@Pomocy / wirus


(Kyniu955) #1

Witam, szukam pomocy żebby sprawdzić czy mam wirusy i je usunąć...

Skanowalem

Kaspersky 2009

Spyware Doctor

CCleaner

Windows Worms Doors Cleaner - wszystkie porty miałem otwarte... pozamykałem tez wszędzie mam zielone haczyki czyli jest OK

wszystko co znalazło pousuwałem, ale gdy w Kasperskim wziąłem "wejdź w folder którym był wirus" byl tam svchost.exe znalazłem tam także foldery z datami... pojedyncze dni w każdym osobnym folderze był np notatnik który otwierałem(skrót do tego notatnika) zdjęcia(moje oczywiście) także było zapisywane co pisze na klawiaturze, na jakie strony wchodziłem itd.. pousuwałem wszystkie foldery ostatniego nie moglem później mnie wywaliło

wiem ze ścieżka była taka : C:\System Volume Information oczywiście dalej były ścieżki...(teraz gdy próbuje wejść w folder System volume information pisze ze nie mam dostępu)

dodam że tego trojana sam pobrałem i zainstalowałem... (oczywiście nie wiedziałem ze to trojan)myślę ze dopisał kod do svchost.exe.

Także gdy znajduje czasem Adware ( Application.TrackingCookies )usuwa go ale potem znowu się znajduje( chociaż tym razem nic nie wykryło)

A i jeszcze wyłączyłem odzyskiwanie systemu przed dzisiejszym skanowaniem.. bo chyba tam miał pliki i ciągle je kopiował po usuwaniu.

Kaspersky czasami wykrywa ataki (ale je blokuje, za to nie może zablokować komputera z którego są ataki bo jak pisze ma sfałszowany adres"

Log z Hijack

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:49:54, on 2009-03-29

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe

C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Microsoft IntelliPoint\dpupdchk.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\Program Files\Spyware Doctor\pctsGui.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Pomocnik rejestracji usługi Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{3F8B0A1B-C893-448B-ACFC-B61A1D770B2F}: NameServer = 194.204.159.1 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip\..\{3F8B0A1B-C893-448B-ACFC-B61A1D770B2F}: NameServer = 194.204.159.1 217.98.63.164

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe


--

End of file - 7074 bytes

[Dodano : 2009-03-29, 13:11]Co jakieś 10 minut może trochę więcej wyskakują mi komunikaty z atakami! nie mozna zablokować bo adres PC atakującego jest sfałszowany :devil:

screen : [netstat.th.jpgLog z COMBO FIX:

ComboFix 09-03-28.06 - kyniu 2009-03-29 13:52:25.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.511.245 [GMT 2:00]

Uruchomiony z: c:\documents and settings\kyniu\Pulpit\ComboFix.exe

AV: Kaspersky Internet Security *On-access scanning disabled* (Updated)

FW: Kaspersky Internet Security *disabled*

 * Utworzono nowy punkt przywracania

.


((((((((((((((((((((((((( Pliki utworzone od 2009-02-28 do 2009-03-29 )))))))))))))))))))))))))))))))

.


2009-03-29 13:17 . 2009-03-29 13:17	
[/code][hr]

Screen z AVG Anti-Rootkit

[nofoundrotkits.th.jpg

Ataki :

[kaspersky2.th.jpg

nie wiem czy to cos da ale probowalem znalezsc wszystkie svchost (ukryte pliki i foldery, pod foldery, przeszukaj taśmę kopie zapasowa, przeszukaj foldery systemowe)

1 plik svchost ma niebieski kolor czcionki..

szukajb.th.jpg

](http://img259.imageshack.us/my.php?image=netstat.jpg)


(Olixxx94) #2

Log z HJT czysty.


(Kyniu955) #3

a trojan ciagle w pc.


(huber2t) #4

Skorzystaj z Malwarebytes' Anti-Malware

Po tym pokaż nowy log z Combofix


(Kyniu955) #5

ok

-- Dodane 30.03.2009 (Pn) 0:07 --

Malwarebytes' Anti-Malware 1.35

Wersja bazy definicji: 1916

Windows 5.1.2600 Dodatek Service Pack 3

2009-03-30 00:06:03

mbam-log-2009-03-30 (00-06-02).txt

Typ skanowania: Pełne skanowanie (C:\|)

Przeskanowane obiekty: 98115

Upłynęło: 1 hour(s), 5 minute(s), 21 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

(Nie wykryto groźnych plików)


(huber2t) #6

W logu z Comobfix nic nie widzę

usuń ręcznie folder C:\Qoobox oraz Combofix , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum


(Kyniu955) #7

tym Ccleanere czyszcze codziennie, to odzyskiwanie systemu wylaczylem i wlaczylem tez ...... skanowalem dzis Spyware doctor i odziwo znalazl to :

dzis wykrylo :

[Dodano : 2009-03-30, 08:23]

2009-03-30 08:11:51:937 	


IntelliGuard: zablokowano zdarzenie systemowe

Nazwa zagrozenia - Trojan.VB.BFP

Szczególy - Spyware Doctor zablokowal próbe wykonania nastepujacej czynnosci przez aplikacje: odczyt z plik.

Poziom ryzyka - Powazne

Infekcja - C:\DOCUMENTS AND SETTINGS\KYNIU\USTAWIENIA LOKALNE\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\VHZDZWQA.DEFAULT\CACHE\ZZZZZZZZZZZ

2009-03-30 08:11:52:968 	

IntelliGuard: zablokowano zdarzenie systemowe

Nazwa zagrozenia - Trojan.VB.BFP

Szczególy - Spyware Doctor zablokowal próbe wykonania nastepujacej czynnosci przez aplikacje: zamkniecie plik.

Poziom ryzyka - Powazne

Infekcja - C:\DOCUMENTS AND SETTINGS\KYNIU\USTAWIENIA LOKALNE\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\VHZDZWQA.DEFAULT\CACHE\8BD7F2F9D01

2009-03-30 08:12:40:453 	

IntelliGuard: zablokowano zdarzenie systemowe

Nazwa zagrozenia - Backdoor.Hupigon.GEN

Szczególy - Spyware Doctor zablokowal próbe wykonania nastepujacej czynnosci przez aplikacje: odczyt z plik.

Poziom ryzyka - Wysokie

Infekcja - C:\DOCUMENTS AND SETTINGS\KYNIU\USTAWIENIA LOKALNE\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\VHZDZWQA.DEFAULT\CACHE\ZZZZZZZZZZZ

2009-03-30 08:12:41:515 	

IntelliGuard: zablokowano zdarzenie systemowe

Nazwa zagrozenia - Backdoor.Hupigon.GEN

Szczególy - Spyware Doctor zablokowal próbe wykonania nastepujacej czynnosci przez aplikacje: zamkniecie plik.

Poziom ryzyka - Wysokie

Infekcja - C:\DOCUMENTS AND SETTINGS\KYNIU\USTAWIENIA LOKALNE\DANE APLIKACJI\MOZILLA\FIREFOX\PROFILES\VHZDZWQA.DEFAULT\CACHE\A86BB7B1D01

(Spandau) #8

Pobierz ATF Cleaner http://cybertrash.pl/images/tata/ATF/ATF.html opróżnij katalogi Temp oraz Cashe Firefoxa


(Kyniu955) #9

juz sie robi

-- Dodane 30.03.2009 (Pn) 9:11 --

ok usunelo jakies 2 tys plikow, ale mi sie rozchodzi takze o trojana ktory jest w C;/system volume~~~i tak dalej sciezka nie moge tam sie dostac..

-- Dodane 30.03.2009 (Pn) 9:11 --

ok usunelo jakies 2 tys plikow, ale mi sie rozchodzi takze o trojana ktory jest w C;/system volume~~~i tak dalej sciezka nie moge tam sie dostac..

-- Dodane 30.03.2009 (Pn) 9:15 --

jak usunac pliki z " przywracania systemu? bo mysle ze tam jest tez trojan zapisny i sie ciagle kopiuje po usunieciu ?


(Spandau) #10

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj system Dr.WEB CureIt! usuń co znajdzie - pełne skanowanie


(Kyniu955) #11

mam ciagle wylaczona ale jak usunac :stuck_out_tongue: chwila przeczytam


(Spandau) #12

Jeśli przywracanie systemu jest wyłączone to OK. Przeskanuj DrWeb. Jeśli DrWeb znajdzie tam trojana to usunie.


(Kyniu955) #13

nic nie znalazl ;s


(Spandau) #14

Więc raczej nie ma wirusa. Powinno być OK


(Kyniu955) #15

"podobno"

:confused: ogolnie to mial byc program do "GRY" ale ktos doczepil do niego keyloggera lub trojana

i to co na klawie pisze bylo tam w c;\system volume information jakas sciezka dalej.. byly foldery itd pousuwalem teraz nie mam tam wstepu ;x


(Spandau) #16

Do tego folderu normalnie się nie dostaniesz Wyłączenie przywracania systemu na wszystkich dyskach powinno usunąć to co znajduje się w tym folderze, możliwe więc że tak się stało i dlatego nic nie ma.


(Kyniu955) #17

http://www.speedyshare.com/401187384.html log z kaspersky Virus Remover

screen :

skan.jpg

w984.png


(Spandau) #18

Proszę usunąć wszystko z folderu C:Documents and Settings\kyniu\DoctorWeb\ Quarantine Powinno być OK


(Monczkin) #19

kyn1u , nazwij proszę temat konkretnie i popraw posty z logami.

viewtopic.php?f=16&t=66889

viewtopic.php?f=16&t=253052