Czyżby wirusy?


(Utsuri) #1

Witam wszystkich :lol:

Ostatnio zauważyłem, że pojawiły mi się 2 nieznane pliki tzn.

(porzednio ich nie było; zaczynają się pojawiać, gdy podłączam się do NET'a :shock: )

WIN32SNC.exe

video_32D.exe

Usuwanie ich (msconfig, rejestr itd.)nie skótkuje!-pojawiją się na nowo :evil:

Jeżeli ktoś wie coś na temat tych plików niech napisze.

THX


(lazikar) #2

A antyvirus albo adware 6 pokazują je po skanowaniu?? :?


(Utsuri) #3

Niestety NIE

NAV2004 nic (to samo Ad-Aware 6)


(Fliperf) #4

wiesz nie wiem co to za pliki ale miałe podobne i usunąłem przez reinstalkę windowsa miałem problem z głowy


(Adarek) #5

WIN32SNC.exe - trojan W32/Rbot-AI

http://www.sophos.com/virusinfo/analyses/w32rbotai.html

Sprawdz klucze :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"

Ten drugi to chyba aplet java , może być grozna jak sam to nie instalowałeś.

Kolega Glista nas nie słuchał i poszedł na łatwizne robiąc format

http://skaner.mks.com.pl/


(Utsuri) #6

Mam te dwa ostatnie wpisy! - mam je skasować :lol: ??

Jawe sam instalowałem (plik: j2re-1_4_2_03-windows-i586-p-iftw)


(Adarek) #7

Jakie dwa ostatmie ?Podaj konkrety i wartości.

w kluczach :

Nie ma wpisów WIN32SNC.exe albo jakiś innych lewych?


(Trebron) #8

Jeśli wcześniej nie miałeś tych plików spróbuj je usunąć (najlepiejk w trybie awaryjnym). Następnie usuń wpisy z rejestru. Na wszeliki wypadek zrób kopie plików. :smiley:


(Utsuri) #9

Mam te wpisy:

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1"

(usunąłem je - ale zrobilem kopie zapasową rejestru)

Natomiast w:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

nic nieznanego nie ma!

Próbowałem także usunąć na awaryjnym ale NIC nie dało.

Lepiej chyba zrobie format - będzie szybciej :lol:


(Adarek) #10

Przywruć zpowrotem:

EnableDCOM = "N" ( zostaw to N)

restrictanonymous = "1" ( 1 zmień na 0 zero)

Sprawdz jeszcze klucze:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

W kluczach:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

oraz

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

szukasz pozycji:

Default_Page_URL =

Default_Search_URL =

Search Bar =

Search Page =

Start Page = tu adres strony stsrtowej

Use Search Assistant = jeśli jest yes zmieniasz na no

W kluczach:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search

oraz

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search

szukasz pozycji

CustomizeSearch =

SearchAssistant =

Wszystko po znaku = kasujesz

W kluczu

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL

też powinno bć pusto.

Odwiedz jeszcze sksner online http://skaner.mks.com.pl/


(Utsuri) #11

Dzięki !!

Te zabiegi z rejestrem i MKS pomogły (na razie nic nie wyskakuje) :lol:


(Adarek) #12

Usuń ręcznie ten plik WIN32SNC.exe jak jeszcze tego nie zrobiłeś .

Jak nie wiesz gdzie jest to wpisz nazwę w szukaj. :smiley:


(Utsuri) #13

WIN32SNC.exe już nigdzie nie ma! :lol:

Za to pojawiły mi nowe :evil:

dds.exe

dbj.exe

wme.exe

eqm.exe

a tamten video_32D.exe czasami się pojawia.

A są może jakieś antywiry, które penetrują pamięć RAM ??


(Adarek) #14

Jdz na http://www.spychecker.com/program/hijackthis.html

i zassaj HijackThis 1.97.7

Jak nie wiesz co nim usunąć(Fix checked) to wklej tu loga z niego ( save log)

Ten trojan głębiej siedzi albo juz zdążył pobrać następny.


(Utsuri) #15

Oto LOGA z Hijack'a

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [NVIDIA Video drivers] video_32D.exe

O4 - HKLM..\RunServices: [NVIDIA Video drivers] video_32D.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

O9 - Extra button: Badanie (HKLM)

Raczej nic grożnego w nich nie ma :?


(Adarek) #16

Kolego to nie cały log. Interesuje mnie jeszcze

Running processes

Wyłącz przewracanie systemu

Usuń to :

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

Jak masz włączoną ochronę plików czy kopie zapasowe nortona ,czy jakaj to sie nazywa to wyłącz bo będzoie blokował.

O9 - Extra button: Badanie (HKLM) - to też

dds.exe

dbj.exe

wme.exe

eqm.exe

dlaczego nie podajesz ich lokalizacji?

Jeszcze raz sprawdz klucze co wczesniej podawałem.

Ten dds.exe pewinie siedzi wC:\documents and settings\bgleasman\local settings\temp\ddS.exe

Jak będziesz ukrywał to jak mam ci pomóc?

Inne pewnie gdzieś też siedzą tylko gdzie?


(Mkoziolek) #17

MKS robi skan pamięci, wersja testowa do pobrania

http://www.dobreprogramy.pl/index.php?dz=2&t=&id=74&g=


(Utsuri) #18

Sorki zabrak dokładnych lokalizacji :smiley:

Wszystkie pliki które wymieniłem siedziały w

C:\Windows\system32\

Oto pełna lista z Hijack'a:

Logfile of HijackThis v1.97.7

Scan saved at 09:34:13, on 2004-06-15

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

O9 - Extra button: Badanie (HKLM)

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 4579166667

(troche się zmienił - skanowałem ponownie)

Spróbuje też użyć tego skanera-zobaczymy co wydobędzie.


(Adarek) #19

Wyłącz w Symantec

O4 - HKLM..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

oraz

O9 - Extra button: Badanie (HKLM) , niewiem co to, na wszelki wypadek wywal.

Pozatym log czysty a te pliki co wczesniej podawałeś chyba nieszkodliwe,

pojawiają sie jeszcze?


(Utsuri) #20

Te pliki które podawałem narazie się nie pojawiają :-o

(w sumie nie były szkodliwe, bo odrazu je usuwałem :lol: )

wyjątek stanowi video_32D.exe - raz się uruchamia a raz nie!

(pomimo,że cały czas go usuwam z rejestru-na awaryjnym rzecz jasna)

Jak dotychczas żaden skaner nic nie wykrył :shock: (oby miały rację)