Pomoc w usunięciu Virus.Win32.Virut.n

Dla specjalistów Bezpieczeństwo
#1

prosze o sprawdzenie logów i pomoc w usunięciu wirusa

Logfile of HijackThis v1.99.1

Scan saved at 20:38:40, on 2007-09-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\vsnpstd.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Krystyna\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe”

O4 - HKLM…\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe

O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O17 - HKLM\System\CCS\Services\Tcpip…{604DCA53-EB35-49B9-9661-445DA6BEE698}: NameServer = 213.241.79.37 83.238.255.76

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#2

Ja nie widzę w tych logach nic podejrzanego.

Nie podałeś nazwy wirusa, ani ścieżki.

Jeśli jest to wirus zarażający wszystkie pliki o rozszerzeniu *.exe , to oczywiście nie będzie nic widać w logach, ale miejmy nadzieję, że nie chodzi o takiego wirusa…

jessi

#3

antywirus ciągle pokazuje ze coś jest także SpybotCzas Moduł Obiekt Nazwa Wirus Czynność Użytkownik Informacje

2007-09-30 20:44:16 AMON plik C:\WINDOWS\system32\ipcclient.dll Win32/Adware.Aureate Program KOMPUTER\Krystyna Zdarzenie miało miejsce podczas próby dostępu do pliku przez program: C:\WINDOWS\system32\findstr.exe.

2007-09-30 20:44:14 AMON plik C:\WINDOWS\system32\tfde.dll Win32/Adware.Aureate Program KOMPUTER\Krystyna Zdarzenie miało miejsce podczas próby dostępu do pliku przez program: C:\WINDOWS\system32\findstr.exe.

2007-09-30 20:36:48 AMON plik C:\WINDOWS\system32\adimage.dll Win32/Adware.Aureate Program KOMPUTER\Krystyna Zdarzenie miało miejsce podczas próby dostępu do pliku przez program: C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe.

2007-09-30 20:28:29 AMON plik C:\WINDOWS\system32\ipcclient.dll Win32/Adware.Aureate Program KOMPUTER\Krystyna Zdarzenie miało miejsce podczas próby dostępu do pliku przez program: C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe.

2007-09-30 20:28:26 AMON plik C:\WINDOWS\system32\adimage.dll Win32/Adware.Aureate Program KOMPUTER\Krystyna Zdarzenie miało miejsce podczas próby dostępu do pliku przez program: C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe.

2007-09-30 20:23:28 AMON plik C:\WINDOWS\system32\tfde.dll Win32/Adware.Aureate Program KOMPUTER\Krystyna Zdarzenie miało miejsce podczas próby dostępu do pliku przez program: C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe.

2007-09-30 20:20:58 AMON plik C:\WINDOWS\system32\tfde.dll Win32/Adware.Aureate Program KOMPUTER\Krystyna Zdarzenie miało miejsce podczas próby dostępu do pliku przez program: C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe.

2007-09-30 20:20:17 AMON plik C:\WINDOWS\system32\ipcclient.dll Win32/Adware.Aureate Program KOMPUTER\Krystyna Zdarzenie miało miejsce podczas próby dostępu do pliku przez program: C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe.

#4

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Pobierz The Avenger. Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w taką lupkę => w okienku, które się otworzy wklej:

kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).

#5
#6

Przepraszam - pytałam o nazwę wirusa, a przecież w tytule tematu podana jest nazwa.

I niestety jest to wirus, który zaraża wszystkie pliki wykonywalne! :frowning:

Prawdopodobnie będziesz musiał sformatować dysk.

Ale na razie:

Wklej do Notatnika :

File::

D:\RECYCLER\S-1-5-21-1757981266-1078145449-1343024091-1003\Dd29.exe

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku –> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Trzeba także opróżnić całkowicie folder "System Volume Information:

Ponieważ Twój Kaspersky też jest pewnie już zarażony, to przeskanuj system skanerami on-line:

http://cybertrash.pl/downloads.php?cat_id=14 -> na stronie po lewej jest do wyboru kilka skanerów.

Oczywiście usuwaj wszystko, co znajdą.

Potem popatrz, czy warto jeszcze ratować , to co pozostanie po usuwaniu, czy lepiej od razu sformatować dysk?

Jeśli się zdecydujesz na ratowanie, to brakujące po usuwaniu pliki systemowe trzeba będzie wgrać z płytki WINDOWSA.

jessi

#7

Jak uzyskać dostęp do folderu System Volume Information

http://support.microsoft.com/kb/309531/PL/ - albo:

Prawoklik na Mój Komputer>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.