Podejrzenie


(Narnijka) #1

Witam!

Dzisiaj Panda Antivirus wykryl mi wirusa Win/32Backterra.D.worm. Niby przeniósł go do kwarantanny, ale coś nie tak jest z kompem, np po właczęniu wygaszacza nagle wylogowuje mnie z mojego konta. Poza tym chyba log jest podejrzany. :? zwłaszcza C:\WINDOWS\System32\dllhost.exe. Proszę jeszcze o sprawdzenie. Dodam ,ze mam win xp sp2, i skanowałąm dzisiaj pandą oraz mks. :cry:

Logfile of HijackThis v1.98.2

Scan saved at 20:09:16, on 2004-12-22

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ntvdm.exe

C:\WINDOWS\vcdplayx.exe

E:\Program Files\Panda Antywirus Platinum\APVXDWIN.EXE

E:\Program Files\ZoneAlarm\zlclient.exe

E:\Program Files\ProtoWall 1.42\ProtoWall\ProtoWall.exe

C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\WINDOWS\System32\nvsvc32.exe

E:\Program Files\Panda Antywirus Platinum\Firewall\PavFires.exe

E:\Program Files\Panda Antywirus Platinum\pavsrv51.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

E:\Program Files\Panda Antywirus Platinum\AVENGINE.EXE

E:\Program Files\Panda Antywirus Platinum\pavProxy.exe

C:\WINDOWS\System32\dllhost.exe

E:\Program Files\eMule\eMule0.44bPawcio5.14\emule.exe

E:\Program Files\Opera 7.54\opera.exe

E:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.happs.ys.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.17.1.26:14000

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F3 - REG:win.ini: load=e:\collins\program\watch.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file)

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe"

O4 - HKLM..\Run: [sCANINICIO] "E:\Program Files\Panda Antywirus Platinum\Inicio.exe"

O4 - HKLM..\Run: [APVXDWIN] "E:\Program Files\Panda Antywirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM..\Run: [Zone Labs Client] "E:\Program Files\ZoneAlarm\zlclient.exe"

O4 - HKCU..\Run: [ProtoWall] E:\Program Files\ProtoWall 1.42\ProtoWall\ProtoWall.exe

O4 - HKCU..\Run: [incrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O4 - Startup: zonealarm.lnk = E:\Program Files\ZoneAlarm\zonealarm.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll


(Dragonlnx) #2

Usuń:


(Adarek) #3

Wyłącz przywracanie systemu

Start kompa do trybu awaryjnego

Usuń :

O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file) 

O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)

Restartuj kompa do normalnego trybu.

Odwiedz scaner online :

http://www.windowsecurity.com/trojanscan/

Użyj :

Pestpatrol

instrukcja

Ewido Free Security Suite

ETD Security Scanner 3.0

http://www.download.com/ETD-Security-Sc ... 29424.html


(Xiao19) #4

O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file) to zostawiasz, aplikacja NIS 2004 :stuck_out_tongue: :stuck_out_tongue:

kasujesz jeszcze

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

dalej skan skanerami AV

--F-Secure--

http://support.f-secure.com/enu/home/ols.shtml

--GeCAD (RAV)--

http://www.ravantivirus.com/scan/

oraz tym G Data Software - skaner na zadanie

http://dobreprogramy.pl/index.php?dz=2&id=846&t=30

mhh

ciekawe po co, dziwne ?


(Adarek) #5

Kamcia_18 tak mówi to zostaw. :smiley:

Ale sie pomyliła bo:

To Java ,sprawna i działająca i masz zostawić. :smiley:


(Xiao19) #6

hehe jave to tu masz

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) :stuck_out_tongue: :stuck_out_tongue:

poco mu stary wpis pusty mhh

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)


(Adarek) #7

To nie jest stary wpis . Na niekrórych kompach HijackThis tak pokazuje .

To jest sprawna Java. I nie pusty wpis, mino ze pisze >>>no file

Porównaj sobie cyferki.... :smiley:

:stuck_out_tongue: