rlk120
(Rlk120)
9 Grudzień 2006 10:40
#1
mam taki problem że komputer sam sie wyłącza a mks pokazuje mi jakiś 2 trojany(lub dialery).Nic w tym dziwnego by nie było gdyby nie to że mks "niby’ je kasuje a one same sie odradzają.Poradźcie coś tylko nie karzcie wklejać logów…
adam9870
(adam9870)
9 Grudzień 2006 10:46
#2
Gdzie są wykrywane te trojany (dokładnie ścieżki) ??
Proszę wkleić zestaw logów:
http://forum.dobreprogramy.pl/viewtopic.php?t=36654
rlk120
(Rlk120)
9 Grudzień 2006 11:43
#3
Logfile of HijackThis v1.99.1 Scan saved at 12:43:35, on 2006-12-09 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\cisvc.exe F:\diskeeper\DkService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\SYSTEM32\cidaemon.exe C:\Documents and Settings\rlk120.XXX\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM…\Run: [DiskeeperSystray] “F:\diskeeper\DkIcon.exe” O4 - HKLM…\Run: [AVPDWIN] “C:\Program Files\Panda Software\Panda Demo\pandasft.exe” O4 - HKLM…\Run: [avast!] F:\Avast\ashDisp.exe O4 - HKCU…\Run: [Gadu-Gadu] “F:\Gadu-Gadu\gg.exe” /tray O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner2k7/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{7CBA110F-1039-4ADC-B4C5-5CD3AFDCB074}: NameServer = 194.204.152.34 217.98.63.164 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\Plugin Manager\Skype4COM.dll O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\SYSTEM32\wintuh32.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Avast\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - F:\Avast\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - F:\Avast\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - F:\Avast\ashWebSv.exe" /service (file missing) O23 - Service: Diskeeper - Diskeeper Corporation - F:\diskeeper\DkService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - F:\Alcohol 52\StarWind\StarWindService.exe (file missing)
A te plik znajdują sięgdzieśna dysku C:.Prawdopodobnie w folderze WINDOWS.
Złączono Posta : 09.12.2006 (Sob) 12:44
Logfile of HijackThis v1.99.1 Scan saved at 12:43:35, on 2006-12-09 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\cisvc.exe F:\diskeeper\DkService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\SYSTEM32\cidaemon.exe C:\Documents and Settings\rlk120.XXX\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM…\Run: [DiskeeperSystray] “F:\diskeeper\DkIcon.exe” O4 - HKLM…\Run: [AVPDWIN] “C:\Program Files\Panda Software\Panda Demo\pandasft.exe” O4 - HKLM…\Run: [avast!] F:\Avast\ashDisp.exe O4 - HKCU…\Run: [Gadu-Gadu] “F:\Gadu-Gadu\gg.exe” /tray O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner2k7/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{7CBA110F-1039-4ADC-B4C5-5CD3AFDCB074}: NameServer = 194.204.152.34 217.98.63.164 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\Plugin Manager\Skype4COM.dll O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\SYSTEM32\wintuh32.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Avast\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - F:\Avast\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - F:\Avast\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - F:\Avast\ashWebSv.exe" /service (file missing) O23 - Service: Diskeeper - Diskeeper Corporation - F:\diskeeper\DkService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - F:\Alcohol 52\StarWind\StarWindService.exe (file missing)
A te plik znajdują się gdzieś na dysku C:.Prawdopodobnie w folderze WINDOWS.
Złączono Posta : 09.12.2006 (Sob) 12:44
Logfile of HijackThis v1.99.1 Scan saved at 12:43:35, on 2006-12-09 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\cisvc.exe F:\diskeeper\DkService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\SYSTEM32\cidaemon.exe C:\Documents and Settings\rlk120.XXX\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM…\Run: [DiskeeperSystray] “F:\diskeeper\DkIcon.exe” O4 - HKLM…\Run: [AVPDWIN] “C:\Program Files\Panda Software\Panda Demo\pandasft.exe” O4 - HKLM…\Run: [avast!] F:\Avast\ashDisp.exe O4 - HKCU…\Run: [Gadu-Gadu] “F:\Gadu-Gadu\gg.exe” /tray O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner2k7/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{7CBA110F-1039-4ADC-B4C5-5CD3AFDCB074}: NameServer = 194.204.152.34 217.98.63.164 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\Plugin Manager\Skype4COM.dll O20 - Winlogon Notify: wintuh32 - C:\WINDOWS\SYSTEM32\wintuh32.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Avast\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - F:\Avast\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - F:\Avast\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - F:\Avast\ashWebSv.exe" /service (file missing) O23 - Service: Diskeeper - Diskeeper Corporation - F:\diskeeper\DkService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - F:\Alcohol 52\StarWind\StarWindService.exe (file missing)
A te plik znajdują się gdzieś na dysku C:.Prawdopodobnie w folderze WINDOWS.
Bieniol
(Bbieniol)
9 Grudzień 2006 11:46
#4
Uruchamiasz narzędzie KillBox , zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:
C:\WINDOWS\SYSTEM32\wintuh32.dll
Klikasz X i restart kompa
Usuwasz Hijackiem ten wpis:
Po zabiegach nowy log z Hijacka + log z Silent Runners
rlk120
(Rlk120)
9 Grudzień 2006 12:10
#5
Logfile of HijackThis v1.99.1 Scan saved at 13:01:52, on 2006-12-09 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe F:\Avast\aswUpdSv.exe F:\Avast\ashServ.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\imapi.exe F:\Avast\ashMaiSv.exe F:\Avast\ashWebSv.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE F:\Avast\ashDisp.exe C:\WINDOWS\system32\lexpps.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\rlk120.XXX\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM…\Run: [DiskeeperSystray] “F:\diskeeper\DkIcon.exe” O4 - HKLM…\Run: [AVPDWIN] “C:\Program Files\Panda Software\Panda Demo\pandasft.exe” O4 - HKLM…\Run: [avast!] F:\Avast\ashDisp.exe O4 - HKCU…\Run: [Gadu-Gadu] “F:\Gadu-Gadu\gg.exe” /tray O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner2k7/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{7CBA110F-1039-4ADC-B4C5-5CD3AFDCB074}: NameServer = 194.204.152.34 217.98.63.164 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\Plugin Manager\Skype4COM.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Avast\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - F:\Avast\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - F:\Avast\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - F:\Avast\ashWebSv.exe" /service (file missing) O23 - Service: Diskeeper - Diskeeper Corporation - F:\diskeeper\DkService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - F:\Alcohol 52\StarWind\StarWindService.exe (file missing)
Ale Silent Runners nie moge otworzyć.Poradźcie co zrobić z wirusami!!
Bieniol
(Bbieniol)
9 Grudzień 2006 12:11
#6
Log jest już czysty
Podaj dokładne ścieżki do zainfekowanych plików
rlk120
(Rlk120)
9 Grudzień 2006 12:14
#7
NO i tu jest właśnie problem…Mksa wyrzuciłem ,zainstalowałem avasta.
ale nie wiem czy to dobre rozwiązanie.Tyle tylko że mks był z bazami 20.11 a avast jest aktualny,tyle że nie wykrył (jeszcze)tych wirusów(trojanów lub dialerów)
Bieniol
(Bbieniol)
9 Grudzień 2006 12:16
#8
Zrób skan AVG AntySpyware 7.5 po update i wrzuć raport
Przeskanuj komputer programami Ad-aware SE Personal 1.06 oraz Spybot Search & Destroy 1.4
rlk120
(Rlk120)
9 Grudzień 2006 12:54
#9
Jak to usunąc?? BO wyświetla mi sie 50 wirusów!
Bieniol
(Bbieniol)
9 Grudzień 2006 12:58
#10
Usuń z dysku folder: C:\ !KillBox
Usuń wszystko, co znalazł AVG
Użyj tego narzędzia -> http://www.idg.pl/ftp/pc_9705/ATF.Cleaner…html i oprożnij nim wszystkie foldery tymczasowe
rlk120
(Rlk120)
9 Grudzień 2006 13:02
#11
Dźięki,ale czy ten progs wystarczy do ochrony kompa??Czy zainstalować coś innego??
Bieniol
(Bbieniol)
9 Grudzień 2006 13:04
#12
Widzę, że masz Avasta. Zainstaluj jeszczego jakiegoś firewalla i od czasu do czasu skanuj dysk narzędziami, które podałem w poście wyżej