Pojawił się VBS:solow.a


(Lazarus1) #1

Koleżanka załapała "VBS:solow.a".

Przeleciałem komputer AVAStem.

Pousuwało wirusa jednak wpis w przeglądarce 'hacked by Godzilla' pozostał.

Zfixowałem jeden wpis z HijackThis i na koncie root-a zniknęło to z przeglądarki (IE7).

Na innych konatach jednak dalej to jest.

Był tam bodajże jeszcze jeden trojan i Bóg wie ile i czego jeszcze.

Nie sprawdzałem jeszcze czy możan wejśc do literki dysku.

Nie widzę w C:/ (jest jedna partycja), tych plików, które należało by usunąć Killboxem.

Prawdopodobnie zrobił to AVAST.

Po aVaście nie dało się wejść.

Użyłem wszystkich tutaj programów podanych i jeszcze nie miałem okazji sprawdzić, czy działa.

Jednak wpis na innych kontach ciągle jest.

Co robić ?

Logfile of HijackThis v1.99.1


Scan saved at 19:05:26, on 2008-01-15


Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)


MSIE: Internet Explorer v7.00 (7.00.6000.16574)




Running processes:


C:\WINDOWS\System32\smss.exe


C:\WINDOWS\system32\winlogon.exe


C:\WINDOWS\system32\services.exe


C:\WINDOWS\system32\lsass.exe


C:\WINDOWS\system32\svchost.exe


C:\Program Files\Windows Defender\MsMpEng.exe


C:\WINDOWS\System32\svchost.exe


C:\Program Files\Intel\Wireless\Bin\EvtEng.exe


C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe


C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe


C:\Program Files\Alwil Software\Avast4\ashServ.exe


C:\WINDOWS\system32\spoolsv.exe


C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe


C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe


C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe


C:\Program Files\Kerio\WinRoute Firewall\winroute.exe


C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe


C:\Program Files\Alwil Software\Avast4\ashWebSv.exe


c:\program files\kerio\winroute firewall\avServer.exe


C:\WINDOWS\Explorer.EXE


C:\WINDOWS\system32\hkcmd.exe


C:\WINDOWS\system32\igfxpers.exe


C:\WINDOWS\RTHDCPL.EXE


C:\WINDOWS\AGRSMMSG.exe


C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe


C:\WINDOWS\system32\TPSMain.exe


C:\Program Files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe


C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe


C:\WINDOWS\system32\TDispVol.exe


C:\WINDOWS\System32\DLA\DLACTRLW.EXE


C:\WINDOWS\system32\TPSBattM.exe


C:\Program Files\Synaptics\SynTP\SynTPEnh.exe


C:\Program Files\TOSHIBA\Tvs\TvsTray.exe


C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe


C:\Program Files\Synaptics\SynTP\Toshiba.exe


C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe


C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe


C:\Program Files\QuickTime\qttask.exe


C:\Program Files\Windows Defender\MSASCui.exe


C:\WINDOWS\system32\ctfmon.exe


C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe


C:\Program Files\Messenger\msmsgs.exe


C:\Program Files\Kerio\WinRoute Firewall\wrctrl.exe


C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe


C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe


C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE


C:\Program Files\Internet Explorer\iexplore.exe


C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe


C:\Program Files\Alwil Software\Avast4\ashSimpl.exe


C:\WINDOWS\system32\notepad.exe


C:\Program Files\Internet Explorer\iexplore.exe


C:\DOCUME~1\Danusia\USTAWI~1\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe




R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.co.uk/0SEENWW/SAOS01?FORM=TOOLBR


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.co.uk/0SEENWW/SAOS01?FORM=TOOLBR


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896


R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157


R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.co.uk/0SEENWW/SAOS01?FORM=TOOLBR


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łšcza


O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll


O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program Files\Windows Desktop Search\dsWebAllow.dll


O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll


O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL


O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll


O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar Suite\msntb.dll


O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe


O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe


O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe


O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE


O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE


O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe


O4 - HKLM\..\Run: [THotkey] C:\Program Files\Toshiba\Toshiba Applet\thotkey.exe


O4 - HKLM\..\Run: [TPSMain] TPSMain.exe


O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe


O4 - HKLM\..\Run: [TFncKy] TFncKy.exe


O4 - HKLM\..\Run: [TDispVol] TDispVol.exe


O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE


O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe


O4 - HKLM\..\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe


O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe


O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"


O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless


O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime


O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe


O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide


O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe


O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe


O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background


O4 - HKCU\..\Run: [WrCtrl] "C:\Program Files\Kerio\WinRoute Firewall\wrctrl.exe"


O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe


O4 - Startup: Szybkie uruchamianie programu Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE


O4 - Global Startup: Windows Desktop Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe


O8 - Extra context menu item: &MSN Search - res://C:\Program Files\MSN Toolbar Suite\msntb.dll/search.htm


O8 - Extra context menu item: Open in new background tab - res://C:\Program Files\MSN Toolbar Suite\en-ww\msntabres.dll.mui/229?9c654e89597640308ff3e7ea5560729f


O8 - Extra context menu item: Open in new foreground tab - res://C:\Program Files\MSN Toolbar Suite\en-ww\msntabres.dll.mui/230?9c654e89597640308ff3e7ea5560729f


O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll


O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll


O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL


O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll


O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll


O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)


O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)


O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe


O11 - Options group: [INTERNATIONAL] International*


O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156496058125


O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab


O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200339730703


O17 - HKLM\System\CCS\Services\Tcpip\..\{25AF82DF-F65A-4AC0-8BF0-96551EB9D026}: NameServer = 10.101.1.1,194.204.159.1


O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll


O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe


O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe


O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe


O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)


O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)


O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe


O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe


O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe


O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe


O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe


O23 - Service: TOSHIBA Application Service (TAPPSRV) - TOSHIBA Corp. - C:\Program Files\Toshiba\TOSHIBA Applet\TAPPSRV.exe


O23 - Service: Kerio WinRoute Firewall (WinRoute) - Kerio Technologies - C:\Program Files\Kerio\WinRoute Firewall\winroute.exe

(Gutek) #2

W HJT nie widzę nic złego

Daj log z ComboFix

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350


(Lazarus1) #3

Niby nie ma już wpisów z tytule IE7, a dokonałem tego poprzez 'odpalnie' HijackThis na kolejno każdym z użytkowników i 'zfixowanie' odpowiednich wpisów.

Dla pewności zapytuję się czy komputer jest już czysty.

http://wklej.org/id/85eaab2522

http://up.wklej.org/download.php?id=f04cd7399b2b0128970efb6d20b5c551


(Gutek) #4

Nic nie widze w logach


(Lazarus1) #5

Nic niby tutaj nie widać, ale komputer łapie regularnie wirusy, częściej niż przeciętny komputer, tym bardziej, że nie są otwierane nie wiadomo jakie strony www, żaden warez itp.

Były otwierane płytki z jakiś pism.

Prawdopodobnie infekcja pochodziła z pendriva.

Format c: jak zwykle skutecznym lekarstwem?


(Efemek) #6

witam, jestem przeciwnikiem formatowania systemu przy każdej okazji, lub jako złoty środek. Jeśli komputer nadal wykazuje oznaki infekcji, można system przeinstalować, ale następnie zabezpieczyć go programem antywirusowym z aktualnymi bazami, jakimś programem antyspyware typu SpyBot Search&Destroy, do tego firewall - może być bezpłatny ZoneLabs Free Edition. 100% pewności nigdy nie ma, ale wiadome, że trudniej złapać coś niefajnego gdy się zabezpieczasz. Prawie jak w pozakomputerowym życiu :wink:


(huber2t) #7

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum