Co to jest to heur/malware


(Dj Robertus) #1

Chyba dobrze to napisałem ale jeśli nie to prosze o poprawienie mnie

Otóż mam taki problem że niedawno skanowałem komputer avirą i wyskoczyło mi okienko że znalazło wirusa Heur/Malware w E:\system volume information_restore{92A2CA28-4B52-4253-8B98-08EC7CE6D7B8}\RP275\A0057377.EXE

i nie wiem czy to jest coś groźnego można to jakoś usunąć?Bo bezpośrednio przez avire nie można?

Komputer ostatnio troche się cioł ale po resecie chodził dobrze,a i ostatnio znikła mi stacja dysków z mojego komputera ale po restarcie było dobrze.

Czekam na waszą pomoc


(Baldys15) #2

wrzuć loga z hijackthisa


(Joni987) #3

plik /system volume information jest chroniony przed otwarciem, zapisem itp. Do tego celu musisz zalogowac sie na konto administratora wybrac panel sterowania/opcje folderow/widok i odhaczyć opcje "uzyj prostego udostępniania plikow i folderow" oraz [odhaczyc] "ukryj chronione pliki systemu operacyjnego oraz wybrac opcje "pokaz ukryte pliki". Po wykonaniu tych czynnosci przechodzisz do woluminu w tym wypadku E:/ - moj komputer/e: i kliknij prawym na pliku system volume information/wlasciwosci/zabezpieczenia i zaznacz pelna kontrola, mozesz to zrobic dla wszystkich uzytkownikow (to nie ma znaczenia o ile po usunieciu virusa wykonasz odwrotnie te czynnosci [zabezpieczysz plik system volume information - nie jest zalecany otwarty dostep do tego pliku]) i daj OK. Zobacz czy plik sie teraz otwiera, poprostu wejdz na niego, jesli tak przeskanuj wystarczy tylko ten plik antywirem i usun wpis. Pzdr

Jezeli to nie pomoze sproboj oczyscic punkty przywracania systemu - moj komputer/e: - wlasciwosci/oczyszczanie dysku/wiecej opcji/przywracanie systemu - oczyść.


(Witos) #4

Heur/Malware oznacza że Heurystyka wykryła coś co wyglada na malware. A heurystyka to takie 'domyślanie się' czyli wykrywa pliki które wydaja sie podejrzane ale nie ma ich w bazie danych wirusów. Więc być może to nic groźnego, ale loga daj.


(huber2t) #5

Podaj logi z Hijackthis i Combofix


(Dj Robertus) #6

OK moge dać loga ale czy można zrobić loga z dysku E bo log to się robi z dysku z systemem a ja mam system na dysku C :?:


(huber2t) #7

Tak można zrobic log nie martw sie


(Dj Robertus) #8

Tak a w jaki sposób tak normalnie programem Hijackthis?


(huber2t) #9

Tak pokaż log


(Dj Robertus) #10

Log z HijackThis

Zrobiłem według instrukcji

Logfile of HijackThis v1.99.1

Scan saved at 13:06:32, on 2008-04-11

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\windows\Explorer.EXE

C:\windows\RTHDCPL.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\windows\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\VMSnap3.EXE

C:\WINDOWS\Domino.EXE

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\MagicTune Premium\GammaTray.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\SEC\Natural Color Pro\NCProTray.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\MagicTune Premium\MagicTuneEngine.exe

C:\windows\system32\nvsvc32.exe

C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE

C:\windows\system32\svchost.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\MagicTune Premium\MagicTune.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - E:\Program Files\ivo\Expressivo\integr\ih-iexplorer\IH_iexplorer.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.1121.2472\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll

O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - E:\Program Files\ivo\Expressivo\integr\ih-iexplorer\IH_iexplorer.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RemoteControl] C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Anti Mosquito] E:\Download\różne\Anti Mosquito.exe

O4 - HKLM\..\Run: [VMSnap3] C:\WINDOWS\VMSnap3.EXE

O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.EXE

O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)

O4 - HKLM\..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexe

O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "E:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [RocketDock] "E:\Program Files\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [Domowy Keylogger] C:\WINDOWS\System32\domowykeylogger.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: Client Default.lnk = E:\Program Files\Samurize\Client.exe

O4 - Global Startup: GammaTray.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: NCProTray.lnk = ?

O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O14 - IERESET.INF: START_PAGE_URL=about:blank

O16 - DPF: {631FF594-EC25-4CFF-B869-402DF294E1D6} (Instalator oprogramowania Onet.pl) - http://slimak.onet.pl/_m/kamerzysta/OnetInstalator012s.ocx

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab

O16 - DPF: {AB8638BB-79E8-4E9D-ABF2-8F33054E3941} (Guesser Class) - http://czat.onet.pl/client/kalambury/NetPunGame1.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: CaCCProvSP - Unknown owner - C:\Program Files\CA\CA Internet Security Suite\ccprovsp.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: MagicTuneEngine - Unknown owner - C:\Program Files\MagicTune Premium\MagicTuneEngine.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

Powiedzcie czy w ogóle dobrze zrobiłem tego loga


(huber2t) #11

Fix w hijackthis:

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\System32\domowykeylogger.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox

Logi dajesz na http://www.wklej.org


(Dj Robertus) #12

A do notatnika mam wkleić to File:: czy tylko samo c:\WINDOWS\System32\domowykeylogger.exe


(huber2t) #13

tez z file::


(Dj Robertus) #14

A nie można tego usunąć w tym hijackthis ? Czy trzeba przez ten combofix?


(huber2t) #15

Tak trzeba wykonaj moją wskazówkę


(Dj Robertus) #16

Jak przenosze ten CFScript.txt na ComboFix.exe to wyświetla mi się takie coś

Nie można zweryfikować wydawcy. Czy na pewno chcesz uruchomić to oprogramowanie

i mam do wyboru Uruchom i Anuluj

Mam to Uruchomić?


(huber2t) #17

Tak wybierz uruchom


(Dj Robertus) #18

Powinny się pokazywać jakieś ramki? bo mi się wyświetliło coś pisało po angielsku i miałem do wyboru tak albo nie jak wcisnąłem nie to mi zamkneło się wszytko jak wcisnołem tak to pokazała mi sie druga ramka i też było do wyboru tak albo nie. Czy to tak powinno być i ja mam tam wcisnąć wszędzie tak??


(Dj Robertus) #19

Jak przenosze CFScript.txt na combofix to pokazuje mi się takie coś post-83575-13856534046018_thumb.jpga później takie coś post-83575-13856534046552_thumb.jpg. I co ja mam tam zaznaczyć tak czy nie??


(huber2t) #20

Pisze wyraźnie że Tak