Problem z wirusami


(Bexs) #1

mam od dluzszego czasu prblemy z trojanami, skanuje je roznymi progamami i odnajduje go i gdy go usuwam to go niby usuwa ale po czasie znowu wyskakuj ten wir,

co mozecie polecic?


(Duch) #2

log z hiJackThis i wklejasz loga tutaj :!:


(inż. Piniol) #3

usuwaj w trybie awaryjnym


(Bexs) #4

a skad tego hijack sciagnac???


(Musg) #5

http://www.klitetools.com/MM/HijackThis.zip


(Bexs) #6

nie wiem ya bardzo jak tym hijackiem sie obslugiwac ale cos zeskanowalem i log:

Logfile of HijackThis v1.99.1

Scan saved at 18:12:38, on 18.03.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AVPersonal\AVGUARD.EXE

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\Explorer.EXE

C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Gadu-Gadu\gg.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\AVPersonal\INETUPD.EXE

C:\Dokumente und Einstellungen\User\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\User\LOKALE~1\Temp\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\User\LOKALE~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {2FA0D618-2E71-4D02-A594-92DB48C6E8CF} - C:\WINDOWS\system32\pbmd.dll

O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe

O4 - HKLM..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O4 - HKLM..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min

O4 - HKCU..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU..\Run: [spyware Vanisher] c:\spywarevanisher-free\FreeScanner.exe -FastScan

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O18 - Filter: text/html - {41983EAB-30C5-46CE-96FA-98E6AA521CC8} - C:\WINDOWS\system32\pbmd.dll

O18 - Filter: text/plain - {41983EAB-30C5-46CE-96FA-98E6AA521CC8} - C:\WINDOWS\system32\pbmd.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

o co chodzi??


(Kojot) #7

Dobrze zrobiłeś.

Ten program robi scan systemu i wyłapuje potrzebne do oceny jego stanu informacje.

Teraz poczekaj na kogoś kto Ci sprawdzi ten log i odpisze co ewentualnie usunąć :slight_smile:


(Bexs) #8

duzo ludzi sie na tym zna???


(Xiao19) #9

wylacz przywracanie systemu

kasujesz TAK (tryb awaryjny) (fix)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C**** :\DOKUME~1\User\LOKALE~1\Temp\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C**** :\DOKUME~1\User\LOKALE~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {2FA0D618-2E71-4D02-A594-92DB48C6E8CF} - C:\WINDOWS\system32\pbmd.dll

O4 - HKCU..\Run: [spyware Vanisher] c:\spywarevanisher-free\FreeScanner.exe -FastScan

[spyware remover of dubious repute, see this list of Rogue/Suspect Anti-Spyware Products & Web Sites]

O18 - Filter: text/html - {41983EAB-30C5-46CE-96FA-98E6AA521CC8} - C:\WINDOWS\system32\pbmd.dll

O18 - Filter: text/plain - {41983EAB-30C5-46CE-96FA-98E6AA521CC8} - C:\WINDOWS\system32\pbmd.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

[znasz zostawiasz /NIE/ kasacja!!]

1.) usun program Spyware Vanisher

2.) zainstaluj antyszpiega Ad-Aware, PestPatrol

i nimi przeskanuj system

http://forum.dobreprogramy.pl/viewtopic.php?t=17671

3.) przeskanuj szczepionka G DATA (tryb awaryjny)

http://dobreprogramy.com/index.php?dz=2&t=73&id=846

oraz skanerami AV

F-Secure

RAV

na koniec Trend

http://forum.dobreprogramy.pl/viewtopic.php?t=17671

usuniecie bakcyla My Way Speedbar, Search Bar, MySearch

ktorego masz

http://forum.dobreprogramy.pl/viewtopic ... search+bar


(Damian) #10

Narazie usuń te w trybie awaryjnym(Hijack this > FIX):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\User\LOKALE~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\User\LOKALE~1\Temp\se.dll/sp.html

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

A to niech ocenią inni koledzy bo nei mogłem znaleźć na ich temat informacji(na 70% do usunięcia):

O2 - BHO: (no name) - {2FA0D618-2E71-4D02-A594-92DB48C6E8CF} - C:\WINDOWS\system32\pbmd.dll

O18 - Filter: text/html - {41983EAB-30C5-46CE-96FA-98E6AA521CC8} - C:\WINDOWS\system32\pbmd.dll

O18 - Filter: text/plain - {41983EAB-30C5-46CE-96FA-98E6AA521CC8} - C:\WINDOWS\system32\pbmd.dll


(Misterdam) #11

A firelwalla masz zainstalowanego bo nie widzę ?


(lazikar) #12

Przeprowadzka>> Bezpieczeństwo i logi HijackThis


(Bexs) #13

eeee tylko ja nie skumalem jak mam to usunac ;(

jakie przywracanie?? nie rozmiem

Gdzie mam to skasowac i jak???


(boczi) #14

Wyłączasz przywracanie systemu, potem wchodzisz w tryb awaryjny bez obsługi sieci, i w hijacku usuwasz wybrane wpisy. To, co podała Kamcia 18.


(Bexs) #15

w hijacu to znaczy gdzie?? jak odpalam ten program to co mam nacisnac???


(boczi) #16

Kamcia podała odpowiednie wpisy, które masz "zaptaszyć" i następnie do każdego klikasz Fix. Robisz to w trybie awaryjnym.


(Bexs) #17

a jest jakis program co wykrywa te wiry i usuwa na stale?? ale z normalnego windowsa


(lazikar) #18

Ciężko będzie. Wejdz w tryb awaryjny i zrób jak napisano wyżej. Problem będziesz miał z głowy. :?


(Musg) #19

nie ma.


(boczi) #20

Powiem tak, trzeba na bieżąco skanować system np. Ad-Aware'm, Spybot Search & Destroye'm. Jeśli używasz w dalszym ciągu Internet Explorer, zalecana jest zmiana przegląarki na lepszą, bezpieczniejszą, np. http://www.firefox.pl . No i zdrowy rozsądek