kamilis
15 Sierpień 2007 19:30
#1
mam broblem z kasperskym …wczesnij wszyskto działało a tera zaczyły mi wyskakiwać ze komuter jest atakowany atakami Land …i ze atak powstrzymany , od tego czasu mam taki problem że gdy ustawiam poziom zabezpieczeń na niski i wyżej to blokuje mi cały internet …żeby mieć internet musze wyłączyć zabezpieczenia kasperskiego …a wtedy chyba ten atak Land niebedzie powstrzymywany ;/
log z hijack
Logfile of HijackThis v1.99.1 Scan saved at 21:26:12, on 2007-08-15 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\savedump.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\RunDll32.exe D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe D:\Program Files\Messenger\msmsgs.exe D:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe D:\Program Files\VIA\RAID\raid_tool.exe D:\WINDOWS\system32\wscntfy.exe D:\PROGRA~1\Mozilla Firefox\firefox.exe D:\WINDOWS\system32\wuauclt.exe D:\Documents and Settings\KontraResztaSwiata\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Program Files\GetRight\xx2gr.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - D:\WINDOWS\WebAssist.dll O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - D:\WINDOWS\system32\vtr323.dll O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [AtiPTA] atiptaxx.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “D:\Program Files\Java\jre1.6.0_02\bin\jusched.exe” O4 - HKLM…\Run: [DAEMON Tools] “D:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - Global Startup: Kaspersky Anti-Hacker.lnk = D:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe O4 - Global Startup: VIA RAID TOOL.lnk = D:\Program Files\VIA\RAID\raid_tool.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v5.cab O20 - AppInit_DLLs: D:\WINDOWS\system32\hrum323.txt O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
jessica
15 Sierpień 2007 19:54
#2
Jeśli nie masz jakiegoś narzędzia usuwającego, to ściągnij OTMoveIt
Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:
Następnie wciśnij przycisk MoveIt !
Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes .
Po restarcie usuń ręcznie folder C:* * _OTMoveIt** (Prawoklik >>> Usuń >>> Opróżnij Kosz).
Potem te w/w wpisy sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Potem daj tu:
log z Hijacka
log z ComboFixa:
http://forum.dobreprogramy.pl/viewtopic.php?t=36654
Log wklej na http://wklej.org/
jessi
kamilis
15 Sierpień 2007 20:43
#3
http://wklej.org/id/526d0a3917 - hijack
http://wklej.org/id/911a2627db - combofix
programem moveIt jak wkleiłem i wziołem MoveIt to niewyskoczył zaden komunikat o restarcie a w hijack niema
a tego niechce usunąć
jessica
15 Sierpień 2007 23:51
#4
To powinno się dać sfiksować w Hijacku, bo nie ma tego pliku.
Ale to już nieważne, bo najprawdopodobniej nie unikniesz sformatowania dysku i reinstalacji systemu :
W logu ComboFixa jest taki wpis:
Ten wpis to jest JEEFO , który zaraża wszystkie pliki *.exe , czyli zaraża wszystkie programy i wszystkie pliki wykonawcze systemu. Sam “svchost” został usunięty przez ComboFixa, ale zarażone programy zostały na dysku.
Ponieważ Twój Antivirus też już jest zarażony, więc przeskanuj system skanerami on-line skanery on-line
Wybieraj tylko takie, które oprócz opcji skanowania mają także opcję usuwania.
Usuwaj wszystko, co znajdą, nawet jeśli to będą Twoje najulubieńsze programy - i tak już są nie do uratowania.
Po zakończeniu tego usuwania przejrzyj system i zorientuj się, czy warto jeszcze ratować te nędzne resztki systemu co zostały, czy też lepiej sformatować dysk.
EDIT:
Możesz też najpierw spróbować skorzystać ze szczepionki do JEEFO:
http://wirusy.antivirenkit.pl/pl/szczepionki/Jeefo.html
jessi
