Dariusz_J
(Dariusz J.)
29 Kwiecień 2008 20:41
#1
Witam,
prosze o pomoc w lokalizacji i usunięciu wirusa(ów), które wykrywa mój NOD, ale nie jest w stanie ich usunąć bądź wyleczyć. Oto log z HiJackThis:
Logfile of HijackThis v1.99.1 Scan saved at 22:34:06, on 2008-04-29 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\FTRTSVC.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\VTTimer.exe C:\WINDOWS\System32\VTtrayp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Eset\nod32kui.exe C:\Program Files\NASDAK\OmniMouse Driver\2.1.23\MOUSE32A.EXE C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\VIA\RAID\raid_tool.exe C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\Neostrada TP\neostradatp.exe C:\Program Files\Neostrada TP\ComComp.exe C:\PROGRA~1\NEOSTR~1\Toaster.exe C:\PROGRA~1\NEOSTR~1\Inactivity.exe C:\PROGRA~1\NEOSTR~1\PollingModule.exe C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE C:\Program Files\Neostrada TP\Watch.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Daruś\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [VTTimer] VTTimer.exe O4 - HKLM…\Run: [VTTrayp] VTtrayp.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [LWBMOUSE] C:\Program Files\NASDAK\OmniMouse Driver\2.1.23\MOUSE32A.EXE O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” O4 - HKCU…\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Photosmart Premier - Szybkie uruchomienie.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://67.15.101.33/g_bin/pl/cards_2_0_0_77.cab O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.33/g_bin/pl/boards_2_0_0_35.cab O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/programs/ … canner.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab O16 - DPF: {70B410C0-BADA-11D4-8308-0080C8D7ED4A} (GameDesire Bridge) - http://67.15.101.33/g_bin/pl/bridge_2_0_0_24.cab O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.33/g_bin/pl/words_2_0_0_51.cab O17 - HKLM\System\CCS\Services\Tcpip…{A90F0EFB-1BF7-4C39-A361-DC5064A68205}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Dziękuję z góry ekspertom za pomoc.
kolno1967
(Kolno1967)
29 Kwiecień 2008 21:09
#2
Myślę że wina leży po stronie Odkurzacza.
Dużo słyszałem złego o nim więc nie polecam go trzymać na kompie.
Dariusz_J
(Dariusz J.)
29 Kwiecień 2008 22:01
#3
Hmmm…to ciekawe, co mówisz. Osobiście nie słyszałem niepochlebnych opinii o tym programie, ale z drugiej strony nie jestem za bardzo en vogue Ale wątpię, aby obecność Odkurzacza na moim kompie “przyczynił się” do złapania tych wirusów…
…jeszcze log z Deckarda:
Deckard’s System Scanner v20071014.68 Run by Daruś on 2008-04-29 23:50:31 Computer is in Normal Mode. -------------------------------------------------------------------------------- – System Restore -------------------------------------------------------------- Successfully created a Deckard’s System Scanner Restore Point. – Last 5 Restore Point(s) – 16: 2008-04-29 21:51:32 UTC - RP25 - Deckard’s System Scanner Restore Point 15: 2008-04-22 12:30:07 UTC - RP24 - Usunięto: Skype™ 3.6 14: 2008-04-10 16:36:24 UTC - RP23 - Shockwave Player 13: 2008-04-09 18:38:32 UTC - RP22 - Shockwave Player 12: 2008-04-09 18:32:17 UTC - RP21 - Shockwave Player – First Restore Point – 1: 2007-12-14 23:36:55 UTC - RP10 - Punkt kontrolny systemu Performed disk cleanup. Total Physical Memory: 448 MiB (512 MiB recommended). – HijackThis (run as Daruś.exe) ----------------------------------------------- Unable to find log (file not found); running clone. – HijackThis Clone ------------------------------------------------------------ Emulating logfile of Trend Micro HijackThis v2.0.2 Scan saved at 2008-04-29 23:52:13 Platform: Windows XP (5.01.2600) MSIE: Internet Explorer (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\system32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\FTRTSVC.exe C:\Program Files\ESET\nod32krn.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTTrayp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\ESET\nod32kui.exe C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe C:\Program Files\HP\HP Software Update\hpwuSchd2.exe C:\Program Files\Neostrada TP\TaskBarIcon.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\VIA\RAID\raid_tool.exe C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe C:\Program Files\Neostrada TP\neostradatp.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Neostrada TP\Toaster.exe C:\Program Files\Neostrada TP\Inactivity.exe C:\Program Files\Neostrada TP\PollingModule.exe C:\WINDOWS\system32\AlertModule\AlertModule.exe C:\Program Files\Neostrada TP\Watch.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Daruś\Pulpit\dss.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl … r=iesearch O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: (no name) - ID - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM…\Run: [VTTimer] VTTimer.exe O4 - HKLM…\Run: [VTTrayp] VTtrayp.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [LWBMOUSE] C:\Program Files\NASDAK\OmniMouse Driver\2.1.23\MOUSE32A.EXE O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” O4 - HKCU…\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘LOCAL SERVICE’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘NETWORK SERVICE’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Photosmart Premier - Szybkie uruchomienie.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc … tor/sw.cab O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://67.15.101.33/g_bin/pl/cards_2_0_0_77.cab O16 - DPF: {33564D57-9980-0010-8000-00AA00389B71} () - http://download.microsoft.com/download/ … mv9dmo.cab O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.33/g_bin/pl/boards_2_0_0_35.cab O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/programs/ … canner.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab O16 - DPF: {70B410C0-BADA-11D4-8308-0080C8D7ED4A} (GameDesire Bridge) - http://67.15.101.33/g_bin/pl/bridge_2_0_0_24.cab O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () - http://fpdownload.macromedia.com/get/fl … rashim.cab O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.33/g_bin/pl/words_2_0_0_51.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh … wflash.cab O17 - HKLM\SYSTEM\CCS\Services\Tcpip…{A90F0EFB-1BF7-4C39-A361-DC5064A68205}: NameServer = 194.204.152.34 217.98.63.164 O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\system32\msvidctl.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\system32\FTRTSVC.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\ESET\nod32krn.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe – End of file - 6267 bytes – File Associations ----------------------------------------------------------- .cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL “%1”,%* – Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------- R3 e4usbaw (USB ADSL2 WAN Adapter) - c:\windows\system32\drivers\e4usbaw.sys S2 IKANLOADER2 (General Purpose USB Driver (e4ldr.sys)) - c:\windows\system32\drivers\e4ldr.sys S3 catchme - c:\docume~1\daru~1\ustawi~1\temp\catchme.sys (file missing) S3 PCAMPR5 (PCAMPR5 NDIS Protocol Driver) - c:\windows\system32\pcampr5.sys (file missing) S3 PCANDIS5 (PCANDIS5 NDIS Protocol Driver) - c:\windows\system32\pcandis5.sys – Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled -------------------- R2 CCALib8 (Canon Camera Access Library 8) - c:\program files\canon\cal\calmain.exe R2 FTRTSVC (France Telecom Routing Table Service) - c:\windows\system32\ftrtsvc.exe – Device Manager: Disabled ---------------------------------------------------- Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318} Description: Kontroler Uniwersalnej magistrali szeregowej (USB) Device ID: PCI\VEN_1106&DEV_3104&SUBSYS_50041458&REV_86\3&13C0B0C5&0&84 Manufacturer: Name: Kontroler Uniwersalnej magistrali szeregowej (USB) PNP Device ID: PCI\VEN_1106&DEV_3104&SUBSYS_50041458&REV_86\3&13C0B0C5&0&84 Service: – Files created between 2008-03-29 and 2008-04-29 ----------------------------- 2008-04-29 22:46:50 82944 --a------ C:\WINDOWS\System32\404Fix.exe 2008-04-29 22:46:49 86528 --a------ C:\WINDOWS\System32\VACFix.exe 2008-04-29 22:46:49 82944 --a------ C:\WINDOWS\System32\IEDFix.exe 2008-04-29 22:46:48 25600 --a------ C:\WINDOWS\System32\WS2Fix.exe 2008-04-29 22:46:48 289144 --a------ C:\WINDOWS\System32\VCCLSID.exe 2008-04-29 22:46:47 288417 --a------ C:\WINDOWS\System32\SrchSTS.exe 2008-04-29 22:46:47 51200 --a------ C:\WINDOWS\System32\dumphive.exe 2008-04-29 22:46:46 53248 --a------ C:\WINDOWS\System32\Process.exe http://www.beyondlogic.org ; Command Line Process Utility> 2008-04-29 21:47:22 0 dr-h----- C:\Documents and Settings\Daruś\Recent 2008-04-22 12:00:39 0 d-------- C:\Program Files\Odkurzacz 2008-04-14 20:53:24 0 d-------- C:\Program Files\Combined Community Codec Pack 2008-04-09 20:32:17 0 d-------- C:\WINDOWS\System32\Adobe 2008-04-09 19:49:50 0 d-------- C:\Program Files\QO Labs 2008-04-08 22:53:05 0 d-------- C:\Documents and Settings\Daruś\LocalLow 2008-03-31 21:08:41 0 d-------- C:\Program Files\INTERIAPL 2008-03-31 20:28:28 0 d-------- C:\Program Files\Common Files\logishrd – Find3M Report --------------------------------------------------------------- 2008-04-29 22:56:32 0 d-------- C:\Program Files\Neostrada TP 2008-04-29 22:47:16 2614 --a------ C:\WINDOWS\System32\tmp.reg 2008-04-22 15:06:16 0 d–h----- C:\Program Files\WindowsUpdate 2008-04-22 14:30:12 0 d-------- C:\Program Files\Common Files 2008-04-22 14:29:47 0 d-------- C:\Documents and Settings\Daruś\Dane aplikacji\Move Networks 2008-04-22 12:12:14 0 d-------- C:\Documents and Settings\Daruś\Dane aplikacji\skypePM 2008-04-08 22:53:22 0 d-------- C:\Documents and Settings\Daruś\Dane aplikacji\TVU networks 2008-03-30 17:27:51 458022 --a------ C:\WINDOWS\System32\perfh015.dat 2008-03-30 17:27:51 79408 --a------ C:\WINDOWS\System32\perfc015.dat 2008-03-27 19:06:59 98927 --a------ C:\WINDOWS\hpqins16.dat 2008-03-13 23:56:49 0 d-------- C:\Program Files\PhotoOp 2008-03-09 23:13:58 0 d-------- C:\Documents and Settings\Daruś\Dane aplikacji\Identities 2008-02-29 21:49:47 0 d-------- C:\Program Files\Common Files\Wise Installation Wizard – Registry Dump --------------------------------------------------------------- *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “VTTimer”=“VTTimer.exe” [2005-03-07 21:33 C:\WINDOWS\system32\VTTimer.exe] “VTTrayp”=“VTtrayp.exe” [2005-01-11 01:33 C:\WINDOWS\system32\VTTrayp.exe] “SoundMan”=“SOUNDMAN.EXE” [2004-12-22 11:09 C:\WINDOWS\SOUNDMAN.EXE] “WOOWATCH”=“C:\PROGRA~1\NEOSTR~1\Watch.exe” [2004-08-23 14:49] “WOOTASKBARICON”=“C:\PROGRA~1\NEOSTR~1\GestMaj.exe” [2004-10-14 16:55] “nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2007-08-17 20:36] “LWBMOUSE”=“C:\Program Files\NASDAK\OmniMouse Driver\2.1.23\MOUSE32A.EXE” [2001-11-09 08:47] “Adobe Photo Downloader”=“C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe” [2007-03-09 11:09] “QuickTime Task”=“C:\Program Files\QuickTime\qttask.exe” [2007-09-17 20:33] “HP Software Update”=“C:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2006-02-19 02:41] “Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” [2008-01-11 23:16] “WMC_AutoUpdate”="" [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Odkurzacz-MCD”=“C:\Program Files\Odkurzacz\odk_mcd.exe” [2008-03-03 14:44] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22] HP Photosmart Premier - Szybkie uruchomienie.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 07:56:20] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [2000-01-21 08:15:54] VIA RAID TOOL.lnk - C:\Program Files\VIA\RAID\raid_tool.exe [2007-08-14 16:12:53] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice] @=“Service” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” – End of Deckard’s System Scanner: finished at 2008-04-30 00:00:37 ------------
Pozdrawiam.
huber2t
(huber2t)
30 Kwiecień 2008 03:01
#4
fix w hijackthis
otwórz notatnik i wklej
Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg
Uruchom ten plik, uruchom ponownie komputer
Dariusz_J
(Dariusz J.)
30 Kwiecień 2008 15:37
#5
Dzięki, Hubert…zrobiłem, co nakazałeś, ale niestety wirusy nadal są…przynajmniej wg. Nod-a; oto one (fragment z raportu NOD32):
Plik C:\System Volume Information_restore{0342FA35-476A-490E-9559-EAEDD2DED134}\RP24\A0019573.exe jest zainfekowany - Program Win32/PrcView.
Plik C:\System Volume Information_restore{0342FA35-476A-490E-9559-EAEDD2DED134}\RP24\A0019834.exe jest zainfekowany - Program Win32/PrcView.
C:\System Volume Information_restore{0342FA35-476A-490E-9559-EAEDD2DED134}\RP25\A0020839.exe - Win32/PrcView Program - leczenie jest niemożliwe - usunięty
Cóż dalej począć więc ?
huber2t
(huber2t)
30 Kwiecień 2008 16:02
#6
Te wirusy usuniesz robiąc tak:
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Zadziałało rewelacyjnie, po wirusach w C:/SystemVolume ani śladu, dziękuję bardzo, Hubert.
Ostatnia rzecz, którą wywala NOD jest:
Plik C:\System Volume Information_restore{0342FA35-476A-490E-9559-EAEDD2DED134}\RP1\A0000031.exe jest zainfekowany - Program Win32/PrcView.
Ten zainfekowany plik był juz poprzednio widoczny i, niestety, nie pozbyłem się go uprzednio poleconą przez Ciebie procedurą. Czy mógłbym jeszcze poprosic o doradzenie, jak sie pozbyć tego ostatniego natręta ?
Pozdrawiam
huber2t
(huber2t)
1 Maj 2008 15:47
#8
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
OK…ponieważ komp zwalniał, mimo braku obecnych wirusów wg. NODa, ostanowiłem przeskanować go jeszcze raz Kaspersky’m…niestety, wykrył 2 wirusy
Oto log z Kaspesky’ego:
3 maj 2008 16:25:00 System operacyjny: Microsoft Windows XP Professional, (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.0 Ostatnia aktualizacja Kaspersky Anti-Virus 3/05/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus737090 Ustawienia skanowania Skanowanie przy użyciu następujących baz danych rozszerzone Skanuj archiwa tak Skanuj pocztowe bazy danych tak Obszar skanowania Obszary krytyczne C:\WINDOWS C:\DOCUME~1\DARU~1\USTAWI~1\Temp\ Statystyki skanowania Liczba skanowanych obiektów 10846 Liczba wykrytych wirusów 2 Liczba zainfekowanych obiektów 2 Liczba podejrzanych obiektów 0 Czas trwania skanowania 00:36:49 Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie C:\WINDOWS\Debug\oakley.log Object is locked pominięty C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty C:\WINDOWS\Sti_Trace.log Object is locked pominięty C:\WINDOWS\system32\AppCert\wsil32.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.jww pominięty C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\default Object is locked pominięty C:\WINDOWS\system32\config\default.LOG Object is locked pominięty C:\WINDOWS\system32\config\SAM Object is locked pominięty C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\SECURITY Object is locked pominięty C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty C:\WINDOWS\system32\config\software Object is locked pominięty C:\WINDOWS\system32\config\software.LOG Object is locked pominięty C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\system Object is locked pominięty C:\WINDOWS\system32\config\system.LOG Object is locked pominięty C:\WINDOWS\system32\dmscriptj.dll Zainfekowanych: Trojan.Win32.Zapchast.ec pominięty C:\WINDOWS\system32\h323log.txt Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty C:\WINDOWS\wiadebug.log Object is locked pominięty C:\WINDOWS\wiaservc.log Object is locked pominięty C:\DOCUME~1\DARU~1\USTAWI~1\Temp\hpodvd09.log Object is locked pominięty C:\DOCUME~1\DARU~1\USTAWI~1\Temp~DF3E03.tmp Object is locked pominięty Proces skanowania został zakończony.
Proszę o pomoc, co zrobić aby sie ich pozbyć…
Pozdrawiam
P.S. Swoja droga to dziwne, że Kaspersky on-line potrafi wykryć jakieś świństwo, którego mój NOD nie potrafi…chyba zainwestowałem w zły program antywirusowy…
huber2t
(huber2t)
3 Maj 2008 14:45
#10
Pobierz Avenger
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\system32\AppCert\wsil32.dll
C:\WINDOWS\system32\dmscriptj.dll
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Zrobione, dzięki wielkie.
Oto log z Avengera:
Logfile of The Avenger Version 2.0, © by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File “C:\WINDOWS\system32\AppCert\wsil32.dll” deleted successfully. File “C:\WINDOWS\system32\dmscriptj.dll” deleted successfully. Completed script processing. ******************* Finished! Terminate.
Czy powinieniem jeszcze raz przeskanować Kaspersky’m ?
Pozdrawiam.
huber2t
(huber2t)
3 Maj 2008 16:39
#12
Możesz przeskanowac jeszcze raz, dla bezpieczeństwa