Ide21201.vxd


(Anika Szczecin) #1

Słuchajcie, niech mi ktoś mądry pomoże bo ja już nie mam pomysłu. Zaczyna sie tak: Avast znowu znajduje trojana ze ścieżką http://static.flingstone.com/softwares/NCasePackage.exe, nawet jeśli pliki internetowe sa wyczyszczone. Skan WCShredderem i PestPatrolem nic nie daje ale SpySubtract wykrywa aplikację ide21201.vxd pod C:\WINDOWS\system32, jako sterownik urządzenia wirtualnego. Usunięcie nie skutkuje, a w trybie awaryjnym tego nie wyświetla :?

Acha, wiem wiem SP2 itp, ale tym się ma zająć informatyk a jakoś mu na razie nie wychodzi :stuck_out_tongue:

Logfile of HijackThis v1.99.1

Scan saved at 09:08:25, on 05-03-18

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\Program Files\Media Access\MediaAccK.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Media Access\MediaAccess.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\interMute\SpySubtract\SpySub.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Avant Browser\avant.exe

C:\Documents and Settings\SEKRETARKA\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe

O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Program Files\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - C:\Program Files\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Podświetl - C:\Program Files\Avant Browser\Highlight.htm

O8 - Extra context menu item: Szukaj - C:\Program Files\Avant Browser\Search.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab

O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 8175971674

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)


(Damian) #2

C:\Program Files\Media Access\MediaAccK.exe :arrow:

C:\Program Files\Media Access\MediaAccess.exe

O4 - HKLM..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)


(Anika Szczecin) #3
  1. dzieki! :smiley:

  2. W panelu sterowania jest tylko Media Access. Wywalić...?

  3. jak mam wykasować te wpisy w hijackthis? Pytanie pewnie proste, ale co mam zrobić jak nie wiem... :?


(fiesta) #4

To nie jest plik na dysku lokalnym tylko jakiś program zamieszczony na stronie do której adres podaje Ci Avast, możliwe ten właśnie plik jest zainfekowany jakimś trojanem.


(Damian) #5

Wywal

Ptaszkujesz w Hijacku i dajesz FIX


(Anika Szczecin) #6

Media Access odinstalowałam, wpisy w Hijackthis usunęłam, ale nie w tybie aw. tylko normalnie bo nie wiem czemu w awaryjnym mysza mi nie działa a klawiaturą za diabła się nie chciało zrobić.

W każdym razie zrestartowałam i ich nie ma.

A SpySubtract znów wykrywa ide21201.vxd.

Co jeszcze mogę zrobic?

Damian ratuj :wink:

Acha, czy ja dobrze robię odpowiadając w ten sposób na forum..??


(Damian) #7

Przeskanuj komputer programami:

:arrow: Spybot Search & Destroy 1.3

:arrow: Ad-aware SE Personal 1.05

:arrow:Microsoft AntiSpyware

Może one to usuna.

A jak możnaby inaczej ?? :smiley: Oczywiście, że dobrze :smiley: