Log z wirusami?

Dla specjalistów Bezpieczeństwo
#1

problem jest taki…po formacie zainstalowalem kilka instalek z netu (sciągnąłem je jak mialem neostrade, a teraz mam modem) no i mi jakies wirusy sie zainstalowaly. Nie moge usunąć jednego pliku “ssqrq” a wykrywa mi na skanerze na onecie ze to “Trojan.Downloader.Agent.Yf”. Kilka plików wywaliłem ręcznie-te co mi dziwnie wyglądały a co z logiem? dobre jest czy trza co usuwać? i jak trza to jak? wystarczy program hijack i killbox albo jv16pt??

Logfile of HijackThis v1.99.1

Scan saved at 18:43:12, on 2005-11-02

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\MMenu\MagicMenu.exe

C:\Licznik3\licznik.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Winamp\Winamp.exe

C:\WINDOWS\system32\cmd.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\nod32kui.exe

C:\WINDOWS\System32\main.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\edward\USTAWI~1\Temp\Rar$EX00.625\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\System32\ssqrq.dll

O4 - HKLM\..\Run: [RobosMagicMenu3] C:\Program Files\MMenu\MagicMenu.exe

O4 - HKLM\..\Run: [nod32kui Anti-Virus Protection] nod32kui.exe

O4 - HKLM\..\Run: [Microsoft Network Neighbourhood] main.exe

O4 - HKLM\..\RunServices: [nod32kui Anti-Virus Protection] nod32kui.exe

O4 - HKLM\..\RunServices: [Microsoft Network Neighbourhood] main.exe

O4 - Startup: Skrót do licznik.lnk = C:\Licznik3\licznik.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8F707E6C-AE93-4CE3-97C4-92B9B124DCCE}: NameServer = 194.204.159.1 217.98.63.164

O20 - Winlogon Notify: ssqrq - C:\WINDOWS\SYSTEM32\ssqrq.dll

O23 - Service: Windows Archiver (winarc) - Unknown owner - C:\WINDOWS\devldr.exe (file missing)

====================================

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

Pozdrawiam kuz5

#2

usuń w trybie awaryjnym te wpisy a plik recznie z kompa w tym trybie, potem nowy LOG

#3

Próbowałem w awaryjnym usunąć te wpisy ale wyskoczył komunikat że:

„HijackThis is about to remowe a BHO and the corresponding file from your system. Close all Internet Explorer windows AND all Windows Explorer windows before continuing for the best chance of success.”

No to pozamykałem wszystkie otwarte okna i nic nie pomogło.

A jak chciałem usunąć ręcznie plik ssqrq.dll z C:\windows\system32\ssqrq.dll to mi wyskoczył komunikat:

„BŁĄD USUWANIA PLIKU LUB FOLDERU

Nie można usunąć ssqrq: plik jest używany przez inną osobę lub program. Zamknij wszystkie programy które mogą używać tego programu i spróbuj ponownie.”

Wczoraj sprawdzałem skanerem z http://www.bezpieczenstwo.onet.pl to mi nie wykryło żadnego wirusa, ale nie miałem ściągniętych uaktualnień bo mam modem i jak ściągałem to mnie rozłączyło a skaner działał dalej w offline tylko nie wiem czy to miało sens. Za pierwszym razem jak sprawdzałem to wykryło i nie mogło usunąć:

„C:\WINDOWS\system32\ssqrq.dll - Trojan.Downloader.Agent.Yf;

C:\WINDOWS\devldr.exe - Worm.Prex.J”

devldr.exe udało mi się usunąć i nie weim teraz czy moze ten plik ssqrq.dll jest ok. czy jednak trzeba go usunąć

#4

W trybie awaryjnym nie idzie?

Ok pobierz Pocket Killbox Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę C:\WINDOWS\System32\ssqrq.dll Program poprosi o reset kompa … czyli resetujesz.