart via AUTORUN.INF on local fixed drives: ------------------------------------------------ E:\ <> E:\AUTORUN.INF -> “open=SysAuto.exe” [file not found] <> E:\AUTORUN.INF -> “shellexecute=SysAuto.exe” [file not found] Enabled Scheduled Tasks: ------------------------ “Kalwi & Remi - Explosion” -> launches: “C:\Documents and Settings\Pawlito\Moje dokumenty\Moja muzyka\Kalwi & Remi\Kalwi & Remi - Explosion.mp3” [null data] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 12 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID{85E0B171-04FA-11D1-B7DA-00A0C90348D6}(Default) = “Statystyki ochrony WWW” Implemented Categories{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll” [“Kaspersky Lab”] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ “MenuText” = “Sun Java Console” “CLSIDExtension” = “{CAFEEFAC-0015-0000-0011-ABCDEFFEDCBC}” -> {HKCU…CLSID} = “Java Plug-in 1.5.0_11” \InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll” [“Sun Microsystems, Inc.”] -> {HKLM…CLSID} = “Java Plug-in 1.5.0_11” \InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll” [“Sun Microsystems, Inc.”] {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\ “ButtonText” = “Statystyki ochrony WWW” All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}): --------------------------------------------------------------------------- Ares Chatroom server, AresChatServer, “E:\Programy\Ares\chatServer.exe” [“Ares Development Group”] Karta wydajności WMI, WmiApSrv, “C:\WINDOWS\System32\wbem\wmiapsrv.exe” [MS] Kaspersky Anti-Virus 6.0, AVP, ““C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe” -r” [“Kaspersky Lab”] NVIDIA Driver Helper Service, NVSvc, “C:\WINDOWS\System32\nvsvc32.exe” [“NVIDIA Corporation”] Portable Media Serial Number Service, WmdmPmSN, “C:\WINDOWS\System32\svchost.exe -k netsvcs” {“C:\WINDOWS\System32\MsPMSNSv.dll” [MS]} Remote Packet Capture Protocol v.0 (experimental), rpcapd, ““C:\Program Files\WinPcap\rpcapd.exe” -d -f “C:\Program Files\WinPcap\rpcapd.ini”” [file not found] Usługa administracyjna Menedżera dysków logicznych, dmadmin, “C:\WINDOWS\System32\dmadmin.exe /com” [“Microsoft Corp., Veritas Software”] Virtual IR COM Port, Service Program, IrCOMM2kSvc, “C:\WINDOWS\System32\ircomm2k.exe” [“Jan Kiszka”] Windows User Mode Driver Framework, UMWdf, “C:\WINDOWS\System32\wdfmgr.exe” [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzsnt08\Driver = “hpzsnt08.dll” [“HP”] ---------- <>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer “No” at the first message box and “Yes” at the second message box. ---------- (total run time: 1462 seconds, including 16 seconds for message boxes)

Mam kilka podejrzanych wpisów lecz wolałby je z wami zobaczyć

Złączono Posta : 14.06.2007 (Czw) 22:21

Sprawa ma się dość dziwnie, ponieważ konto Gość (z którego pochodziły wszystkie wirusy) działa normalnie. Natomiast moje nie daje się używać, albowiem po ok. 5 sec. jest BS i restart. W trybie awaryjnym wszystko działa poprawnie, jednak praca na takiej częstotliwości monitora na dłuższą metę jest niemożliwa.

Dla osoby, która mi pomoże przewiduję punkt pomógł

qrczak13 · 14 Czerwiec 2007 21:43

Przeskanuj na http://www.virustotal.com/vt/ i wklej raport po skanowaniu.

Poza tym nic więcej nie widać.

Do notatnika wklej:

Plik > zapisz jako > zmień rozszerzenie z .txt na wszystkie pliki > zapisz pod nazwą Fix.reg np na

pulpicie > dwuklik na Fix.reg > potwierdzasz > restart.

ZnacieLeona · 14 Czerwiec 2007 22:06

Mam to pobrać? Ten VirusTotal czy coś na tej jest stronce w stylu online skanerów? :oops:

Szukajka mi nie działa więc nie mogę znaleźć opisu stronki, ale dałem przeglądaj i tego pliku nie można znaleźć.

Złączono Posta : 14.06.2007 (Czw) 23:16

Być może to był wirus i usunąłem go Kasperskym. Bo już chyba wiem o co chodzi ze skanerem, ale pliku nie ma.

qrczak13 · 14 Czerwiec 2007 22:32

Tak, chodziło o upload pliku i skan.

Zobacz jeszcze kod BS i opis pod nim.

Start > uruchom > cmd

chkdsk c: /f /r

Niech przeskanuje na błędy na dysku.

ZnacieLeona · 15 Czerwiec 2007 13:53

Zrobione

Zrobione, nic.

Złączono Posta : 15.06.2007 (Pią) 17:06

Znów mi zmieniła się data na 2087r :o Przez to licencja na Kasperskym wygasa Cofnąłem czas do 07 i działa. Znów wirusy Było używane konto Gość przez siostrę i znów coś nie tak ;/

Złączono Posta : 15.06.2007 (Pią) 17:36

Znów mam 28 wirusów ;/ Nie wiem jak skąd się wzięły bo było już czysto :?

Złączono Posta : 15.06.2007 (Pią) 18:58

Nie idzie tego wywalić. Gdy podłącze do sieci, momentalnie ściąga trojany.

m.in.:

Złączono Posta : 15.06.2007 (Pią) 20:22

Trochę się poprawiło teraz bo jest tylko ten pierwszy ;/

Lecz nadal nie mogę tego dziadostwa całkowicie wywalić ;/

Może jakiś mocny anty anty? Jakieś propozycje?

adam9870 · 15 Czerwiec 2007 21:04

Pozamykaj porty robakom. W tym celu użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Pobierz i odpal program ATF Cleaner >>> zaznacz Empty Selected >>> poczekaj chwilkę na pojawienie się pewnej informacji >>> ponownie kliknij Empty Selected >>> uruchom ponownie komputer.

Wrzuć log z ComboFix. Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.

Ewentualnie zerknij tutaj:

http://support.microsoft.com/kb/813818/pl

ZnacieLeona · 15 Czerwiec 2007 21:23

Więc po wielu stoczonych bojach udało mi się chyba wyrzucić te virusy

Zrobiłem tak:

Wszedłem w tryb awaryjny (Kasperski nie działa tam w pełni) dałem inne priorytety zabezpieczeń dla Gość. Zalogowałem się na Gość (w trybie normalnym, tam nie było błędów) Zrobiłem kilka razy skana Kasperskym, usunąłem trojany (tylko 2 były). I tutaj qurczak miałeś dobre podejrzenia co do visin.exe, to był trojan (tylko z konta Gość udało się usunąć). Zalogowałem się następnie jeszcze raz w trybie awaryjnym na swoim koncie (usunąłem wszystkie viry). Teraz jestem już na swoim koncie i póki co nie zanosi się na BS-a

Jeszcze nigdy nie spotkałem się z tak uporczywymi wirusami, gdy któryś usunąłem, za chwile pojawiała się kopia (sieć miałem włączoną). Wył sieć i stały w miejscu tzn można było próbować usuwać jednak za chwile atakowały inne konta na PC.

Przyczyną zassania tego świństwa mogły być gry online, w które grała moja siostra (niektóre wirusy miały w nazwie lub opisie Online Games)

Jeżeli coś nie będzie działać to wypróbuje sposób adam’a.

Nie widzę niestety punktów, ani pochwał itp (jeśli są to proszę mnie oświecić). więc muszą wystarczyć wam moje słowa Dziękuję za zainteresowanie tematem, a także waszą pomoc

Gutek · 15 Czerwiec 2007 21:41

miałeś dać log z Combo

ZnacieLeona · 16 Czerwiec 2007 08:54

ok

ComboFix 07-06-13.3 - C:\Documents and Settings\Pawlito\Pulpit\ComboFix.exe “Pawlito” - 2007-06-16 10:38:47 - Dodatek Service Pack. 1 NTFS ((((((((((((((((((((((((( Files Created from 2007-05-16 to 2007-06-16 ))))))))))))))))))))))))))))))) 2007-06-16 10:10 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-15 20:51 2007-06-14 15:38 2007-06-14 14:49 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT 2007-06-14 14:49 2007-06-14 14:49 2007-06-14 14:49 2007-06-14 14:49 2007-06-14 14:49 2007-06-14 14:49 2007-06-14 14:49 2007-06-13 18:11 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-06-13 18:11 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-06-12 17:54 86,016 --a------ C:\WINDOWS\system32\rpcapd.exe 2007-06-12 17:54 6,656 --a------ C:\WINDOWS\system32\NetMonInstaller.exe 2007-06-12 17:54 49,152 --a------ C:\WINDOWS\system32\npf_mgm.exe 2007-06-12 17:54 49,152 --a------ C:\WINDOWS\system32\daemon_mgm.exe 2007-06-07 21:57 2007-06-06 15:56 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll 2007-06-06 15:56 150,528 --a------ C:\WINDOWS\system32\ptpusd.dll 2007-06-06 15:56 14,208 --a------ C:\WINDOWS\system32\drivers\usbscan.sys 2007-06-03 15:14 2007-06-03 15:13 2007-06-03 12:57 545 --a------ C:\WINDOWS\UC.PIF 2007-06-03 12:57 545 --a------ C:\WINDOWS\RAR.PIF 2007-06-03 12:57 545 --a------ C:\WINDOWS\PKZIP.PIF 2007-06-03 12:57 545 --a------ C:\WINDOWS\PKUNZIP.PIF 2007-06-03 12:57 545 --a------ C:\WINDOWS\NOCLOSE.PIF 2007-06-03 12:57 545 --a------ C:\WINDOWS\LHA.PIF 2007-06-03 12:57 545 --a------ C:\WINDOWS\ARJ.PIF 2007-05-29 19:33 2007-05-25 15:20 2007-05-22 16:16 2007-05-17 19:41 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2087-06-13 15:59:33 -------- d-----w C:\Program Files\Kaspersky Lab 2007-06-16 08:38:51 70,658 ----a-w C:\WINDOWS\system32\perfc015.dat 2007-06-16 08:38:51 416,852 ----a-w C:\WINDOWS\system32\perfh015.dat 2007-06-15 16:12:21 1,664 ----a-w C:\WINDOWS\system32\drivers\usbinte.sys 2007-06-03 17:07:03 -------- d-----w C:\DOCUME~1\Pawlito\DANEAP~1\gtk-2.0 2007-05-22 14:17:26 -------- d-----w C:\Program Files\InstallShield Installation Information 2007-05-13 16:00:12 -------- d-----w C:\Program Files\Creative 2007-05-13 15:54:58 -------- d-----w C:\Program Files\Codemasters 2007-05-10 14:17:48 5 ----a-w C:\WINDOWS\ulubione.dat 2007-05-10 14:17:48 0 ----a-w C:\WINDOWS\aqqas.dat 2007-05-01 12:36:20 47,744 ----a-w C:\WINDOWS\system32\drivers\avbe.sys 2007-05-01 12:36:20 24,192 ----a-w C:\WINDOWS\system32\drivers\avsd.sys 2007-05-01 12:33:55 -------- d-----w C:\Program Files\SMTK 2007-04-21 17:08:10 -------- d-----w C:\DOCUME~1\Pawlito\DANEAP~1\Gadu-Gadu 2007-04-21 17:08:02 -------- d-----w C:\Program Files\Gadu-Gadu 2007-03-19 22:02:01 796,672 ----a-w C:\WINDOWS\GPInstall.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=E:\Programy\Adobe Reader\ActiveX\AcroIEHelper.dll [2005-09-24 07:12] {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=E:\Programy\BitComet\tools\BitCometBHO.dll [2007-01-11 17:05] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 04:23] {CC59E0F9-7E43-44FA-9FAA-8377850BF205}=E:\Programy\Free Download Manager\iefdmcks.dll [2006-08-20 20:55] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “nwiz”=“nwiz.exe” [2003-05-14 13:16 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS.default\software\microsoft\windows\currentversion\runonce] “RunNarrator”=Narrator.exe Contents of the ‘Scheduled Tasks’ folder 2007-06-14 04:49:22 C:\WINDOWS\tasks\Kalwi & Remi - Explosion.job ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-16 10:41:30 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … ? [2608] scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-16 10:42:15 C:\ComboFix-quarantined-files.txt … 2007-06-16 10:42 — E O F —

Gutek · 16 Czerwiec 2007 13:36

do usunięcia

Dokończyć skanerami online - Skanery do wyboru

ZnacieLeona · 17 Czerwiec 2007 09:00

Gutek2222 , jesteś pewien że mam to usunąć? W tym folderze znajdują się pliki Emulatora telefonu.

Więc sprawa ma się dziwnie, ponieważ wirusy znów wróciły, takie same. Wróciły po użytkowaniu konta Gość. Jeżeli wyłączę to konto i usunę wszystkie pliki, nie będą wracać?

Złączono Posta : 17.06.2007 (Nie) 10:47

Teraz nawet na moje konto się pobierają. Kaspersky je blokuje cały czas. Wystarczy że mam sieć włączoną i już idą ;/

Złączono Posta : 17.06.2007 (Nie) 10:57

Przyczyną może być IE, przy wyłączaniu komputera zobaczyłem włączoną przeglądarkę i same błędy, jakieś dziwne znaczki. To na pewno przez IE. Ja używam FF, moja siostra IE. Lecz jest problem bo to wszystko się włącza samo. IE nie można wywalić z systemu, jak go zainstalować jeszcze raz, lub coś zrobić aby się to nie powtarzało?

Złączono Posta : 17.06.2007 (Nie) 13:23

Zmieniłem ścieżkę do iexplore, nic się nie ściąga bo nie wie gdzie się podział IE :badgrin: Oczywiście to doraźne środki aha na pulpicie gdy był IE pojawiał się co chwilę plik microsoft.exe (albo .bat, nie pamiętam ) Jak usunąć te pliki w kwarantannie w ComboFix?

Gutek · 18 Czerwiec 2007 14:03

Pobierz program SDFix