Chyba dość złożony problem, chyba związany z rootkitami

misql · 2 Grudzień 2006 14:41

Posiadam WinXP Professional i mam taki oto problem:

Wszedłem na jakąś stronkę i po chwili wyskoczyła mi masa błędów z aplikacją (aplikacja zostanie zamknięta) v3games.exe (nie mam pojęcia skąd to się wzięło, ale od tego zaczeły sie problemy i nie jestem na 100% pewny czy tak to się nazywało).

Następnie w trayu pojaiwla się ikonka “your computer are infected” i tapeta zmieniła się na czarną z tekstem mówiącym o infekcji.

Włączyłem więc CyberDefendera, aby przeskanował system, lecz nie zrobił tego do konca, pnoieważ po pewnym czasie komputer zrestartował się i pojawiło się okienko z wyborem użytkownika, gdy kliknąłem na swoją anzwę użytkownika zalogowało mnie, lecz dalej była ta tapeta i informacja o infekcji.

BitDefender miał wszystko wyodznaczane i w ogóle, po restarcie jednak BitDefender zaczął normalnie działać za wyjątkiem jendego problemu - użyłem do do przeskanowania, lecz zawsze zatrzymywał się na 41% w rejestrze Hkey(…)D:\Windows\EXPLORER.exe (niestety nie pamietam jak to było dokładnie, winde mam na D zianstalwoaną).

Okazał się też, że nie mogę wejść do menadżera zadań, pnoieważ dostęp został zablokowany przez administratora (na kompie był jeden użytkownik, ja, i w panelu sterowania miałem rangę “administrator”), zrobiłęm więc reseta i dałem na tryb awaryjny z obsługą sieci, przy okienku wyboru użytkownika okazało się, że jest jeszcze konto “Administrator”, więc wybrałem je i potem wszedłem w Panel Sterowania>Konta użytkowników i okazało się, że rzeczywiście są te dwa konta (ja i administrator), obydwa mające rangę “administrator”.

Potem przeskanowałem dysk Ad-Aware, wykrył trochę tego i usunął, lecz problemy nie ustąpiły.

Potem włączyłem gmera, wykrył natychmiast, ze na moim kompie siedzi rootkit, przeskanowałem cały system, looknąłem na to co na czerwono i wpisałem nazwę czerwonego pliku w google, znalazłem kilka komend z info o tym, aby przez gmera to usunąć i zrobiłem to, lecz z 4 komend 2 wykonane zostały nie prawidłowo, następnie nastąpił reste kompa, a ja nie włączyłem ponownie trybu awaryjnego, jedyną zmianą było to, że czarna tapeta się nie pojawiła, lecz przed ukazaniem się wszystkich ikonek i pasku startu była moja tapeta, następnie po pojawieniu się ikonek, paska startu itd. tapeta znikła i została zwykła, standardowa (u mnie pomarańczowa), do menadżera zadań nadal nie moglem wejść.

Wyłączyłem i włączyłem kompa jeszcze raz w trybie awaryjnym i włączyłem menadżera zadań (na awaryjnym się dało, bo przez to nowe konto administratora to robiłem) i zobaczyłem, że jest proces IEXPLORE.exe, że nie miałem włączonego IE to wyłączyłem proces, a on pojawił się ponownie i tak za każdym razem…

Jak włącze czasem w trybie zwykłym to BitDefender ciągle coś znajduje i blokuje (głównie trojany i jakieś boty), ale skanowania i tak nie mogę zrobić pełnego

Opisałem chyba dokłądnie co robiłem to teraz w skrócie opisze co jest nie tak:

Jak loguje się normalnie to nie ma konta “Administrator”, jest tylko moje konto zwykłe i nie mam wtedy dostępu do menadżera zadań.
Po wejściu w tryb awaryjny pojawia się to konto i jak je wybiorę widzę, że moje knoto i konto administrator ma rangę administratora.
Nie mogę wyłączyć procesu IEXPLORE.exe, ciągle pojawia się na nowo
Po wszystkich czynnościach jakie wykonałem gmer nie znajduje za pomocą rootkita nic podejrzanego, ale ciągle coś jest nie tak…
Komputer nie bedąc w trybie awaryjnym strasznie się tnie, nawet menu start otwiera się z minute, a normalnie było to w przeciagu 2s…, blokuje się wszystko
Zależy mi na tym, aby nie musieć robić kroku ostatecznego A bawię się z tym 6h szukając informacji na wielu forach i nic

marbed · 2 Grudzień 2006 15:50

Wklej logi z HJT i SR Tu jest instrukcja jak to zrobić

misql · 2 Grudzień 2006 15:57

Log z hijackthis:

Logfile of HijackThis v1.99.1 Scan saved at 16:48:50, on 2006-12-02 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE E:\Program Files\Mozilla Firefox\firefox.exe D:\WINDOWS\System32\ctfmon.exe C:\Program Files\Spik\Spik.exe D:\Program Files\Internet Explorer\iexplore.exe D:\Program Files\WinRAR\WinRAR.exe D:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Rar$EX02.689\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM…\Run: [sunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [bDNewsAgent] “C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe” O4 - HKLM…\Run: [bDSwitchAgent] “C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe” O4 - HKLM…\Run: [mspwr] D:\WINDOWS\System32\PuXpMan.exe O4 - HKLM…\Run: [bDOESRV] “C:\Program Files\Softwin\BitDefender9\bdoesrv.exe” O4 - HKLM…\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM…\Run: [Nord] D:\WINDOWS\System32\nordsys.exe O4 - HKLM…\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM…\Run: [ms] D:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\22498\gm.exe O4 - HKLM…\RunServices: [systemTools] D:\WINDOWS\System32\testtestt.exe O4 - HKLM…\RunServices: [systemTools32] D:\WINDOWS\System32\inet.exe O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v … b34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll O20 - Winlogon Notify: winsys2freg - D:\Documents and Settings\All Users\Dokumenty\Settings\winsys2f.dll O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - (no file) O21 - SSODL: BEKpmhlIf - {A022F1F9-0A88-5B53-6B74-704299A77BCE} - D:\WINDOWS\System32\vgr.dll O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: l1 - Unknown owner - D:\WINDOWS\system32\ll1.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - D:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - D:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Z SR nie moglem zroibć ponieważ wyskoczyło:

Gutek · 2 Grudzień 2006 16:39

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz l1

Wyłączyć Przywracanie systemu w XP TU
Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).
Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.
Skasować z dysku pliki i foldery, które podkreśliłem na czerwono
Dokończyć skanerami online - Skanery do wyboru
Pokazać nowy log

misql · 2 Grudzień 2006 20:32

Nie znalazłem testtestt.exe, winsys2f.dll, ll1.exe, a ineta skasowałem już wcześniej.

New log:

Logfile of HijackThis v1.99.1 Scan saved at 21:33:02, on 2006-12-02 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Internet Explorer\iexplore.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\ctfmon.exe E:\Program Files\Mozilla Firefox\firefox.exe E:\Program Files\CyberDefender\AntiSpyware\cdas5d.exe C:\Program Files\Spik\Spik.exe D:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Rar$EX00.799\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM…\Run: [sunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [bDNewsAgent] “C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe” O4 - HKLM…\Run: [bDSwitchAgent] “C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe” O4 - HKLM…\Run: [mspwr] D:\WINDOWS\System32\PuXpMan.exe O4 - HKLM…\Run: [bDOESRV] “C:\Program Files\Softwin\BitDefender9\bdoesrv.exe” O4 - HKLM…\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM…\Run: [spyHunter] D:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKLM…\RunServices: [systemTools] D:\WINDOWS\System32\testtestt.exe O4 - HKLM…\RunServices: [systemTools32] D:\WINDOWS\System32\inet.exe O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus … nicode.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v … b34246.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll O20 - Winlogon Notify: winsys2freg - D:\Documents and Settings\All Users\Dokumenty\Settings\winsys2f.dll O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - (no file) O21 - SSODL: BEKpmhlIf - {A022F1F9-0A88-5B53-6B74-704299A77BCE} - D:\WINDOWS\System32\vgr.dll (file missing) O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: l1 - Unknown owner - D:\WINDOWS\system32\ll1.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - D:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - D:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

adam9870 · 2 Grudzień 2006 20:39

Nie trzymaj hijcka w TEMPie bądź innym katalogu tymczasowym. Umieść go np. na pulpicie.

Start => uruchom => cmd => w konsoli, która się otworzy wpisz:

sc stop "l1"

sc delete "l1"

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

D:\WINDOWS\System32\testtestt.exe

D:\WINDOWS\System32\inet.exe

D:\Documents and Settings\All Users\Dokumenty\Settings\winsys2f.dll

D:\WINDOWS\system32\ll1.exe

Klikasz X czerwony i restart kompa (restart dopiero po usunięciu ostatniego pliku).

Usuń w hjt.

Co do problemu z Silentem - Użyj narzędzia noscript i zmień z disable na enable.

misql · 2 Grudzień 2006 21:29

D:\Documents and Settings\All Users\Dokumenty\Settings\winsys2f.dll

D:\WINDOWS\system32\ll1.exe

Te usunięte

D:\WINDOWS\System32\testtestt.exe

D:\WINDOWS\System32\inet.exe

Te nie znalezione…

W noscript do wyboru mam tylko disable i cancel, a dalej nie mogę użyć SR.

adam9870 · 2 Grudzień 2006 21:32

W takim razie kliknij disable - popróbuj z różnymi ustawieniami tak, aby chodziło.

misql · 2 Grudzień 2006 21:37

W porpzednim poście loga zapomniałem :oops:

C:\HijackThis.exe R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM…\Run: [sunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [bDNewsAgent] “C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe” O4 - HKLM…\Run: [bDSwitchAgent] “C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe” O4 - HKLM…\Run: [bDOESRV] “C:\Program Files\Softwin\BitDefender9\bdoesrv.exe” O4 - HKLM…\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM…\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM…\RunServices: [systemTools32] D:\WINDOWS\System32\inet.exe O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE O4 - HKCU…\Run: [WinMedia] “D:\DOCUME~1\Misiek\USTAWI~1\Temp\4531438065.exe " O4 - HKCU…\Run: [Key] D:\DOCUME~1\Misiek\USTAWI~1\Temp\4A.tmp O4 - HKCU…\Run: [WinUpdate] “D:\DOCUME~1\Misiek\USTAWI~1\Temp\4531501106.exe " O4 - HKCU…\Run: [taskdir] D:\WINDOWS\System32\taskdir.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus … nicode.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll O20 - Winlogon Notify: winsys2freg - D:\Documents and Settings\All Users\Dokumenty\Settings\winsys2f.dll (file missing) O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe” /service (file missing) O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - D:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe” /service (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - D:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Jak włączyłem SR to wyskoczyło mi pytanie za pomocą czego go uruchomić… a nie bardzo wiem, bo ma rozszerzenie vbs (jak się domyślać visualbasic).

adam9870 · 2 Grudzień 2006 21:41

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Ściągasz program KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:

D:\WINDOWS\System32\inet.exe

D:\WINDOWS\System32\taskdir.exe

Klikasz X czerwony i restart kompa (restart dopiero po usunięciu ostatniego pliku).

W trybie awaryjnym start => uruchom => cmd => wpisz:

RD /S /Q "C:\Documents and Settings\Misiek\Ustawienia lokalne\Temp"

Wpisy usuń w hjt.

Co do Silenta - zobacz TUTAJ.

misql · 2 Grudzień 2006 21:54

To musze robić w trybie awaryjnym??

This file does not seem to exist i jeden i drugi.

adam9870 · 2 Grudzień 2006 21:57

Najlepiej tak ale jeśli nie chcesz to użyj programu ATF Cleaner i nim przeczyść TEMP’a.

Plików może po prostu już nie ma, a tylko resztki w rejestrze więc spróbuj usunąć wpisy od nich w hjt i pokaż komplet logów.

misql · 2 Grudzień 2006 22:52

New log:

Logfile of HijackThis v1.99.1 Scan saved at 23:53:23, on 2006-12-02 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\ctfmon.exe D:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe D:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe D:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe C:\Program Files\Softwin\BitDefender9\bdoesrv.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Program Files\Softwin\BitDefender9\vsserv.exe E:\Program Files\Mozilla Firefox\firefox.exe C:\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - D:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL O4 - HKLM…\Run: [sunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [bDNewsAgent] “C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe” O4 - HKLM…\Run: [bDSwitchAgent] “C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe” O4 - HKLM…\Run: [bDOESRV] “C:\Program Files\Softwin\BitDefender9\bdoesrv.exe” O4 - HKLM…\Run: [bDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM…\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus … nicode.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - D:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - D:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - D:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Co do tego windows worms(…) to w nim tylko pierwsza pozycja była na zielono, a pozostałe 3 na żółto.

Gutek · 2 Grudzień 2006 22:53

Już jest Ok

misql · 2 Grudzień 2006 22:58

Ale dalej mam problem z menadżerem zadań i jak ładuje się windows to nie mgoę wybrać innego usera, a wiem, że jest dwóch, bo wirus stworzył drugiego i on nadal tkwi. W tej chwili jest Administrator, Misiek i wyłaczone konto gościa.

Gutek · 2 Grudzień 2006 23:03

Otwórz notatnik i wklej:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą TASKMG.REG

Plik podwójnie klikasz i potwierdzasz.

misql · 2 Grudzień 2006 23:21

No to gratki i podziękowania dla Was za usunięcie wirusa na odległość

Dzięki wielkie :!: