Pilnie prosze o pomoc

Dla specjalistów Bezpieczeństwo
#1

witam. Mam taki problem. Mam zainfekowanego kompa przynajmniej 2virusami/trojanami. Po uruchomieniu komputera zamast ok 20 procesów mam 35. Okienko od internetu nonstop mi świeci mimo że z niego nie korzystam. Internet mi strasznie przerywa i chodzi jak bym miał 50kb/s a posiadam 1mb. Bymbył bardzo wdzięczny za pomoc jako nagrode (skromną bo tylko tyle moge zrobić) polece osobe która mi pomoże na aktywnym i dużym forum :slight_smile: oto mój log:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:21:22, on 2009-10-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\servises.exe

C:\WINDOWS\system32\servises.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Opera\opera.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\ziper\Moje dokumenty\HiJackThis.exe

O4 - HKLM…\Run: [servises] C:\WINDOWS\system32\servises.exe

O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM…\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [reader_s] C:\Documents and Settings\ziper\reader_s.exe

O4 - HKCU…\Run: [servises] C:\WINDOWS\system32\servises.exe

O4 - HKLM…\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe

O4 - HKCU…\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe

O4 - HKUS\S-1-5-18…\Run: [reader_s] C:\Documents and Settings\ziper\reader_s.exe (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\Run: [restorer32_a] .\3C.tmp (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\Run: [servises] C:\WINDOWS\system32\servises.exe (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [reader_s] C:\Documents and Settings\ziper\reader_s.exe (User ‘Default user’)

O4 - HKUS.DEFAULT…\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User ‘Default user’)

End of file - 2083 bytes

licze na szybką pomoc z góry dzięki:)

#2

Nie wiem czy tu będzie co leczyć ale wklej logi z OTL, GMER i System Repair Engineer

Logi wklej na wklej.to a tutaj tylko link do wklejki.

#3

ziper3

Proszę zapoznać się z tematem Ważny komunikat dotyczący tytułowania tematów i poprawić tytuł na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów na forum - przeczytaj i zastosuj się do Tematu

#4

Te proces “Explorer.EXE” to jest trojanik dosyć wredny jeżeli chodzi o próbe jego usunięcia, ale Norton mi pomógł jak i moim znajomym.

#5

To dobrze, że Norton pomógł Wam usunąć prawidłowy plik, pogratulować.

A tak na serio, to tutaj explorer jest prawidłowy, niepokoją wpisy charakterystyczne dla Viruta.

#6

Słuchaj, poszperaj w necie na temat tego pliku Explorer.exe (to jest odpowiedni) natomiast Explorer.EXE - to trojan - czytaj ze zrozumieniem, przestudiuj chociaz log i encyklopedie wirusów ok?

  • przykład zainfekowanego pliku z większą czcionką rozszerzenia.
#7

Ta nazwa jest prawidłowa.

Ta również. :stuck_out_tongue:

To jest trojan o którym wspominasz. :slight_smile:

#8

Czytam i Explorer.exe , Explorer.EXE oraz EXPLORER.EXE mogą być plikami prawidłowymi jak i infekcjami (kilka razy prawidłowy explorer widziałem w logu jako EXPLORER.EXE dopisany do klucza mountpoints2). Zatem kierowanie się wielkością liter nie ma sensu. Gwoli ścisłości, to nazwa explorera jest wyrażona z małych liter jako explorer.exe.

Poza tym skąd wziąłeś ten cytat?

To jedynie oznacza, że proces explorer jest wykorzystywany przez moduł bądź jakąś bibliotekę (która jest/nie jest wirusem) a sam infekcją nie jest. Podczepione moduły listuje System Repair Engineer i GMER, od biedy czasami ComboFix.

Przykład takiego modułu z forum tutaj w postaci pochodnej rootkita TDSS.Serv.