DrPsi
(Fasol16)
16 Luty 2009 18:32
#1
Ostatni przeciągnąłem coś z RS no niestety była tam niespodzianka NOD 32 pokazuje mi ze wrzucił do Kwarantanny
wiem ze jak coś jest w kwarantannie to tak jak by tego nie było ale wole żeby tego naprawdę nie było
Wklejam LOG z Trend Micro HijackThis v2.0.2
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:21:07, on 2009-02-16
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:ProgramyCreativeSBAudigySurround MixerCTSysVol.exe
C:WINDOWSsystem32Rundll32.exe
C:WINDOWSsystem32RunDLL32.exe
C:ProgramyESETESET Smart Securityegui.exe
C:ProgramyBonjourmDNSResponder.exe
C:ProgramyJavajre6binjusched.exe
C:WINDOWSsystem32CTsvcCDA.EXE
C:ProgramyDiskeeper CorporationDiskeeperDkService.exe
C:WINDOWSSystem32rs32net.exe
C:ProgramyESETESET Smart Securityekrn.exe
C:ProgramyJavajre6binjqs.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSservices.exe
C:WINDOWSSystem32reader_s.exe
C:WINDOWSsystem32nvsvc32.exe
C:WINDOWSsystem32ctfmon.exe
C:ProgramyCreativeMediaSourceDetectorCTDetect.exe
C:WINDOWSsystem32PnkBstrA.exe
C:ProfileBartoszUstawienia lokalneDane aplikacjiGoogleUpdateGoogleUpdate.exe
C:ProgramyOLYMPUSOLYMPUS Master 2MMonitor.exe
C:ProfileBartoszDane aplikacjiSanDiskSansa UpdaterSansaDispatch.exe
C:WINDOWSsystem32PSIService.exe
C:ProgramyNowe Gadu-Gadugg.exe
C:WINDOWSSystem32rs32net.exe
C:WINDOWSSystem32svchost.exe
C:ProgramyNowe Gadu-Gaduspellchecker_gg.exe
C:WINDOWSsystem32svchost.exe
C:ProgramyJetAudioJetAudio.exe
C:ProgramyXfirexfire.exe
C:WINDOWSsystem32wbemwmiapsrv.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
D:Tempekm42.tmp
C:WINDOWSsystem32svchost.exe
C:ProgramyMozilla Firefoxfirefox.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
D:Tempqmr19C.tmp
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
D:TempRar$EX00.078HijackThis.exe
C:WINDOWSSystem32svchost.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.przygodazinternetem.pl/
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ��cza
F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:ProfileBartoszsnn.exe s
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:ProgramyOrbitdownloaderorbitcth.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgramyCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:ProgramyJavajre6binssv.dll
O4 - HKLM..Run: [JMB36X Configure] C:WINDOWSsystem32JMRaidTool.exe boot
O4 - HKLM..Run: [CTSysVol] C:ProgramyCreativeSBAudigySurround MixerCTSysVol.exe /r
O4 - HKLM..Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM..Run: [UpdReg] C:WINDOWSUpdReg.EXE
O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 - HKLM..Run: [nwiz] nwiz.exe /install
O4 - HKLM..Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:ProgramyAdobeReader 8.0ReaderReader_sl.exe"
O4 - HKLM..Run: [OM2_Monitor] "C:ProgramyOLYMPUSOLYMPUS Master 2FirstStart.exe" /OM
O4 - HKLM..Run: [egui] "C:ProgramyESETESET Smart Securityegui.exe" /hide /waitservice
O4 - HKLM..Run: [QuickTime Task] "C:ProgramyQuickTimeQTTask.exe" -atboottime
O4 - HKLM..Run: [MP10_EnsureFileVer] C:WINDOWSinfunregmp2.exe /EnsureFileVersions
O4 - HKLM..Run: [Anti Trojan Elite] C:ProgramyAnti Trojan EliteTJEnder.exe :NO
O4 - HKLM..Run: [SunJavaUpdateSched] "C:ProgramyJavajre6binjusched.exe"
O4 - HKLM..Run: [rs32net] C:WINDOWSSystem32rs32net.exe
O4 - HKLM..Run: [services] C:WINDOWSservices.exe
O4 - HKLM..Run: [reader_s] C:WINDOWSSystem32reader_s.exe
O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Creative Detector] C:ProgramyCreativeMediaSourceDetectorCTDetect.exe /R
O4 - HKCU..Run: [AlcoholAutomount] "C:ProgramyAlcohol SoftAlcohol 52axcmd.exe" /automount
O4 - HKCU..Run: [Google Update] "C:ProfileBartoszUstawienia lokalneDane aplikacjiGoogleUpdateGoogleUpdate.exe" /c
O4 - HKCU..Run: [OM2_Monitor] "C:ProgramyOLYMPUSOLYMPUS Master 2MMonitor.exe"
O4 - HKCU..Run: [OS2_Monitor] "D:ProgramyOLYMPUSOLYMPUS Studio 2SMonitor.exe" -NoStart
O4 - HKCU..Run: [SansaDispatch] C:ProfileBartoszDane aplikacjiSanDiskSansa UpdaterSansaDispatch.exe
O4 - HKCU..Run: [EA Core] "C:ProgramyElectronic ArtsEADMCore.exe" -silent
O4 - HKCU..Run: [Nowe Gadu-Gadu] "C:ProgramyNowe Gadu-Gadugg.exe"
O4 - HKCU..Run: [rs32net] C:WINDOWSSystem32rs32net.exe
O4 - HKCU..Run: [reader_s] C:ProfileBartoszreader_s.exe
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - HKUS.DEFAULT..Run: [reader_s] C:ProfileBartoszreader_s.exe (User 'Default user')
O4 - HKUS.DEFAULT..RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: jetAudio.lnk = ?
O4 - Startup: Xfire.lnk = C:ProgramyXfirexfire.exe
O4 - Global Startup: Orbit.lnk = D:ProgramyOrbitdownloaderorbitdm.exe
O8 - Extra context menu item: Download by Orbit - res://D:ProgramyOrbitdownloaderorbitmxt.dll/201
O8 - Extra context menu item: Grab video by Orbit - res://D:ProgramyOrbitdownloaderorbitmxt.dll/204
O8 - Extra context menu item: Download selected by Orbit - res://D:ProgramyOrbitdownloaderorbitmxt.dll/203
O8 - Extra context menu item: Download all by Orbit - res://D:ProgramyOrbitdownloaderorbitmxt.dll/202
O8 - Extra context menu item: Eksportuj do programu Microsoft Excel - res://C:ProgramyMICROS~2Office12EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe
O20 - Winlogon Notify: crypt - C:WINDOWSSYSTEM32crypts.dll
O20 - Winlogon Notify: ljjgyc - C:WINDOWSSYSTEM32ljjgyc32.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (bonjour service) - Apple Computer, Inc. - C:ProgramyBonjourmDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:WINDOWSsystem32CTsvcCDA.EXE
O23 - Service: Diskeeper - Diskeeper Corporation - C:ProgramyDiskeeper CorporationDiskeeperDkService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:ProgramyESETESET Smart SecurityEHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:ProgramyESETESET Smart Securityekrn.exe
O23 - Service: FCI (fci) - Unknown owner - C:WINDOWSsystem32svchost.exe:ext.exe
O23 - Service: FLEXnet Licensing Service (flexnet licensing service) - Macrovision Europe Ltd. - C:ProgramyCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service: ICF (icf) - Unknown owner - C:WINDOWSsystem32svchost.exe:ext.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:ProgramyCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:ProgramyJavajre6binjqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:WINDOWSsystem32PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:WINDOWSsystem32PSIService.exe
--
End of file - 8164 bytes
mam nadziej ze pomożecie ;]
Leon1
(Leon$)
16 Luty 2009 19:13
#2
brak ukośników w logu popraw
DrPsi
(Fasol16)
16 Luty 2009 20:06
#3
jakich ukośników ??
proszę pomóżcie jest coraz gorzej coś znowu mi weszło
Leon1
(Leon$)
16 Luty 2009 20:25
#4
powinno być
C:\WINDOWS\System32\smss.exe
DrPsi
(Fasol16)
17 Luty 2009 08:40
#5
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:39:33, on 2009-02-17
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programy\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programy\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\Explorer.EXE
C:\Programy\ESET\ESET Smart Security\ekrn.exe
C:\Programy\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programy\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programy\ESET\ESET Smart Security\egui.exe
C:\Programy\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\rs32net.exe
C:\WINDOWS\services.exe
C:\WINDOWS\System32\reader_s.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programy\Creative\MediaSource\Detector\CTDetect.exe
C:\Profile\Bartosz\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\cmd.exe
C:\Programy\OLYMPUS\OLYMPUS Master 2\MMonitor.exe
C:\Profile\Bartosz\Dane aplikacji\SanDisk\Sansa Updater\SansaDispatch.exe
C:\Programy\Nowe Gadu-Gadu\gg.exe
C:\WINDOWS\System32\rs32net.exe
C:\Profile\Bartosz\reader_s.exe
C:\Programy\Nowe Gadu-Gadu\spellchecker_gg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programy\JetAudio\JetAudio.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\services.exe
C:\WINDOWS\system32\svchost.exe
C:\Programy\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\dcz4F.tmp
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programy\WinRAR\WinRAR.exe
C:\WINDOWS\System32\svchost.exe
D:\Temp\Rar$EX00.922\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Profile\Bartosz\snn.exe \s
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programy\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programy\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programy\Java\jre6\bin\ssv.dll
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [CTSysVol] C:\Programy\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programy\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [OM2_Monitor] "C:\Programy\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM
O4 - HKLM\..\Run: [egui] "C:\Programy\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programy\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MP10_EnsureFileVer] C:\WINDOWS\inf\unregmp2.exe /EnsureFileVersions
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Programy\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programy\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programy\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programy\Alcohol Soft\Alcohol 52\axcmd.exe" /automount
O4 - HKCU\..\Run: [Google Update] "C:\Profile\Bartosz\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [OM2_Monitor] "C:\Programy\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"
O4 - HKCU\..\Run: [OS2_Monitor] "D:\Programy\OLYMPUS\OLYMPUS Studio 2\SMonitor.exe" -NoStart
O4 - HKCU\..\Run: [SansaDispatch] C:\Profile\Bartosz\Dane aplikacji\SanDisk\Sansa Updater\SansaDispatch.exe
O4 - HKCU\..\Run: [EA Core] "C:\Programy\Electronic Arts\EADM\Core.exe" -silent
O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Programy\Nowe Gadu-Gadu\gg.exe"
O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe
O4 - HKCU\..\Run: [reader_s] C:\Profile\Bartosz\reader_s.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Profile\Bartosz\reader_s.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [vxrwgfpx.exe] C:\WINDOWS\vxrwgfpx.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: jetAudio.lnk = ?
O4 - Startup: Xfire.lnk = C:\Programy\Xfire\xfire.exe
O4 - Global Startup: Orbit.lnk = D:\Programy\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://D:\Programy\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://D:\Programy\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Programy\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://D:\Programy\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\Programy\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll
O20 - Winlogon Notify: ljjgyc - C:\WINDOWS\SYSTEM32\ljjgyc.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (bonjour service) - Apple Computer, Inc. - C:\Programy\Bonjour\mDNSResponder.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programy\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programy\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programy\ESET\ESET Smart Security\ekrn.exe
O23 - Service: FCI (fci) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: FLEXnet Licensing Service (flexnet licensing service) - Macrovision Europe Ltd. - C:\Programy\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programy\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICF (icf) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programy\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programy\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
--
End of file - 8393 bytes
sorka nie zwróciłem uwagi teraz lepiej ??
jessica
(jessica)
17 Luty 2009 09:49
#6
Kilka grożnych infekcji, ale wygląda na to, że jedną z nich jest wirus VIRUT, który zaraża wszystkie *.exe .
Trzeba to najpierw sprawdzić, bo nie ma sensu usuwać innych infekcji, jeśli potem i tak trzeba będzie sformatować dysk.
Ściągnij stąd “Dr. Web CureIt!” > http://www.speedyshare.com/392524813.html , od razu przy ściąganiu zapisz go pod taką nazwą, jaką mu nadałam (“purre.com ”)
Napisz, co wykrył. Może zamiast VIRUT być SALITY, albo użyta jakaś inna nazwa, ale chodzi o to, czy będą zarażone pliki \ *.exe .
Jeśli nie zostanie wykryta taka infekcja, to zrobisz to:
Użyjesz (w Trybie Awaryjnym!)–>SDFix -na dole strony z linku
Pokażesz Report.txt znajdujący się w folderze SDFix.
Dasz log z ComboFix
Nowsza instrukcja obsługi ComboFixa >http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix
Znasz to czerwone?
jessi
asterisk
(Asterisk)
17 Luty 2009 10:42
#7
Proszę zastosować się do tego Tematu i edytować własnego posta
w celu zmiany jego tytułu na konkretny.
W przeciwnym razie topic wyląduje w Śmietniku.
DrPsi
(Fasol16)
17 Luty 2009 14:06
#8
NIestety nie znam tego na czerwodo
do moda zachwile poprawie ;]
Dodano
Zrobiwszy format C jest lepiej ale nie usunęło to moich wszystkich problemów ;/ co nieco syfu zostało dzięki Dr.web usuwa mi na Bierzyce trojany ale niestety ciągle mi je wykrywa mimo ze już chyba 4 raz zrobiłem skan szukania szybkiego i raz skan całkowity
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09:48, on 2009-02-17
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\Rundll32.exe
C:\Program Files\Nowe Gadu-Gadu\gg.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Dr.Psi\Pulpit\purre.com
C:\DOCUME~1\Dr.Psi\USTAWI~1\Temp\RarSFX3\_start.exe
C:\DOCUME~1\Dr.Psi\USTAWI~1\Temp\RarSFX3\setup.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Dr.Psi\USTAWI~1\Temp\Rar$EX00.125\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
--
End of file - 3607 bytes
dodadkowo dorzucam z obecnego systemu loga ;/
jessica
(jessica)
17 Luty 2009 15:19
#9
Czy dobrze zrozumiałam: mimo sformatowania dysku dalej są wykrywane zarażone \ *.exe ?
Użyj -->KVRT (niżej na stronie linku)
Napisz, co wykrył.
jessi
DrPsi
(Fasol16)
17 Luty 2009 17:09
#10
Tak ale jestem wstanie to wyjaśnić miałem Folder temp na Partycji D czyli wszystkie wirusy trojany wędrowały tam po zrobieniu format usunąłem folder temp z D i po pewnym czasie zrobiłem 2 format C teraz na obecna chwile mam Kasperskiego i puki co nic nie wykryło przy menadżerze tez nie ma żadnych podejrzanych *.exe
![-o<
Leon1
(Leon$)
17 Luty 2009 17:25
#11
dobrze by było żebyś
Pobierz Combofix http://www.searchengines.pl/index.php?s … 642uruchom dwuklikiem pokaż log
Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy
log HijackThis nic nie wnosi
DrPsi
(Fasol16)
18 Luty 2009 18:33
#12
po 2 formacie znalazł mi Norton tego oto palanta “Wirus Win32.Virut.CF” no to podobno go usunął restart i przysłowiowa zupa potem format C i znalazł mi ponownie w 2 plikach wiec uleczył restart i co działa :o lecz zapuściłem pełny skan tez nic nie znalazł ale nie pasuje mi to
C:\WINDOWS\System32\smss.exe
nie znam się na procesach ale czy to trojan czy normalny proces systemowy bo nie wiem czy zasiadać na obecnym systemie na stale
czy ktoś mi doradzi czy najlepiej wyjąc dysk i go wyrzucić i zakupić nowy ??
Leon1
(Leon$)
18 Luty 2009 18:45
#13
smss.exe
Proces odpowiedzialny za obsługę sesji systemu Microsoft Windows.
Nazywany jest Menedżerem sesji. Zainicjowany przez system odpowiada za wiele czynności, m.in logowania WinLogon
skoro antywirus nic nie znalazł to powinno być OK
DrPsi
(Fasol16)
18 Luty 2009 18:52
#14
Leon$ widzę ze jesteś pro w takich sprawach ale czytając jeden z postów zauważalnym ze doradzałeś zęby zrobić format całkowitego przy tym Wirus Win32.Virut.CF zrobiłem już 3 -4 skany całkowite
i btw czy Cooke.trackery są groźne czy raczej średnio ??