Problematyczny niby wirus,jest i nie ma go


(Lammermoor) #1

Sama nie wiem jak mam zatytulowac post bo sprawa dziwna.Czyszcze koledze komp z wirusow,nie mam dostepu do sieci a w kompie nie ma portu USB(juz pisalam na ten temat ale o czyms innym).Programy,ktorymi to robie sa bez aktualizacji.Nie moge skorzystac ze Spybota bo najpierw musi ja pobrac zeby sie uruchomil.Ad-Aware tez ze stara baza,PestPatrol+inne rowniez.Zainstalowalam KAV i usunal to co bylo ale stwierdzilam,ze na ten komp(Win98)jest za bardzo obciazajacy i zainstalowalam Nod32 i tu po skanowaniu sa dziwne przypadki.Znajduje w Zbior C:/Program Files/CashBack/bin/cashback.exe+zbior wirow w pliku C:WINDOWS/System/psis80ex.ax.ZIP C:WINDOWS/System/msbc.dll ,chce zeby je wyslac do analizy,jako trudne do identyfikacji,w tej chwili jest to niemozliwe.Sprawdzalam te zbiory w C:Windows/System a konkretnie ten plik psis80ex.ax. KAV i twierdzil,ze jest czysty.Po kolejnym zainstalowaniu Nod32 dalej jest taki komunikat,ze jest infekcja.W poleceniu chkdsk jest poprawna ilosc wszystkich bajtow pamieci(655.360),wiec mozna liczyc sie z tym,ze wirow nie ma.Czy moze tak byc dlatego,ze wersja Nod32 tez jest z nieaktualna baza?Moze jest jeszcze jakis program,ktorym moglabym sprawdzic czy jest czysto?-jesli tak to prosze o namiary co jeszcze moge zrobic bo nie oddam przeciez kompa dalej zawirusowanego.


(Gutek) #2

Ja bym usunął pliki: psis80ex.ax.ZIP, msbc.dll oraz folder CashBack

Ale najlepiej zrobić log hijackiem i Silentem na dykietce przenieść i zrobic potem tutatj wkleić


(Lammermoor) #3

Masz racje,ale jestem ofiara,ze na to nie wpadlam.Zrobie logi i wysle.Co do usuwania w/w plikow to mialam opory bo Nod dawal tylko mozliwosc pozostawienia zbiorow wiec nie usuwalam bo nie wiem czy to nie sa jakies istotne,systemowe pliki?

Wklejam log z HJ, z Sillent Runners nie moge zrobic bo mam takie info:“Nie mozna znalezc interpretera"VBScript"dla skryptuC:/WINDOWS/Temp/Rar$DI01.357/Sillent Runners.vbs”-da sie to jakos obejsc?W HJ czesc usunalam poprzednio,jesli brakuje czegos istotnego to moze da sie przywrocic z kopii.

Logfile of HijackThis v1.99.1

Scan saved at 01:46:20, on 05-11-21

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\PROGRAM FILES\ESET\NOD32KRN.EXE

C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\PESTPATROL\COOKIEPATROL.EXE

C:\PROGRAM FILES\ESET\NOD32KUI.EXE

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\PROGRAM FILES\COMMON FILES\AGNITUM SHARED\AUPDATE\AUPDRUN.EXE

C:\WINDOWS\TEMP\RAR$EX00.104\HIJACKTHIS.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {1CFAC4F4-5064-53C7-1690-50A0218BFEC9} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\INSTALKI\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /waitservice

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Program Files\Eset\nod32krn.exe"

O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /service

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = s

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 213.77.21.150

(Gutek) #4

wpisy hijckiem usuń, a co do silenta niech nie startuje z TEMP-a - info o nim masz http://www.searchengines.pl/phpbb203/in … opic=15989


(Lammermoor) #5

Te dwa wpisy R3 i 02 wywalilam nie mogac doczekac sie na odp,oprocz tego plik z WINDOWS/System psis80ex.ax -bo ciagle tam siedzial i nie wiem czy moglam tak zrobic ale teraz Nod choc ze stara baza nie podnosi juz alarmu,wirusow nie ma.Nie wiem co to za plik,czy czasem nie systemowy?-jesli konieczny to moge przywrocic z kopii z tym,ze znow wladuja sie wiry.Co do Sillent to nie wiem jak mam zrobic skan bo nagrywam go na plytke i z niej odpalam i bez efektu,chyba,ze go skopiowac z tej plytki?-prosze o rade.Nawet doinstalowalam plik vmicore.EXE ale nie ma zadnej roznicy i teraz nie wiem czy go zostawic na dysku czy nie.


(Gutek) #6

Pocket Killbox Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę C:WINDOWS/System/psis80ex.ax.ZIP Program poprosi o reset kompa … czyli resetujesz.


(Lammermoor) #7

To wiem ale ja usunelam ten plik juz wczesniej,recznie z dysku.Nie ma go.Prosze o odp. jak mam uruchomic Sillent?Problem w poscie wyzej.


(Gutek) #8

http://www.searchengines.pl/phpbb203/in … opic=15989 na dole masz odpowiedzi jak są błędy :wink: