Komputer muli, skanery niedawno usunęły syf


(Coxcoxcox) #1

nie wiem czy już dodałem tu posta bo rano coś muliło to forum, wydawało mi sie ze dodałem posta, ale teraz nie widze go, napisze jeszcze raz.

Witam , pierwszy moj post dziendobry wszystkim :slight_smile: sorka ze odgrzebuje , ale moje pytanie tutaj pasuje w 100%. prezjde od razu do rzeczy.

Mialem tego samego wirusa co matcheck, wlasciwie to on go dostał ode mnie :slight_smile: pozbyłem się go wg metody podanej tutaj na forum.

chciałem wam przedstawić moje logi z hijacka i zapytac czy all jest ok?

pozdrawiam:


(Gutek) #2

Nie podpinaj się pod cudzy temat :slight_smile:

usuń wpis HJT

Optymalizacja XP: http://forum.dobreprogramy.pl/viewtopic.php?t=76580


(Coxcoxcox) #3

Witam ponownie,

znowu trafił mi się ten wirus :frowning: tym razem kumpel na pendrive mi go przeniósł , usuwam go tak samo jak poprzenido http://forum.dobreprogramy.pl/viewtopic ... 794#853794

ale nie moge przywrócić tego zeby nie robiły się znaki zapytania , tka jak na obrazku na końcu. Dysk Z uruchamiany jest na potrzeby programowania php, za pomocą polecenia subst.

1yu2.jpg

Poniżej logi z hijacka

Logfile of HijackThis v1.99.1

Scan saved at 19:58:05, on 2007-01-16

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\ibmpmsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\LonWorks\bin\LnsMtsSvc.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\QCONSVC.EXE

C:\WINDOWS\system32\TpKmpSVC.exe

C:\Program Files\ThinkVantage\SystemUpdate\UCLauncherService.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\WINDOWS\system32\ctfmon.exe

C:\CFGSAFE\AUTOCHK.EXE

C:\Program Files\stickies\stickies.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Tomek\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://free-k.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O3 - Toolbar: Zend Studio - {95188727-288F-4581-A48D-EAB3BD027314} - C:\PROGRA~1\Zend\ZENDST~1.0\bin\ZENDIE~1.DLL

O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe

O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper

O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [suScheduler] C:\Program Files\ThinkVantage\SystemUpdate\UCLauncher.exe /SCHEDULER

O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Stickies.lnk = C:\Program Files\stickies\stickies.exe

O4 - Global Startup: AUTOCHK.LNK = C:\CFGSAFE\AUTOCHK.EXE

O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Zend Studio - Debug current page - res://C:\Program Files\Zend\ZendStudio-5.5.0\bin\ZendIEToolbar.dll/DebugCurrent.html

O8 - Extra context menu item: Zend Studio - Debug next page - res://C:\Program Files\Zend\ZendStudio-5.5.0\bin\ZendIEToolbar.dll/DebugNext.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Zend Studio Toolbar - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\Zend\ZENDST~1.0\bin\ZENDIE~1.DLL

O9 - Extra 'Tools' menuitem: Zend Studio - {A26ABCF0-1C8F-46e7-A67C-0489DC21B9CC} - C:\PROGRA~1\Zend\ZENDST~1.0\bin\ZENDIE~1.DLL

O9 - Extra button: Software Installer - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Program Files\Lenovo\PkgMgr\\PkgMgr.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://mks.com.pl

O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-307.ibm.com/pc/support/IbmEgath.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{38808101-A5EE-40FA-8F3A-BDAEFBF8550C}: NameServer = 194.204.152.34 217.98.63.164

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Spik\url_wpmsg.dll

O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll

O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll

O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe

O23 - Service: Echelon OpenLDV xDriver Connection Broker (LdvxBroker) - Echelon Corporation - C:\LonWorks\bin\LdvxBroker.exe

O23 - Service: Echelon LNS Support Service for Microsoft Terminal Services (MTS) (LnsMtsSvc) - Echelon Corporation - C:\LonWorks\bin\LnsMtsSvc.exe

O23 - Service: QCONSVC - Lenovo - C:\WINDOWS\System32\QCONSVC.EXE

O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

O23 - Service: ThinkVantage System Update (UCLauncherService) - Unknown owner - C:\Program Files\ThinkVantage\SystemUpdate\UCLauncherService.exe

Co zrobić zeby nie było tych ??(0) ??????(X)

??

:slight_smile:

pozdrawiam


(Bbieniol) #4

Log jest czysty.

Przeczyść rejestr (polecam do tego jv16 PowerTools), zrób defragmentację, oraz przejrzyj: Optymalizacja XP

Wejdź: Start -> uruchom -> msconfig i w zakładce uruchamianie odznacz (według Ciebie) niepotrzebne przy autostarcie programy :slight_smile:


(Coxcoxcox) #5

ok już znalazłem, w poprzednim topiku nie było o tym mowy,

wirus tworzy też plik autorun.inf w katalogu głównym na pendrive, poprzednio pendrive wyczyściłem formatując, a teraz w katalogu gdzie robie komendą subst dysk (a właściwie u mnie był jeden katalog wyżej) zostł jeszcze autorun.inf. delete i po sprawie

Trochę poczytałem o tym wirusie, ponoć napisany w visual basic, w sumie bardzo prosty, mało który program antywirusowy go wykrywa, nieszkodliwy, powoduje zwolnienie pracy systemu, pojawienie się plików EXPLORER.EXE w system32 i autorun.inf, coś chyba kombinuje w koszu - dokładniej z jego katalogami (RECYCLER), w autorun.inf zapisuje komendę która powoduje, że pierwsza i druga opcja pendrive jest

??(0) i ??????(X) , błyskawicznie przenosi się między pendrive i dyskiem, ponoć wyciąga hasło z jakiejś gry internetowej , z jej strony.

Mój sposób na usunięcie szkodnika:

jeśli wirus jest na dysku to na 90% jest też na pendrive.

1.sformatować pendrive (można przezucic dane na dysk bo i tak pewnie jest zainfekowany) , lub usunąć przez total commandera pliki EXPLORER.EXE i autorun.inf (tak jak p.3)

  1. od razu po formacie wyjąć pena żeby wirus nie zdążył się wgrać

  2. total commander, konfiguracja-ustawienia główne-wyswietlanie i tam zaznaczamy zeby pokazywał pliki systemowe (dla doświadczonych) , szukamy c:\windows\system32, zaznaczamy plik EXPLORER.EXE i usuwamy

  3. odpalamy hijacka ( http://www.hijackthis.de) i postępujemy z

godnie z instrukcją na linku w moim wcześniejszym poście

  1. mozemy przeskanować dysk skanerem : skaner.mks.com.pl (wykrywa go jako psw.boy.a albo podobnie, często nie usuwa, z pendrive usunie)

  2. skanujemy pendrive skanerem mks'a

Napisałem co wiedziałem, wielkiej filozofii nie ma, raczej banały :slight_smile: mogłem coś pominąć, może się komuś przydadzą te informacje