Komunikaty programów antywirusowych


(sdar) #1

Witam,

Mam zainstalowany AntiVir, którym poza jego normalną aktywnością rezydenta, przeskanowałem cały komputer. Ponadto "zapuściłem" Ad-Aware i SpyBot Destroyer.

Wszystkie trzy programy niczego nie znalazły.

Jednak po uruchomieniu skanera online Symanteca znalazł on zarażone pliki. Jednak nie usunął ich ani nie naprawił.

Uruchomiłem skan MKS online i.. nic nie znalazł.

Lekko zdezorientowany uruchomiłem skaner online Pandy i ten skaner znowu znalazł zarażone pliki ( w tym plik starych poczciwych "kulek"??? które mam na kompie od dawna). Co ciekawe podczas "ładowania" plików skanera Pandy, mój AntiVir zgłosił alert, że jeden z pobieranych plików ma wirusa (???). Po zakończeniu skanu Pandy, uruchomiłem ponownie pełny skan AntiVira i on ponownie zakwestionował plik z zestawu który zainstalowała Panda.

Być może piszę trochę zawile ale nie wiem co o tym myśleć.

Oto moje wątpliwości za rozwiązanie których byłbym bardzo wdzięczny:

  1. Czy skaner Pandy mógł mi zainfekować system?

  2. Czy powinienem pozwolić AntyVirowi usunąć plik "z Pandy", który zgłasza jako wirus?

  3. Jak usunąć śmieci zgłaszane przez Symantec i Pande ? Dodam, że niestety nie mogę wydać pieniędzy na komercyjny antywirus. Wchodzą wcię w grę tylko Freeware, triale lub inne LEGALNE spsoby.

Na wszelki wypadek podaję zapisy raportów skanera Symantec i Panda oraz zrzut komunikatu AntyVir o zastrzeżeniach do pliku z "zestawu skanera" Panda:

Raport Symantec:

C:\Documents and Settings\NTT\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4HMVOLMR\screensavers24[1].htm is infected with Adware.Windupdates

C:\Documents and Settings\Ala\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SHQR09QR\enterprise-rental.bladib[1].htm is infected with Adware.Windupdates

C:\Documents and Settings\Ala\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SHQR09QR\russian-naturists-pictures.bladib[1].htm is infected with Adware.Windupdates

C:\Documents and Settings\Ala\Ustawienia lokalne\Temporary Internet Files\Content.IE5\HK0RX18D\13year-old-pussy.in.pisz[1].htm is infected with Adware.Windupdates

C:\Documents and Settings\Ala\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4X6B0TUN\ysb_prompt[1].htm is infected with Downloader.Trojan

Raport Pandy (raportowane są pliki o nazwach "porno" lecz na 100% z tego kompa nikt nie korzysta z tego typu stron więc to kolejna "ciekawostka"):

Adware:Adware/ConsumerAlertSystem Nie wyleczalny C:\WINDOWS\system32\NOTEPAD.EXE

Adware:Adware/WUpd Nie wyleczalny C:\Documents and Settings\Ala\Ustawienia lokalne\Temporary Internet Files\Content.IE5\HK0RX18D\13year-old-pussy.in.pisz[1].htm

Adware:Adware/WUpd Nie wyleczalny C:\Documents and Settings\Ala\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SHQR09QR\enterprise-rental.bladib[1].htm

Adware:Adware/WUpd Nie wyleczalny C:\Documents and Settings\Ala\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SHQR09QR\russian-naturists-pictures.bladib[1].htm

Istniejące wirusy. Nie wyleczalny C:\Documents and Settings\NTT\Moje dokumenty\Darek\Programy\kulkiex.zip[KulkiEx.exe]

Istniejące wirusy. Nie wyleczalny C:\PcPlus\Kulki\KulkiEx.exe

Adware:Adware/ConsumerAlertSystem Nie wyleczalny C:\WINDOWS\NOTEPAD.EXE

Adware:Adware/ConsumerAlertSystem Nie wyleczalny C:\WINDOWS\system32\dllcache\notepad.exe

Adware:Adware/ConsumerAlertSystem Nie wyleczalny C:\WINDOWS\system32\notepad.exe

Zrzut AntyVir:

antivir8dg.th.gif


(Czarny Wódz) #2

Wywal wszystkie wymienione pliki. Jak nie będzie się dało, to używasz Killboxa

Co do kochanych kulek, to lubią przynosić wirusy (sam miałem zarażone)

Plik notatnika przywróc z płyty do folderu C:\Windows\

Wklej tu loga z programu HijackThis


(sdar) #3

Czy pisząc o usunięciu WSZYSTKICH wskazanych plików masz na myśli również usunięcie pliku zakwestionowanego przez AntiVir? Przecież to plik "z Pandy"? Dlaczego jest zarażony?

Oto log:

Logfile of HijackThis v1.99.1

Scan saved at 22:32:36, on 2005-06-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PcPlus\Hijack_This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.neostrada.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -

C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM..\Run: [speedTouch USB Diagnostics] "C:\Program

Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM..\Run: [TkBellExe] "C:\Program Files\Common

Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD

Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM..\Run: [Zone Labs Client] C:\Program Files\Zone

Labs\ZoneAlarm\zlclient.exe

O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program

Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control

Panel\atiptaxx.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft

Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage

Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner)

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -

http://software-dl.real.com/245a8ff6719 ... xIE601.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://v5.windowsupdate.microsoft.com/v ... lient/wuwe

b_site.cab?1116905661546

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility

Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class)

O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware

Scanner) -

http://download.zonelabs.com/bin/promot ... WebAAS.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -

http://skaner.mks.com.pl/SkanerOnline.cab

O17 -

HKLM\System\CCS\Services\Tcpip..{AC496000-481C-4855-BD9A-4CCB85BAA668}:

NameServer = 194.204.152.34 217.98.63.164

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -

C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany -

C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program

Files\Ahead\InCD\InCDsrv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -

C:\WINDOWS\system32\ZoneLabs\vsmon.exe


(Czarny Wódz) #4

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - kosz


O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage

Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409


To możesz skasować, jeśli nie korzystasz z Messengera

Na razie tyle znalazłem


(boczi) #5

Używasz jeszcze oprogramowania od Neo?

Jeśli nie, usuń dwa wpisy:

C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85}

MSN Messenger, jeśli nie używasz, najlepiej usuń tym:

http://www.amnezja.org/modules.php?name ... e&sid=4369

Co do tego, co wykrył.

Po prostu opróżnij cały folder:

C:\Documents and Settings\Ala\Ustawienia lokalne\ *Temporary Internet Files* Content.IE5\

A to fałszywe alerty.

Sprawdź, co masz pod ścieżką C:\WINDOWS\NOTEPAD.EXE, czy coś się uruchamia?


(sdar) #6

Pod C:\WINDOWS\NOTEPAD.EXE uruchamia się "czysty " notatnik.

Zaraz wprowadze wszystkie zmiany przez Was sugerowane i dam znać. Ciągle nie wiem jednak co zrobić z plikiem zakwestionowanym przez AntyVir a będącym elementem instalowanym przez skaner online Pandy.


(boczi) #7

Kulki Ex i Notepad są plikami całkowicie czystymi.

Ignoruj alerty, są błędne.


(sdar) #8

Postąpiłem zgodnie z Waszymi zaleceniami. Poniżej wklejam nowego Loga do sprawdzenia.

Przeskanowałem również ponownie komputer AntiVir'em i znowu w katalogu System32 znalazł mi ten plik, który pokazany jest na zrzucie w pierwszym moim poscie. Co z nim zrobic ? Usunąc, czy zostawić i mieć alerty przykażdym skanowaniu :? ?

Oto log:

Logfile of HijackThis v1.99.1

Scan saved at 23:26:33, on 2005-06-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\PcPlus\Hijack_This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/245a8ff6719 ... xIE601.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6905661546

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promot ... WebAAS.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{AC496000-481C-4855-BD9A-4CCB85BAA668}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


(boczi) #9

Log czysty

Nie usuwaj pliku, nie jest szkodliwy. Czy usuniesz to teraz zależy od Ciebie.

Sprawdź w opcjach, może da się ten wpis ignorować.


(sdar) #10

Wielkie dzięki za pomoc. :smiley:

Jak zwykle, ludzie na tym forum są cierpliwi nawet dla "lajkoników" nie znających się "na rzeczy" i nie wiedzących jak sobie poradzić z kłopotami, do których niestety się zaliczam.

Ale w tym przypadku można już chyba powiedzieć: EOT

Jeszcze raz dzięki

Sdar


(Zelgadis) #11

jeżeli nie chcesz kupować oprogramowania komercyjnego to wedź tu:

http://www.microsoft.com/windowsxp/down ... fault.mspx

wszystko poza CA mogę polecić jako lepsze od freeware :wink: