Gdzie ten wirus?


(Mete3ro) #1

Od kilku reinstalek staram sie zlokalizowac problem z moim kompem otoz

po kazdej reinstalce (czyt. 4/5) dzieje sie to samo ... przy pierwszych uruchomieniach z czystym systemem wywalaja mi komunikaty z systemowego "posłanca" ze niby to mam zwalony rejestr i nizej link to strony ktora mi go "naprawi" :smiley: ( za kazdym razem inny link)

drugi problem tez od kilku reinstalek ze co drugi reset kompa nie dziala wogole mysz i klawiatura

formatowalem juz dysk i biosa ... robilem skany chyba ze trzema antywirami z najnowsza baza i nadal nie mam pojecia co sie dzieje :?

z gory thx za pomoc/pomysły


(Bażant) #2

Wrzuć loga z Hijack This, przeskanuj Ad-Aware oraz zainstaluj do stałej ochrony MS AntiSpyware przeciwko wszelkiego rodzaju śmieciami, szpiegami...


(Kojot) #3

Czy to przypadkiem nie boot wirus ??

Jeśli robił format to musi być coś co siedzi głębiej.

Jeśli chodzi o klawiature i mysz to może być wina np. sterowników.


(Mete3ro) #4

Bazant u mnie non-stop chodzi avast i sygate fajerłal

log :

Logfile of HijackThis v1.99.0

Scan saved at 21:51:47, on 2005-07-09

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\sstray.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Globe Software\StatBar\StatBar.exe

C:\Gadu-Gadu\gg.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Opera\Opera.exe

C:\Program Files\Tibia\Tibia.exe

E:\1st Folder\Programy\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts: 200.80.43.9 aquasonyc.sudnet.org

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - E:\STARDO~1\SDIEInt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\RunServices: [yahoo inc.] ypages.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [StatBar] C:\Program Files\Globe Software\StatBar\StatBar.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Gadu-Gadu\gg.exe" /tray

O8 - Extra context menu item: Download with Star Downloader - E:\Star Downloader\sdie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{A712C64D-35F7-4E2D-98F5-72A90DA7AFF6}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

====================================

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

Pozdrawiam kuz5


(Grebo) #5

Pasowałoby żebyś pokazał ten komunikat co Ci wywala na początku.

Co z tego że:

jak nie masz łatek na Windowsa. Zainstaluj SP1 i SP2.

Jeśli to to co pisał KOJOT to poczytaj sobie:

http://www.searchengines.pl/phpbb203/in ... entry66368


(Mete3ro) #6

bralem pod uwage robienie partycji od nowa ... ale mam zbyt wazne ( i zbyt duzo ) danych na dysku

szukam wiec innego sposobu niz robienie od nowa dysku ... o ile taki istnieje :evil:


(Damian) #7

Z loga leci to:

Fix w Hijacku, a pogrubione wywalasz ręcznie z dysku:

Poczytaj tutaj o Boot Wirusach:

http://www.searchengines.pl/phpbb203/in ... opic=14437

Jeśli masz płytę od XP, wejdź z niej w konsole odzyskiwania i wpisz polecenie fixmbr


(Mete3ro) #8

hmm bardzo ciekawe ... bo nie mam na kompie pliku o nazwie ypages.exe :smiley:

pozniej napisze czy dalo cos to z naprawianiem


(Kuz5) #9

Masz tylko trzeba dobrze szukać, tak wygląda jego ścieżka C:\WINDOWS\System32\ypages.exe

Narzedzia => Opcje folderów => Widok => Pokaż ukryte pliki i foldery i dopiero go szukaj

Jak to zawiedzie to usuń go programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\WINDOWS\System32**** ypages.exe

następnie program będzie pytał o restart (oczywiście zgadzasz sie)


(fiesta) #10

Tu masz odpowiedź dlaczego masz cały czas powroty syfu na kompa.

Zainstaluj co najmniej SP1 +krytyczne poprawki (zalecany SP2).

Jak masz system dziurawy jak dobry ser szwajcarski to się nie dziw że co chwilę coś łapiesz.


(Mete3ro) #11

ok zainstalowalem sp2 i log wyglada teraz tak :

Logfile of HijackThis v1.99.0

Scan saved at 14:05:18, on 2005-07-12

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\msiexec.exe

C:\WINDOWS\system32\sstray.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Globe Software\StatBar\StatBar.exe

C:\Gadu-Gadu\gg.exe

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\NOTEPAD.EXE

E:\1st Folder\Programy\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - E:\STARDO~1\SDIEInt.dll

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [StatBar] C:\Program Files\Globe Software\StatBar\StatBar.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Gadu-Gadu\gg.exe" /tray

O8 - Extra context menu item: Download with Star Downloader - E:\Star Downloader\sdie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A712C64D-35F7-4E2D-98F5-72A90DA7AFF6}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

znikł problem z myszka i klawiatura ... ale nie wiem czy reszta :smiley:

zostawic system tak jak jest teraz ? czy zrobic reinstalke i na czysty system zainstalowac sp2?


(Musg) #12

reszta ok

spoko :slight_smile:


(Mete3ro) #13

a tak jeszcze z ciekawosci zapytam . do czego sa te wpisy :smiley:

C:\WINDOWS\System32\smss.exe 

C:\WINDOWS\system32\winlogon.exe  

C:\WINDOWS\system32\lsass.exe 

C:\WINDOWS\system32\svchost.exe 

C:\WINDOWS\System32\svchost.exe

tych svchost czasem mam i z 5 oodpalonych ... tylko nie wiem po co


(boczi) #14

To normalne zjawisko, zostaw tak, jak jest.

Reszta to normalne procesy systemowe. Szersze info po wpisaniu danego procesu w Google.


(Babcia@Stefa) #15

heh to podobne do backdoora.rbota bo ja mam takiego ale na jednym windowsie usunełem uruchamianie cmd.exe i tftp.exe ręcznie a na drugim zainstalowałem poprostu łatke do windowsa.

Poszukaj takiej łatki:

WindowsXP-KB823980-x86-PLK

lub

WindowsXP-KB835732-x86-PLK

niepamiętam która to bo ściągałem jescze na coś innego (poszukaj na stronie microsoftu w polskiej wersji strony samo słowo “KB835732”)

u mnie też siedzi coś na biosie :frowning:

a pierwsze objawy to:

C:\WINDOWS\system32\WBEM\WMIADAP.EXE

C:\WINDOWS\system32\WBEM\WMIADAP.EXE

:cry:

@Edit

A.a i jescze wyłącz usługę posłaniec


(Kuz5) #16

:o :o

Babcia@Stefa czy ty widzisz kiedy został napisany ostatni post w tym temacie 14.08.2005 :evil:

Nie odkopuj zabytkowych tematów :evil: