Jimbo.exe jako backdoor.win32.rbot.aeu - zostawić?

arek1 · 15 Czerwiec 2006 20:02

Witam,

Mój program antywirusowy (kaspersky) co kilka dni wyrzuca inforamcje o wirusie backoor.win32.Rbot.aeu , w pliku C:\windows\system32\jimbo.exe

czy to coś poważnego? za każdym razem kasuję go jak sugeruje kaspersky, ale coś widzę że to nie pomaga bo pojawia sie kolejny raz

Nie używam innym programów do zabezpieczenia, tylko kaspersky, w sumie nie mam pojęcia jak mógł się dostać ten wirus - staram się być ostrożny - no chyba że mógł dostać się przez soulseek, bo go używałem.

Czy coś z nim robić, bo przyznam się że trochę się obawiam gberania, co by nie naruszyc systemu (jak poczytałem o problemach z usuwaniem tego wirusa przez innych użytkwoników)

czy może go ignorawać, bo jest nieszkodliwy?

Dzięki!

Bieniol · 15 Czerwiec 2006 20:07

Wrzuć zestaw logów (Hijack + Silent - opis tutaj --> http://forum.dobreprogramy.pl/viewtopic.php?t=36654 )

Nigdy nie ignoruj takich rzeczy :!:

arek1 · 15 Czerwiec 2006 20:16

Mam nadzieję że dobrze to zrobiłem :oops:

Logfile of HijackThis v1.99.1

Scan saved at 22:18:45, on 2006-06-15

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\Winampa.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Microsoft Office\Office10\WINWORD.EXE

C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE

C:\Program Files\Microsoft Office\Office10\EXCEL.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Arek\Pulpit\Internet06\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Bieniol · 15 Czerwiec 2006 20:21

W logu kosmetycznie możesz usunąć te wpisy:

Dodatkowo możesz przeskanować dysk narzędziem EWIDO po update

Plik C:\windows\system32\ jimbo.exe potraktuj narzędziem KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę, klikasz X i restart kompa

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.

arek1 · 15 Czerwiec 2006 20:25

Ok dziękuje bardzo,

a pozostawienie tego wirusa jak jest, to czym grozi?

Pytam, bo całą operację najchętniej zrobiłbym za dwa tygodnie, teraz mam dużo pracy i generalnie na tyle mało się znam na powyższym, że wolę nie ryzykować…

Lopio · 16 Czerwiec 2006 18:00

Wirus ten umożliwia włamanie się na twój komputer (umożliwia kasowanie plików na twoim dysku twardym przez hakera). Jak najszybciej wykonaj czynności które podał ci Bieniol.