Dobrze znany BN7.tmp nie moge sie z nim uporac


(Xavierczyk) #1

Witam, jak w temacie posiadam wirus BN3.tmp BN7.tmp itd. Nie moge sobie z nim poradzic usuwałem z danych aplikacjii, reinstalowałem + format windows xp, jednak wraca niczym bummerang. Jeszcze powstają nowe procesy ( osjk8s.exe itp. ) jednak wiem że są wywołane tym procesem proszę o szybką pomoc ;]

A oto log z HijackThis:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 16:08:48, on 2012-05-07

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\osjk8s.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Vista Drive Icon\DrvIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\gerrin\Moje dokumenty\Pobieranie\TrueTransparency\TrueTransparency\TrueTransparency.exe

C:\Program Files\ViStart\ViStart.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\TEMP\BN8.tmp

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM\..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe

O4 - HKLM\..\Run: [vilaunch] C:\WINDOWS\system32\vilaunch.exe

O4 - HKLM\..\Run: [njlgsfwc] C:\WINDOWS\System32\njlgsfwc.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [TransBar] C:\Program Files\AKSoftware\TransBar\TransBar.exe /s

O4 - HKCU\..\Run: [TrueTransparency] "C:\Documents and Settings\gerrin\Moje dokumenty\Pobieranie\TrueTransparency\TrueTransparency\TrueTransparency.exe"

O4 - HKCU\..\Run: [ViStart] C:\Program Files\ViStart\ViStart.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: MouseDriver - Unknown owner - C:\WINDOWS\system32\config\systemprofile\Dane.exe (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


--

End of file - 2942 bytes

Sprawdzałem jeszcze na tej stronie log z hijackthis:

http://www.hijackthis.de/

Jeszcze raz prosze o pomoc.

OTL.txt :

http://wklej.org/id/748440/

Extras.txt :

http://wklej.org/id/748441/


(Atis) #2

Pokaż logi z OTL na wklej.org.


(Xavierczyk) #3

dodalem 2Up.


(Atis) #4

Do okna Własne opcje skanowania / skrypt wklej:

Kliknij Wykonaj skrypt i zatwierdź restart.

Wklej do OTL i kliknij Skanuj :

Pokaż ten log.

Dysk przeskanuj Dr.WEB CureIt

Jeżeli coś wykryje to wybierz opcję leczenia i zapisz raport:

Plik -> Zapisz listę raportu


(Xavierczyk) #5

log z otl po 2gim skanie:

http://wklej.org/id/748700/

a to log z tego skryptu: ( usuwanie tych procesów, niestety dalej są )

http://wklej.org/id/748702/


(Atis) #6

To może być Virut który infekuje wszystkie pliki wykonywalne.

Przeskanuj dysk Dr.WEB CureIt


(Xavierczyk) #7

pojawil się kolejny problem. Nie moge otworzyć Dr. web cure it, podczas wypakowywania wyswietla się takie coś:

screenka.png

i dalej nie wypakowuje bo jak sam błąd wskazuje nie może przeczytać pliku.


(Atis) #8

Skoro formatowałeś partycję systemową to zainfekowane pliki muszą być również na innych partycjach.

Spróbuj tego:

VirutKiller

FixVirut.

Jeżeli normalne skanery nie działają to pozostaje użyć skanera uruchomionego z bootowalnej płyty lub pendrive.

Płytę lub pendrive musisz utworzyć na komputerze który nie jest zainfekowany.

Dr.Web LiveCD:

http://freedrweb.com/livecd/?lng=en

Dr.Web LiveUSB:

http://www.freedrweb.com/liveusb/?lng=en

SARDU to kreator który pozwala utworzyć płytę lub pendrive z kilkoma skanerami:

http://www.sarducd.it/