Czyżby wirusy?

Teddy · 13 Czerwiec 2004 20:30

Witam wszystkich :lol:

Ostatnio zauważyłem, że pojawiły mi się 2 nieznane pliki tzn.

(porzednio ich nie było; zaczynają się pojawiać, gdy podłączam się do NET’a :shock: )

WIN32SNC.exe

video_32D.exe

Usuwanie ich (msconfig, rejestr itd.)nie skótkuje!-pojawiją się na nowo :evil:

Jeżeli ktoś wie coś na temat tych plików niech napisze.

THX

lazikar · 13 Czerwiec 2004 20:36

A antyvirus albo adware 6 pokazują je po skanowaniu?? :?

Teddy · 13 Czerwiec 2004 20:44

Niestety NIE

NAV2004 nic (to samo Ad-Aware 6)

Glista · 13 Czerwiec 2004 21:04

wiesz nie wiem co to za pliki ale miałe podobne i usunąłem przez reinstalkę windowsa miałem problem z głowy

Phylby · 14 Czerwiec 2004 06:52

WIN32SNC.exe - trojan W32/Rbot-AI

http://www.sophos.com/virusinfo/analyses/w32rbotai.html

Sprawdz klucze :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = “N”

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = “1”

Ten drugi to chyba aplet java , może być grozna jak sam to nie instalowałeś.

Kolega Glista nas nie słuchał i poszedł na łatwizne robiąc format

http://skaner.mks.com.pl/

Teddy · 14 Czerwiec 2004 07:44

Mam te dwa ostatnie wpisy! - mam je skasować :lol: ??

Jawe sam instalowałem (plik: j2re-1_4_2_03-windows-i586-p-iftw)

Phylby · 14 Czerwiec 2004 08:44

Jakie dwa ostatmie ?Podaj konkrety i wartości.

w kluczach :

Nie ma wpisów WIN32SNC.exe albo jakiś innych lewych?

Trebron · 14 Czerwiec 2004 12:04

Jeśli wcześniej nie miałeś tych plików spróbuj je usunąć (najlepiejk w trybie awaryjnym). Następnie usuń wpisy z rejestru. Na wszeliki wypadek zrób kopie plików.

Teddy · 14 Czerwiec 2004 12:13

Mam te wpisy:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = “N”

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = “1”

(usunąłem je - ale zrobilem kopie zapasową rejestru)

Natomiast w:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

nic nieznanego nie ma!

Próbowałem także usunąć na awaryjnym ale NIC nie dało.

Lepiej chyba zrobie format - będzie szybciej :lol:

Phylby · 14 Czerwiec 2004 14:05

Przywruć zpowrotem:

EnableDCOM = “N” ( zostaw to N)

restrictanonymous = “1” ( 1 zmień na 0 zero)

Sprawdz jeszcze klucze:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

W kluczach:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

oraz

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

szukasz pozycji:

Default_Page_URL =

Default_Search_URL =

Search Bar =

Search Page =

Start Page = tu adres strony stsrtowej

Use Search Assistant = jeśli jest yes zmieniasz na no

W kluczach:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search

oraz

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search

szukasz pozycji

CustomizeSearch =

SearchAssistant =

Wszystko po znaku = kasujesz

W kluczu

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL

też powinno bć pusto.

Odwiedz jeszcze sksner online http://skaner.mks.com.pl/

Teddy · 14 Czerwiec 2004 15:32

Dzięki

Te zabiegi z rejestrem i MKS pomogły (na razie nic nie wyskakuje) :lol:

Phylby · 14 Czerwiec 2004 16:12

Usuń ręcznie ten plik WIN32SNC.exe jak jeszcze tego nie zrobiłeś .

Jak nie wiesz gdzie jest to wpisz nazwę w szukaj.

Teddy · 14 Czerwiec 2004 16:49

WIN32SNC.exe już nigdzie nie ma! :lol:

Za to pojawiły mi nowe :evil:

dds.exe

dbj.exe

wme.exe

eqm.exe

a tamten video_32D.exe czasami się pojawia.

A są może jakieś antywiry, które penetrują pamięć RAM ??

Phylby · 14 Czerwiec 2004 17:21

Jdz na http://www.spychecker.com/program/hijackthis.html

i zassaj HijackThis 1.97.7

Jak nie wiesz co nim usunąć(Fix checked) to wklej tu loga z niego ( save log)

Ten trojan głębiej siedzi albo juz zdążył pobrać następny.

Teddy · 14 Czerwiec 2004 17:33

Oto LOGA z Hijack’a

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NVIDIA Video drivers] video_32D.exe

O4 - HKLM…\RunServices: [NVIDIA Video drivers] video_32D.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra ‘Tools’ menuitem: Sun Java Console (HKLM)

O9 - Extra button: Badanie (HKLM)

Raczej nic grożnego w nich nie ma :?

Phylby · 14 Czerwiec 2004 17:50

Kolego to nie cały log. Interesuje mnie jeszcze

Running processes

Wyłącz przewracanie systemu

Usuń to :

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

Jak masz włączoną ochronę plików czy kopie zapasowe nortona ,czy jakaj to sie nazywa to wyłącz bo będzoie blokował.

O9 - Extra button: Badanie (HKLM) - to też

dds.exe

dbj.exe

wme.exe

eqm.exe

dlaczego nie podajesz ich lokalizacji?

Jeszcze raz sprawdz klucze co wczesniej podawałem.

Ten dds.exe pewinie siedzi wC:\documents and settings\bgleasman\local settings\temp\ddS.exe

Jak będziesz ukrywał to jak mam ci pomóc?

Inne pewnie gdzieś też siedzą tylko gdzie?

Marco · 14 Czerwiec 2004 17:56

MKS robi skan pamięci, wersja testowa do pobrania

http://www.dobreprogramy.pl/index.php?dz=2&t=&id=74&g=

Teddy · 15 Czerwiec 2004 07:41

Sorki zabrak dokładnych lokalizacji

Wszystkie pliki które wymieniłem siedziały w

C:\Windows\system32\

Oto pełna lista z Hijack’a:

Logfile of HijackThis v1.97.7

Scan saved at 09:34:13, on 2004-06-15

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\HijackThis.exe