Problem Z dużą ilością trojanów prawdopodobnie też z wirusem

DrPsi · 16 Luty 2009 18:32

Ostatni przeciągnąłem coś z RS no niestety była tam niespodzianka NOD 32 pokazuje mi ze wrzucił do Kwarantanny

wiem ze jak coś jest w kwarantannie to tak jak by tego nie było ale wole żeby tego naprawdę nie było

Wklejam LOG z Trend Micro HijackThis v2.0.2

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:21:07, on 2009-02-16

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal


Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSExplorer.EXE

C:ProgramyCreativeSBAudigySurround MixerCTSysVol.exe

C:WINDOWSsystem32Rundll32.exe

C:WINDOWSsystem32RunDLL32.exe

C:ProgramyESETESET Smart Securityegui.exe

C:ProgramyBonjourmDNSResponder.exe

C:ProgramyJavajre6binjusched.exe

C:WINDOWSsystem32CTsvcCDA.EXE

C:ProgramyDiskeeper CorporationDiskeeperDkService.exe

C:WINDOWSSystem32rs32net.exe

C:ProgramyESETESET Smart Securityekrn.exe

C:ProgramyJavajre6binjqs.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSservices.exe

C:WINDOWSSystem32reader_s.exe

C:WINDOWSsystem32nvsvc32.exe

C:WINDOWSsystem32ctfmon.exe

C:ProgramyCreativeMediaSourceDetectorCTDetect.exe

C:WINDOWSsystem32PnkBstrA.exe

C:ProfileBartoszUstawienia lokalneDane aplikacjiGoogleUpdateGoogleUpdate.exe

C:ProgramyOLYMPUSOLYMPUS Master 2MMonitor.exe

C:ProfileBartoszDane aplikacjiSanDiskSansa UpdaterSansaDispatch.exe

C:WINDOWSsystem32PSIService.exe

C:ProgramyNowe Gadu-Gadugg.exe

C:WINDOWSSystem32rs32net.exe

C:WINDOWSSystem32svchost.exe

C:ProgramyNowe Gadu-Gaduspellchecker_gg.exe

C:WINDOWSsystem32svchost.exe

C:ProgramyJetAudioJetAudio.exe

C:ProgramyXfirexfire.exe

C:WINDOWSsystem32wbemwmiapsrv.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSSystem32svchost.exe

D:Tempekm42.tmp

C:WINDOWSsystem32svchost.exe

C:ProgramyMozilla Firefoxfirefox.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSSystem32svchost.exe

D:Tempqmr19C.tmp

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSSystem32svchost.exe

D:TempRar$EX00.078HijackThis.exe

C:WINDOWSSystem32svchost.exe


R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.przygodazinternetem.pl/

R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ��cza

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:ProfileBartoszsnn.exe s

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:ProgramyOrbitdownloaderorbitcth.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgramyCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:ProgramyJavajre6binssv.dll

O4 - HKLM..Run: [JMB36X Configure] C:WINDOWSsystem32JMRaidTool.exe boot

O4 - HKLM..Run: [CTSysVol] C:ProgramyCreativeSBAudigySurround MixerCTSysVol.exe /r

O4 - HKLM..Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM..Run: [UpdReg] C:WINDOWSUpdReg.EXE

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [nwiz] nwiz.exe /install

O4 - HKLM..Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM..Run: [Adobe Reader Speed Launcher] "C:ProgramyAdobeReader 8.0ReaderReader_sl.exe"

O4 - HKLM..Run: [OM2_Monitor] "C:ProgramyOLYMPUSOLYMPUS Master 2FirstStart.exe" /OM

O4 - HKLM..Run: [egui] "C:ProgramyESETESET Smart Securityegui.exe" /hide /waitservice

O4 - HKLM..Run: [QuickTime Task] "C:ProgramyQuickTimeQTTask.exe" -atboottime

O4 - HKLM..Run: [MP10_EnsureFileVer] C:WINDOWSinfunregmp2.exe /EnsureFileVersions

O4 - HKLM..Run: [Anti Trojan Elite] C:ProgramyAnti Trojan EliteTJEnder.exe :NO

O4 - HKLM..Run: [SunJavaUpdateSched] "C:ProgramyJavajre6binjusched.exe"

O4 - HKLM..Run: [rs32net] C:WINDOWSSystem32rs32net.exe

O4 - HKLM..Run: [services] C:WINDOWSservices.exe

O4 - HKLM..Run: [reader_s] C:WINDOWSSystem32reader_s.exe

O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe

O4 - HKCU..Run: [Creative Detector] C:ProgramyCreativeMediaSourceDetectorCTDetect.exe /R

O4 - HKCU..Run: [AlcoholAutomount] "C:ProgramyAlcohol SoftAlcohol 52axcmd.exe" /automount

O4 - HKCU..Run: [Google Update] "C:ProfileBartoszUstawienia lokalneDane aplikacjiGoogleUpdateGoogleUpdate.exe" /c

O4 - HKCU..Run: [OM2_Monitor] "C:ProgramyOLYMPUSOLYMPUS Master 2MMonitor.exe"

O4 - HKCU..Run: [OS2_Monitor] "D:ProgramyOLYMPUSOLYMPUS Studio 2SMonitor.exe" -NoStart

O4 - HKCU..Run: [SansaDispatch] C:ProfileBartoszDane aplikacjiSanDiskSansa UpdaterSansaDispatch.exe

O4 - HKCU..Run: [EA Core] "C:ProgramyElectronic ArtsEADMCore.exe" -silent

O4 - HKCU..Run: [Nowe Gadu-Gadu] "C:ProgramyNowe Gadu-Gadugg.exe"

O4 - HKCU..Run: [rs32net] C:WINDOWSSystem32rs32net.exe

O4 - HKCU..Run: [reader_s] C:ProfileBartoszreader_s.exe

O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')

O4 - HKUS.DEFAULT..Run: [reader_s] C:ProfileBartoszreader_s.exe (User 'Default user')

O4 - HKUS.DEFAULT..RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Startup: jetAudio.lnk = ?

O4 - Startup: Xfire.lnk = C:ProgramyXfirexfire.exe

O4 - Global Startup: Orbit.lnk = D:ProgramyOrbitdownloaderorbitdm.exe

O8 - Extra context menu item: Download by Orbit - res://D:ProgramyOrbitdownloaderorbitmxt.dll/201

O8 - Extra context menu item: Grab video by Orbit - res://D:ProgramyOrbitdownloaderorbitmxt.dll/204

O8 - Extra context menu item: Download selected by Orbit - res://D:ProgramyOrbitdownloaderorbitmxt.dll/203

O8 - Extra context menu item: Download all by Orbit - res://D:ProgramyOrbitdownloaderorbitmxt.dll/202

O8 - Extra context menu item: Eksportuj do programu Microsoft Excel - res://C:ProgramyMICROS~2Office12EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe

O20 - Winlogon Notify: crypt - C:WINDOWSSYSTEM32crypts.dll

O20 - Winlogon Notify: ljjgyc - C:WINDOWSSYSTEM32ljjgyc32.dll

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (bonjour service) - Apple Computer, Inc. - C:ProgramyBonjourmDNSResponder.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:WINDOWSsystem32CTsvcCDA.EXE

O23 - Service: Diskeeper - Diskeeper Corporation - C:ProgramyDiskeeper CorporationDiskeeperDkService.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:ProgramyESETESET Smart SecurityEHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:ProgramyESETESET Smart Securityekrn.exe

O23 - Service: FCI (fci) - Unknown owner - C:WINDOWSsystem32svchost.exe:ext.exe

O23 - Service: FLEXnet Licensing Service (flexnet licensing service) - Macrovision Europe Ltd. - C:ProgramyCommon FilesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe

O23 - Service: ICF (icf) - Unknown owner - C:WINDOWSsystem32svchost.exe:ext.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:ProgramyCommon FilesInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:ProgramyJavajre6binjqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:WINDOWSsystem32PnkBstrA.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:WINDOWSsystem32PSIService.exe


--

End of file - 8164 bytes

mam nadziej ze pomożecie ;]

Leon1 · 16 Luty 2009 19:13

brak ukośników w logu popraw

DrPsi · 16 Luty 2009 20:06

jakich ukośników ??

proszę pomóżcie jest coraz gorzej coś znowu mi weszło

Leon1 · 16 Luty 2009 20:25

powinno być

C:\WINDOWS\System32\smss.exe

DrPsi · 17 Luty 2009 08:40

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:39:33, on 2009-02-17

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programy\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\Programy\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\Explorer.EXE

C:\Programy\ESET\ESET Smart Security\ekrn.exe

C:\Programy\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PSIService.exe

C:\WINDOWS\system32\svchost.exe

C:\Programy\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Programy\ESET\ESET Smart Security\egui.exe

C:\Programy\Java\jre6\bin\jusched.exe

C:\WINDOWS\System32\rs32net.exe

C:\WINDOWS\services.exe

C:\WINDOWS\System32\reader_s.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programy\Creative\MediaSource\Detector\CTDetect.exe

C:\Profile\Bartosz\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe

C:\WINDOWS\system32\cmd.exe

C:\Programy\OLYMPUS\OLYMPUS Master 2\MMonitor.exe

C:\Profile\Bartosz\Dane aplikacji\SanDisk\Sansa Updater\SansaDispatch.exe

C:\Programy\Nowe Gadu-Gadu\gg.exe

C:\WINDOWS\System32\rs32net.exe

C:\Profile\Bartosz\reader_s.exe

C:\Programy\Nowe Gadu-Gadu\spellchecker_gg.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programy\JetAudio\JetAudio.exe

C:\WINDOWS\services.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\services.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\services.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\services.exe

C:\WINDOWS\system32\svchost.exe

C:\Programy\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\TEMP\dcz4F.tmp

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programy\WinRAR\WinRAR.exe

C:\WINDOWS\System32\svchost.exe

D:\Temp\Rar$EX00.922\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Profile\Bartosz\snn.exe \s

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programy\Orbitdownloader\orbitcth.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programy\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programy\Java\jre6\bin\ssv.dll

O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot

O4 - HKLM\..\Run: [CTSysVol] C:\Programy\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programy\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [OM2_Monitor] "C:\Programy\OLYMPUS\OLYMPUS Master 2\FirstStart.exe" /OM

O4 - HKLM\..\Run: [egui] "C:\Programy\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programy\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [MP10_EnsureFileVer] C:\WINDOWS\inf\unregmp2.exe /EnsureFileVersions

O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Programy\Anti Trojan Elite\TJEnder.exe :NO

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programy\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Creative Detector] C:\Programy\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programy\Alcohol Soft\Alcohol 52\axcmd.exe" /automount

O4 - HKCU\..\Run: [Google Update] "C:\Profile\Bartosz\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [OM2_Monitor] "C:\Programy\OLYMPUS\OLYMPUS Master 2\MMonitor.exe"

O4 - HKCU\..\Run: [OS2_Monitor] "D:\Programy\OLYMPUS\OLYMPUS Studio 2\SMonitor.exe" -NoStart

O4 - HKCU\..\Run: [SansaDispatch] C:\Profile\Bartosz\Dane aplikacji\SanDisk\Sansa Updater\SansaDispatch.exe

O4 - HKCU\..\Run: [EA Core] "C:\Programy\Electronic Arts\EADM\Core.exe" -silent

O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Programy\Nowe Gadu-Gadu\gg.exe"

O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe

O4 - HKCU\..\Run: [reader_s] C:\Profile\Bartosz\reader_s.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Profile\Bartosz\reader_s.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [vxrwgfpx.exe] C:\WINDOWS\vxrwgfpx.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O4 - Startup: jetAudio.lnk = ?

O4 - Startup: Xfire.lnk = C:\Programy\Xfire\xfire.exe

O4 - Global Startup: Orbit.lnk = D:\Programy\Orbitdownloader\orbitdm.exe

O8 - Extra context menu item: &Download by Orbit - res://D:\Programy\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://D:\Programy\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Programy\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://D:\Programy\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\Programy\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O20 - Winlogon Notify: crypt - C:\WINDOWS\SYSTEM32\crypts.dll

O20 - Winlogon Notify: ljjgyc - C:\WINDOWS\SYSTEM32\ljjgyc.dll

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (bonjour service) - Apple Computer, Inc. - C:\Programy\Bonjour\mDNSResponder.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programy\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programy\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Programy\ESET\ESET Smart Security\ekrn.exe

O23 - Service: FCI (fci) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe

O23 - Service: FLEXnet Licensing Service (flexnet licensing service) - Macrovision Europe Ltd. - C:\Programy\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programy\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: ICF (icf) - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programy\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programy\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe


--

End of file - 8393 bytes

sorka nie zwróciłem uwagi teraz lepiej ??

jessica · 17 Luty 2009 09:49

Kilka grożnych infekcji, ale wygląda na to, że jedną z nich jest wirus VIRUT, który zaraża wszystkie *.exe.

Trzeba to najpierw sprawdzić, bo nie ma sensu usuwać innych infekcji, jeśli potem i tak trzeba będzie sformatować dysk.

Ściągnij stąd “Dr. Web CureIt!” > http://www.speedyshare.com/392524813.html , od razu przy ściąganiu zapisz go pod taką nazwą, jaką mu nadałam (“purre.com”)

Napisz, co wykrył. Może zamiast VIRUT być SALITY, albo użyta jakaś inna nazwa, ale chodzi o to, czy będą zarażone pliki \ *.exe.

Jeśli nie zostanie wykryta taka infekcja, to zrobisz to:

Użyjesz (w Trybie Awaryjnym!)–>SDFix -na dole strony z linku

Pokażesz Report.txt znajdujący się w folderze SDFix.

Dasz log z ComboFix

Nowsza instrukcja obsługi ComboFixa >http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix

Znasz to czerwone?

jessi

asterisk · 17 Luty 2009 10:42

Proszę zastosować się do tego Tematu i edytować własnego posta

w celu zmiany jego tytułu na konkretny.

W przeciwnym razie topic wyląduje w Śmietniku.

DrPsi · 17 Luty 2009 14:06

NIestety nie znam tego na czerwodo

do moda zachwile poprawie ;]

Dodano

Zrobiwszy format C jest lepiej ale nie usunęło to moich wszystkich problemów ;/ co nieco syfu zostało dzięki Dr.web usuwa mi na Bierzyce trojany ale niestety ciągle mi je wykrywa mimo ze już chyba 4 raz zrobiłem skan szukania szybkiego i raz skan całkowity

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:09:48, on 2009-02-17

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

C:\WINDOWS\System32\Rundll32.exe

C:\Program Files\Nowe Gadu-Gadu\gg.exe

C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

C:\Program Files\Nowe Gadu-Gadu\spellchecker_gg.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Documents and Settings\Dr.Psi\Pulpit\purre.com

C:\DOCUME~1\Dr.Psi\USTAWI~1\Temp\RarSFX3\_start.exe

C:\DOCUME~1\Dr.Psi\USTAWI~1\Temp\RarSFX3\setup.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Dr.Psi\USTAWI~1\Temp\Rar$EX00.125\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"

O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)


--

End of file - 3607 bytes

dodadkowo dorzucam z obecnego systemu loga ;/

jessica · 17 Luty 2009 15:19

Czy dobrze zrozumiałam: mimo sformatowania dysku dalej są wykrywane zarażone \ *.exe?

Użyj -->KVRT (niżej na stronie linku)

Napisz, co wykrył.

jessi

DrPsi · 17 Luty 2009 17:09

Tak ale jestem wstanie to wyjaśnić miałem Folder temp na Partycji D czyli wszystkie wirusy trojany wędrowały tam po zrobieniu format usunąłem folder temp z D i po pewnym czasie zrobiłem 2 format C teraz na obecna chwile mam Kasperskiego i puki co nic nie wykryło przy menadżerze tez nie ma żadnych podejrzanych *.exe

![-o<

Leon1 · 17 Luty 2009 17:25

dobrze by było żebyś

Pobierz Combofix http://www.searchengines.pl/index.php?s … 642uruchom dwuklikiem pokaż log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

log HijackThis nic nie wnosi

DrPsi · 18 Luty 2009 18:33

po 2 formacie znalazł mi Norton tego oto palanta “Wirus Win32.Virut.CF” no to podobno go usunął restart i przysłowiowa zupa potem format C i znalazł mi ponownie w 2 plikach wiec uleczył restart i co działa :o lecz zapuściłem pełny skan tez nic nie znalazł ale nie pasuje mi to

C:\WINDOWS\System32\smss.exe

nie znam się na procesach ale czy to trojan czy normalny proces systemowy bo nie wiem czy zasiadać na obecnym systemie na stale

czy ktoś mi doradzi czy najlepiej wyjąc dysk i go wyrzucić i zakupić nowy ??

Leon1 · 18 Luty 2009 18:45

smss.exe

Proces odpowiedzialny za obsługę sesji systemu Microsoft Windows.

Nazywany jest Menedżerem sesji. Zainicjowany przez system odpowiada za wiele czynności, m.in logowania WinLogon

skoro antywirus nic nie znalazł to powinno być OK

DrPsi · 18 Luty 2009 18:52

Leon$ widzę ze jesteś pro w takich sprawach ale czytając jeden z postów zauważalnym ze doradzałeś zęby zrobić format całkowitego przy tym Wirus Win32.Virut.CF zrobiłem już 3 -4 skany całkowite

i btw czy Cooke.trackery są groźne czy raczej średnio ??