Problem z temp, svhost i wirusami

Dla specjalistów Bezpieczeństwo
#1

proszę o sprawdzenie loga z Hi Jack This

jest kilka problemów których nie potragie sklasyfikować choćby z tego powodu, że:

  1. nie mogę włączyć kompa w trybie awaryjnym- resetuje się

  2. próbowałem przeskanować kompa SpyBotem ale po kilku minutach skanowanie jest “przerywane przez użytkownika” mimo że nawet nie dotykam sie niczego,

  3. przy uruchamianiu dowolnej partycji pojawia sie info o problemie temp2.exe

  4. mam wrażenie, że giną mi pliki z dysku- chciałem zrobić skanowanie on-line MKSem i nie mam IE :expressionless:

  5. Dodatkowo MKS wykryl wirusa ctfmon.exe ktorego nie jest w stanie skasować - jak można inaczej go usunąć?

    Logfile of HijackThis v1.99.1

    Scan saved at 16:26:38, on 2007-11-21

    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:

    C:\WINDOWS\System32\smss.exe

    C:\WINDOWS\system32\winlogon.exe

    C:\WINDOWS\system32\services.exe

    C:\WINDOWS\system32\lsass.exe

    C:\WINDOWS\system32\svchost.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\system32\LEXBCES.EXE

    C:\WINDOWS\system32\LEXPPS.EXE

    C:\WINDOWS\system32\spoolsv.exe

    c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

    C:\Program Files\Executive Software\Diskeeper\DkService.exe

    C:\WINDOWS\System32\svchost.exe

    C:\WINDOWS\Explorer.EXE

    C:\WINDOWS\system32\wscntfy.exe

    C:\Program Files\Common Files\Real\Update_OB\realsched.exe

    C:\Documents and Settings\Agnieszka\Menu Start\Programy\Autostart\ctfmon.exe

    C:\WINDOWS\System32\svchost.exe

    C:\Program Files\Wanadoo\EspaceWanadoo.exe

    C:\Program Files\Wanadoo\ComComp.exe

    C:\Program Files\Wanadoo\Watch.exe

    C:\WINDOWS\system32\temp1.exe

    C:\Documents and Settings\Agnieszka\Pulpit\IE7-WindowsXP-x86-enu.exe

    g:\dbd62a255530f52cc4a593b0\update\iesetup.exe

    g:\dbd62a255530f52cc4a593b0\update\xmllitesetup.exe

    g:\da8dbc0a20e01a0be7df12\update\update.exe

    G:\Programy, instalki\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

    R3 - Default URLSearchHook is missing

    F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

    O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot

    O4 - HKLM…\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

    O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    O4 - HKCU…\Run: [Stefan] C:\Program Files\INTERIAPL\Stefan\Stefan.exe

    O4 - Startup: ctfmon.exe

    O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

    O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

    O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

    O17 - HKLM\System\CCS\Services\Tcpip…{0945AE7C-0A1E-44E1-9590-6624A0066731}: NameServer = 194.204.159.1 217.98.63.164

    O17 - HKLM\System\CS1\Services\Tcpip…{0945AE7C-0A1E-44E1-9590-6624A0066731}: NameServer = 194.204.159.1 217.98.63.164

    O17 - HKLM\System\CS3\Services\Tcpip…{0945AE7C-0A1E-44E1-9590-6624A0066731}: NameServer = 194.204.159.1 217.98.63.164

    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

    O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

    O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

    O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

    O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

    O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe

#2

Temp 2

to infekcja z pena , mediów przenośnych , należało by sformatować ale jak włożysz pen itd to infekcja pojawi się znowu.

Nie wiem jak to jest w praktyce bo nigdy nie miałem takiej infekcji więc…

Proponuję program PRT dostępny do pobrania tutaj :

http://www.searchengines.pl/index.php?s … ntry428224

Wtedy infekcja powinna być usuwana automatycznie przy włożonym pendrive i z dysku , ale tak jak już mówiłem nigdy nie miałem tej infekcji więc moja wiedza ogranicza się do tej rady.

Pobierz narzędzie SDFix

*Klikamy 2 krotknie na ikonę SDFix.exe ,program wypakuje się domyślnie do lokalizacji C:\ SDFix

*Wchodzimy do trybu awaryjnego z obsługą sieci:

>>>>>> Jak wejść do trybu awaryjnego z obsługą sieci?

*F8 podczas bootowania systemu.

*Używamy narzędzia BootSafe.exe zaznaczamy opcje Safe Mode- Networking i klikamy reboot

*Gdy już jesteśmy w trybie awaryjnym,wchodzimy do folderu SDFix i uruchamiamy narzędzie klikająć

2-krotnie na plik RunThis.bat lewym przyciskiem myszy.

*Wciskamy Y co uruchomi proces usuwania

*Kiedy proces usuwania się zakończy wciskamy dowolny klawisz>>nastąpi restart.

*Po restarcie SDFix dokończy proces usuwania,kiedy w oknie narzędzia SDFix pojawi się napis Finished

klikamy dowolny klawisz,narzędzie zakończy swoją pracę,na pulpicie załadują się ikony.

*Wchodzimy do folderu SDFix i kopiujemy zawartość pliku tekstowego Report.txt i wklejamy go na forum

#3

tylko że widzisz…jak już napisałem na wstępie nie mogę wejść do trybu awaryjnego bo przy ładowaniu kolejnych plików następuje reboot!

#4