Mam problem z win32/adinstaller


(Iza Bielak) #1

Witajcie. Mam problem z Nodem32. Skanuje dogłębną analizą i Nod wykrywa mi wirusa, pokazuje mi się okienko i jest tylko jedna opcja POZOSTAW, nie ma usuń itp. Co mam zrobić? Aktualizacje mam. mówi mi że mam wirusa typu Win32/AdInstaller Program HELP

Logfile of HijackThis v1.99.1

Scan saved at 22:46:37, on 2008-02-18

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

H:\WINNT\System32\smss.exe

H:\WINNT\system32\csrss.exe

H:\WINNT\system32\winlogon.exe

H:\WINNT\system32\services.exe

H:\WINNT\system32\lsass.exe

H:\WINNT\system32\svchost.exe

H:\WINNT\system32\svchost.exe

H:\WINNT\System32\svchost.exe

H:\WINNT\system32\svchost.exe

H:\WINNT\system32\svchost.exe

H:\WINNT\system32\spoolsv.exe

H:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

H:\Program Files\Common Files\LightScribe\LSSrvc.exe

H:\Program Files\Eset\nod32krn.exe

H:\WINNT\system32\nvsvc32.exe

H:\WINNT\system32\svchost.exe

H:\WINNT\system32\wdfmgr.exe

H:\WINNT\System32\alg.exe

H:\WINNT\Explorer.EXE

H:\Program Files\VDOTool\TBPanel.exe

H:\WINNT\system32\RUNDLL32.EXE

H:\WINNT\RTHDCPL.EXE

H:\Program Files\D-Tools\daemon.exe

H:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

H:\WINNT\system32\rundll32.exe

H:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

H:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

H:\Program Files\Eset\nod32kui.exe

H:\Program Files\Brother\ControlCenter3\brccMCtl.exe

H:\WINNT\system32\ctfmon.exe

H:\Program Files\Winamp Remote\bin\OrbTray.exe

H:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

H:\Program Files\AVerTV\QuickTV.exe

H:\Program Files\OpenOffice.org 2.2\program\soffice.exe

H:\Program Files\OpenOffice.org 2.2\program\soffice.BIN

H:\Documents and Settings\Iza\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wm ... Ojg5&lid=2

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łšcza

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - H:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - H:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - H:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)

O2 - BHO: SXG Advisor - {4BF7B3BF-B8B5-439D-A9EB-9272CB92186F} - H:\WINNT\dmdvpnsop.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - H:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)

O3 - Toolbar: emotigt - {F049A30C-9014-4F4D-B022-A666D8B4B3BB} - H:\WINNT\emotigt.dll

O4 - HKLM..\Run: [Gainward] H:\Program Files\VDOTool\TBPanel.exe /A

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINNT\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM..\Run: [DAEMON Tools-1033] "H:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM..\Run: [sunJavaUpdateSched] "H:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM..\Run: [NeroFilterCheck] H:\WINNT\system32\NeroCheck.exe

O4 - HKLM..\Run: [My Web Search Bar] rundll32 H:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S

O4 - HKLM..\Run: [sSBkgdUpdate] "H:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM..\Run: [PaperPort PTD] H:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

O4 - HKLM..\Run: [indexSearch] H:\Program Files\ScanSoft\PaperPort\IndexSearch.exe

O4 - HKLM..\Run: [brMfcWnd] H:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

O4 - HKLM..\Run: [setDefPrt] H:\Program Files\Brother\Brmfl06a\BrStDvPt.exe

O4 - HKLM..\Run: [ControlCenter3] H:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun

O4 - HKLM..\Run: [nod32kui] "H:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU..\Run: [CTFMON.EXE] H:\WINNT\system32\ctfmon.exe

O4 - HKCU..\Run: [MyWebSearch Email Plugin] H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU..\Run: [Orb] "H:\Program Files\Winamp Remote\bin\OrbTray.exe" /background

O4 - HKCU..\Run: [AntiSpywareBot] H:\Program Files\AntispywareBot\AntiSpywareBot.exe -boot

O4 - Startup: OpenOffice.org 2.2.lnk = H:\Program Files\OpenOffice.org 2.2\program\quickstart.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O4 - Global Startup: QuickTV.lnk = H:\Program Files\AVerTV\QuickTV.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... p=ZJfox000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip..{0655F018-23FE-45E3-BD86-2E061B511C08}: NameServer = 85.255.113.203,85.255.112.227

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.203 85.255.112.227

O17 - HKLM\System\CS2\Services\Tcpip..{0655F018-23FE-45E3-BD86-2E061B511C08}: NameServer = 85.255.113.203,85.255.112.227

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.203 85.255.112.227

O17 - HKLM\System\CS3\Services\Tcpip..{0655F018-23FE-45E3-BD86-2E061B511C08}: NameServer = 85.255.113.203,85.255.112.227

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.203 85.255.112.227

O21 - SSODL: bdmanager - {F7D212B8-D6CB-4B8F-B0C1-B83862ACF644} - H:\WINNT\bdmanager.dll

O21 - SSODL: admgcx - {B26A6A2A-CAA8-4813-8290-0D9650F186FA} - H:\WINNT\admgcx.dll

O23 - Service: BlueSoleil Hid Service - Unknown owner - H:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - H:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - H:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINNT\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - H:\Program Files\PC Connectivity Solution\ServiceLayer.exe

pozdrawiam


(jessica) #2

Masz dwie infekcje.

Najpierw zajmiemy się usuwaniem ukraińskiego Rootkita:

Użyj -->FixWareout

Po jego użyciu może zajść potrzeba ustawiania od nowa DNS Twojego dostawcy internetowego.

–>Jak przywrócić prawidłowe DNS.

Potem:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - H:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - H:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - H:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)

O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - H:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (file missing)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [My Web Search Bar] rundll32 H:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S

O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINNT\system32\ctfmon.exeO4 - HKCU\..\Run: [MyWebSearch Email Plugin] H:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [AntiSpywareBot] H:\Program Files\AntispywareBot\AntiSpywareBot.exe -boot

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... p=ZJfox00

O17 - HKLM\System\CCS\Services\Tcpip\..\{0655F018-23FE-45E3-BD86-2E061B511C08}: NameServer = 85.255.113.203,85.255.112.227

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.203 85.255.112.227

O17 - HKLM\System\CS2\Services\Tcpip\..\{0655F018-23FE-45E3-BD86-2E061B511C08}: NameServer = 85.255.113.203,85.255.112.227

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.113.203 85.255.112.227

O17 - HKLM\System\CS3\Services\Tcpip\..\{0655F018-23FE-45E3-BD86-2E061B511C08}: NameServer = 85.255.113.203,85.255.112.227

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.203 85.255.112.227

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem:

Użyj -->SmitfraudFix.

Użyj go z opcji “Clean”, czyli wpisz 2 i naciśnij ENTER.

Po jego użyciu może zajść potrzeba ustawiania od nowa tapety (czyli prawoklik na ekranie>>właściwości, itd. )

Daj z niego raport z C:\Report.txt

Daj też raport z C:\FixWareout.txt

Wklej je na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

jessi


(Iza Bielak) #3

http://wklej.org/id/0d34d17073


(jessica) #4

Widzę, że nie był jeszcze użyty SmitfraudFix , więc go wreszcie użyj i daj jego raport.

jessi


(Iza Bielak) #5

użyłam a tu jest raport

SmitFraudFix v2.290

Scan done at 13:56:29,82, 2008-02-19

Run from H:\Documents and Settings\Iza\Pulpit\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode

ťťťťťťťťťťťťťťťťťťťťťťťť SharedTaskScheduler Before SmitFraudFix

!!


(jessica) #6

Aha, SmitfraudFix z jakiegoś powodu nie może usunąć infekcji - widać w raporcie “Error”.

Trudno, trzeba inaczej.

Ściągnij -->ComboFix

Wklej do Notatnika :

File::

H:\WINNT\bdmanager.dll 

H:\WINNT\admgcx.dll


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"bdmanager"=-

"admgcx"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

Uwaga: ComboFix powoduje utratę internetu. Trzeba po prostu zrestartować komputer.

jessi


(Iza Bielak) #7

http://wklej.org/id/9698a3d281


(jessica) #8

Jeszcze nie wszystko.

Wklej do Notatnika :

File::

H:\WINNT\emotigt.dll


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 

"bdmanager"=-

"admgcx"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi


(Iza Bielak) #9

http://wklej.org/id/9698a3d281


(Iza Bielak) #10

to nie to co powinnam wysłać przepraszam zaraz wyśle poprawne


(Iza Bielak) #11

http://wklej.org/id/804f9c6bda


(jessica) #12

Teraz jest czysto.

Usuń teraz ręcznie Kwarantannę ComboFixa, czyli H:\Qoobox

jessi


(Iza Bielak) #13

usunęłam

wielkie dzięki :slight_smile: nie wiem jak się odwdzięczę


(Iza Bielak) #14

przepraszam ale znowu mam problem i to chyba ten sam. :frowning: nod32 znajduje

Zbiór H:\System Volume Information_restore{89049AAD-F462-45E8-A071-583CF5676F19}\RP103\A0031438.exe jest zainfekowany - odmiana Win32/AdInstaller Program.

i nie da się nic z tym zrobić. teraz już nie pokazują się komunikaty i jest wszystko ok z internetem ale wirus nadal jest znajdowany przez noda

podczas skanowania jest tak

H:\System Volume Information_restore{89049AAD-F462-45E8-A071-583CF5676F19}\RP103\A0031438.exe »CAB »mwsSrcSp.CommonCodebase.exe - odmiana Win32/AdInstaller Program

H:\System Volume Information_restore{89049AAD-F462-45E8-A071-583CF5676F19}\RP103\A0031438.exe - odmiana Win32/AdInstaller Program

a tu są logi http://wklej.org/id/f2e7b94c05


(Leon$) #15

Wyłącz przywracanie systemu na wszystkich dyskach potem włącz

:slight_smile:


(Iza Bielak) #16

dziękuje bardzo Wam. już wszystko jest ok :smiley: wytłumaczyliście blondynce jak ma się pozbyć świństwa a to nie lada wyczyn :wink: