lukid82
(Lukid82)
12 Czerwiec 2006 09:29
#1
witam mam problem z kompem od rana avast męczy mnie komunikatami o wirusach. wykrył mi coś takiego:WIN32:trojan-gen.{other}
dodaje też swjego LOGA.
Proszę o pomoc
Logfile of HijackThis v1.99.1 Scan saved at 11:17:22, on 2006-06-12 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\Katalog tymczasowy 2 dla hijackthis-1.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKLM…\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe O4 - HKLM…\Run: [dmzfn.exe] C:\WINDOWS\System32\dmzfn.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [Aikom] C:\Program Files\Aikom\aikom.exe O4 - HKLM…\Run: [wpkontakt] C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe -autostart O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [Comodo Personal Firewall] C:\Program Files\Comodo\Comodo Personal Firewall\CPF.exe sysrestart O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause O4 - HKLM…\RunServices: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKCU…\Run: [WinMedia] C:\WINDOWS\System32\vxgame6.exe3584.exe O4 - HKCU…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Picture Package Menu.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{BD6DE87A-4E91-4835-AD1F-5DCA6CB0957B}: NameServer = 192.168.0.10,194.204.152.34 O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll (file missing) O20 - Winlogon Notify: 2014reg - C:\Documents and Settings\All Users\Dokumenty\Settings\2014.dll O20 - Winlogon Notify: 3246762198745124975reg - C:\Documents and Settings\All Users\Dokumenty\Settings\3246762198745124975.dll (file missing) O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Dokumenty\Settings\artm_new.dll O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Dokumenty\Settings\polymorph.dll O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Comodo Application Agent (CmdAgent) - Unknown owner - C:\Program Files\Comodo\Comodo Personal Firewall\cmdagent.exe (file missing)
====================================
Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE
Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.
Widziałeś ten komunikat Ważny komunikat dotyczący tytułowania tematów zastosuj sie do niego => inaczej temat poleci do śmietnika :evil:
Pozdrawiam kuz5
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = F2 - REG:system.ini: UserInit=userinit.exe O4 - HKLM…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKLM…\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe O4 - HKLM…\Run: [dmzfn.exe] C:\WINDOWS\System32\dmzfn.exe O4 - HKLM…\RunServices: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKCU…\Run: [WinMedia] C:\WINDOWS\System32\vxgame6.exe3584.exe O4 - HKCU…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O20 - Winlogon Notify: 2014reg - C:\Documents and Settings\All Users\Dokumenty\Settings\2014.dll O20 - Winlogon Notify: 3246762198745124975reg - C:\Documents and Settings\All Users\Dokumenty\Settings\3246762198745124975.dll (file missing) O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Dokumenty\Settings\artm_new.dll O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Dokumenty\Settings\polymorph.dll O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)
1.Startujesz do trybu awaryjnego
2.Wyłanczasz przywracanie systemu (tylko Me/Xp)
3.Kasujesz wpisy w HijackThis
4.Kasujesz pogrubione pliki/foldery
5.Dajesz nowy log z hjt + log z Silent Runners
Monczkin
(Monczkin)
12 Czerwiec 2006 09:41
#3
lukid82
(Lukid82)
12 Czerwiec 2006 10:00
#4
InfinityToJa
nie mam pojęci co to jest :o
kompa dostałem od brata jestem laikiem w tych sprawach
adam9870
(adam9870)
12 Czerwiec 2006 10:09
#5
To opisze ja dokładniej
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw).
Pod normlanym trybem pobierz KillBox
Wyłącz przywracanie systemu
Uruchamiasz kompa w trybie awaryjnym
Po wciśnięciu klawisza włączającego komputer szybko naciskach i trzymasz klawisz F5. W niektórych komputerach klawiszem tym nie można wejść to trzeba klawiszem F8. Potem będzie lista systemów do wyboru, wybierasz “Tryb awaryjny”, i system będzie uruchamiać się w trybie awaryjnym.
Uruchamiasz killboxa, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:
C:\WINDOWS\System32* * netfilt4.exe**
C:\WINDOWS\System32* * dmzfn.exe**
C:\WINDOWS\System32* * vxgame6.exe3584.exe**
C:\Documents and Settings\All Users\Dokumenty\Settings* * 2014.dll**
C:\Documents and Settings\All Users\Dokumenty\Settings* * 3246762198745124975.dll**
C:\Documents and Settings\All Users\Dokumenty\Settings* * artm_new.dll**
C:\Documents and Settings\All Users\Dokumenty\Settings* * polymorph.dll**
Klikasz X czerwony i restart kompa (restart dopiero po usunięciu ostatniego pliku).
Kasujesz ręcznie z dysku folder inet20001 który jest w *C:\WINDOWS*
Uruchamiasz HijackThis i wybierasz “Do a system scan only”. Pokaże się lista wpisów, zaznaczasz wpisy
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = F2 - REG:system.ini: UserInit=userinit.exe O4 - HKLM…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKLM…\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe O4 - HKLM…\Run: [dmzfn.exe] C:\WINDOWS\System32\dmzfn.exe O4 - HKLM…\RunServices: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKCU…\Run: [WinMedia] C:\WINDOWS\System32\vxgame6.exe3584.exe O4 - HKCU…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O20 - Winlogon Notify: 2014reg - C:\Documents and Settings\All Users\Dokumenty\Settings\2014.dll O20 - Winlogon Notify: 3246762198745124975reg - C:\Documents and Settings\All Users\Dokumenty\Settings\3246762198745124975.dll (file missing) O20 - Winlogon Notify: artm_newreg - C:\Documents and Settings\All Users\Dokumenty\Settings\artm_new.dll O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Dokumenty\Settings\polymorph.dll O20 - Winlogon Notify: SensSrv - senssrv.dll (file missing)
i klikasz na “Fix checked”. Wpisy zostaną usunięte.
To by było na tyle w awaryjnym.
Pobierz program Ewido zrób update i przeskanuj.
Po wykonaniu w/w dajesz nowy log z HijackThis plus z SilentRunners .
lukid82
(Lukid82)
12 Czerwiec 2006 10:47
#6
adam9870
nie moge wejść do trybu awaryjnego
jestem laikiem jakich mało
pewnie nic z tego n nie wyjdzie
Myszak
(Myszonus)
12 Czerwiec 2006 10:55
#7
Więc tak : na klawiaturze (u góry) masz klawisze od F1 do F12.
Po włączeniu komputera wciskasz rytmicznie jeden z klawiszy - F8 lub F5 (zaznaczyłem je na czerwono )
potem pokazuje Ci się taki czarny ekran z białym tekstem - klawiszami strzałek na klawiaturze wybierasz
Tryb awaryjny potem pozostaje tylko kliknąć Tak
Bieniol
(Bbieniol)
12 Czerwiec 2006 11:05
#8
Możesz to zrobić tak: będąc w trybie normalnym wejdź:
Start --> uruchom --> msconfig
w zakładce BOOT.INI zaznacz /SAFEBOOT i ok.
Poprosi o restart kompa - oczywiście się zgadzasz
Pojawi się czarne i wszystko normalnie jak przy wchodzeniu w awaryjny
Jest tylko jedną ale - pojawi się wybór kont (zawsze będą conajmniej dwa konta (Twoje i Administrator) - wybierasz TWOJE i juz jesteś w awaryjnym
lukid82
(Lukid82)
12 Czerwiec 2006 13:04
#9
adam9870
wszystko zrobiłem według instrukcji nie udało mi się tylko odnaleść pliku inet20001 podaje nowy log za pomoc wielkie dzięki
Logfile of HijackThis v1.99.1 Scan saved at 15:05:20, on 2006-06-12 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\ewido anti-malware\ewidoguard.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\Katalog tymczasowy 3 dla hijackthis.zip\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe O4 - HKLM…\Run: [xp_system] C:\WINDOWS\inet20001\winlogon.exe O4 - HKLM…\Run: [windows] c:\temp\svchost.exe O4 - HKLM…\Run: [system] C:\WINDOWS\System32\kernels8.exe O4 - HKLM…\Run: [netfilt4] C:\WINDOWS\System32\netfilt4.exe O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU…\Run: [unSpyPC] “C:\Program Files\UnSpyPC\UnSpyPC.exe” O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Key] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\28.tmp O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Comodo Application Agent (CmdAgent) - Unknown owner - C:\Program Files\Comodo\Comodo Personal Firewall\cmdagent.exe (file missing) O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
Bieniol
(Bbieniol)
12 Czerwiec 2006 13:09
#10
W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku (w razie problemów z usuwaniem plików użyj narzędzia KillBox ):
Wyczyść folder TEMP (w trybie awaryjnym), czyli Start --> uruchom --> cmd i wpisujesz:
Proponuje zainstalować SP2
Wrzuć jeszcze log z Silent Runners (opis pod Hijackiem)
lukid82
(Lukid82)
12 Czerwiec 2006 13:36
#11
Bieniol
teraz wszystko chodzi w żółwim tempie zaraz mnie trafi :-x
“Silent Runners.vbs”, revision 45, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “Windows update loader” = “C:\Windows\xpupdate.exe” [file not found] “UnSpyPC” = ““C:\Program Files\UnSpyPC\UnSpyPC.exe”” [file not found] “MSMSGS” = ““C:\Program Files\Messenger\msmsgs.exe” /background” [MS] “Key” = “C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\28.tmp” [file not found] “CTFMON.EXE” = “C:\WINDOWS\System32\ctfmon.exe” [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “xp_system” = “C:\WINDOWS\inet20001\winlogon.exe” [file not found] “windows” = “c:\temp\svchost.exe” [file not found] “System” = “C:\WINDOWS\System32\kernels8.exe” [file not found] “netfilt4” = “C:\WINDOWS\System32\netfilt4.exe” [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”]
log jest ucięty, poczekaj na komunikat “Done”