Czyżby wirusy?

dpe · 17 Czerwiec 2005 11:00

Proszę o sprawdzenie loga.Opera zaLogfile of HijackThis v1.99.1

Scan saved at 12:58:29, on 06/17/2005

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\SpywareGuard\sgmain.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\PROGRA~1\WINZIP\winzip32.exe

C:\Documents and Settings\Jacek Parzyszek\Ustawienia lokalne\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM…\Run: [spySweeper] “C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe” /startintray

O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM…\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM…\Run: [KonektorTP] “c:\program files\konektortp\konektortp.exe” tray

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= … lcid=0x409

O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/pl/big/1 … gleNav.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 … scan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/pl … taller.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{9393EA44-6BFC-47AD-BDF1-59E582EFB2DD}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirenKit\AVKService.exe (file missing)

O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirenKit\AVKWCtl.exe (file missing)

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

.LOGczeła wolniej chodzić.

boczi · 17 Czerwiec 2005 11:03

Wyczyść może cookie, cache w Operze.

Nie używasz juą AVK? Jeśli nie używasz, kasuj te procesy:

AVKService.exe

AVKWCtl.exe

Robisz to tak:

Otwierasz HijackThis -> Open the MicsTools section -> Delete an NT service -> i wklepujesz najpierw pierwszy proces, zatwierdzasz. Potem tak samo drugi.

dpe · 17 Czerwiec 2005 11:22

Nie chce się skasować.W programie Files jest taki folder CDRecordKit co to jest? W awaryjnym też się nie skasowało.

boczi · 17 Czerwiec 2005 11:27

To zrób to w trybie awaryjnym. [F8] w czasie bootowania komputera.

Otwierasz HijackThis -> Open the MicsTools section -> Delete an NT service -> i wklepujesz najpierw AVKService.exe , potem OK.

Z AVKWCtl.exe tak samo.

dpe · 17 Czerwiec 2005 11:44

Ten CDRecord ma takie napisy:ASPI Instalation Verification Adaptec http://www.adaptec.com

dpe · 17 Czerwiec 2005 14:40

pomóżcieScan started at 06/17/2005 16:15:12

Scanning memory…

Scanning boot sectors…

Scanning files…

C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious

C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected

C:\WINDOWS\system32\TFTP1868 - Backdoor:Win32/Sdbot.dam#2 -> Infected

Scanned

============================

Objects: 22779

Directories: 1802

Archives: 837

Size(Kb): -1038804

Infected files: 2

Found

============================

Viruses found: 2

Suspicious files: 1

Disinfected files: 0

Mail files: 213

Gutek · 17 Czerwiec 2005 14:44

Pocket Killbox Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz

ścieżkę C:\WINDOWS\autoclk.exe i C:\WINDOWS\system32\TFTP1868 Program poprosi o reset kompa … czyli resetujesz.

Oraz odinstaluj WinRAR i zainstaluj na nowo, ale zanim to zrobisz ręcznie skasuj po odinstalowaniu folder WinRAR

Wyjaśnienie bo zaraz OT poleci:

Ten plik od softu Sagem załatwisz poprzez zaptaszkowanie tego wpisu w HijackThis a potem skasowanie pliku z dysku. Ale on zbędny i skoro lokalizacja prawidłowa C:\WINDOWS\ autoclk.exe a mówi z ewirus nie szkodzi jak usuniesz

dpe · 17 Czerwiec 2005 16:03

Scan started at 06/17/2005 17:34:34

Scanning memory…

Scanning boot sectors…

Scanning files…

Scanned

============================

Objects: 22742

Directories: 1803

Archives: 836

Size(Kb): -1046793

Infected files: 0

Found

============================

Viruses found: 0

Suspicious files: 0

Disinfected files: 0

Mail files: 215

boczi · 17 Czerwiec 2005 16:05

Czyli jest OK. ;]

Gutek · 17 Czerwiec 2005 16:06

No udało się

Jak myślałem