Ściągnąłem zainfekowany plik, miałem problemy z działaniem


(Leex Nx) #1

Witam. Niby dobry kumpel przesłał mi jakiś program. Mówił że mi się na pewno przyda. Był on spakowany w archiwum .sfx. Przy próbie rozpakowania Kaspersky IS 7.0 z aktualną bazą wykrył wirusa "adware not-a-virus:AdWare.Win32.Craagle.18" kliknąłem żeby kis usunął zainfekowany plik. usunąłem to archiwum które mi kumpel przysłał. Po tym nie mogłem otworzyć żadnego pliku .exe "odmowa dostępu". uruchomiłem ponownie komputer. Pliki .exe już mogę otwierać. Skanowałem system Windows Defender'em oraz Kaspersky IS 7.0. Windows Defender nic nie wykrył a KIS wykrył wirusa tego którego pobrałem wcześniej gdzieć na dysku i go usunął. Przed skanowanie KIS oraz usunięciem wirusa z dysku kiedy otwierałem stronę "www.google.pl" w Firefoxie wyświetla mi się coś takiego

We're sorry...


... but your query looks similar to automated requests from a computer virus or spyware application. To protect our users, we can't process your request right now.


We'll restore your access as quickly as possible, so try again soon. In the meantime, if you suspect that your computer or network has been infected, you might want to run a virus checker or spyware remover to make sure that your systems are free of viruses and other spurious software.


We apologize for the inconvenience, and hope we'll see you again on Google.

To continue searching, please type the characters you see below:

Znaczy to chyba że coś jest nie tak... Więc proszę o sprawdzenie loga z hijack this bo nie wiem czy tamten wirus czegoś po sobie nie zostawił. Chyba wszystkie widoczne problemy takie jak komunikaty od google.pl, brak możliwości otwarcia właściwości w prawokliku na pulpicie, bez powodu zajęty transfer out, drobne mulenie PCta, brak możliwości otwarcia .exe już minęły. Z góry dzięki :slight_smile:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:39:46, on 2007-08-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Program Files\A4Tech\Mouse\Amoumain.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Program Files\AutoConnect\AutoConnect.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\DoubleDesktop\dd.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

C:\Program Files\Raxco\PerfectDisk\PDAgent.exe

C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Miranda IM\miranda32.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.entretieneteds.vze.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

F2 - REG:system.ini: Shell=explorer.exe 

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - Startup: DoubleDesktop.lnk = C:\Program Files\DoubleDesktop\dd.exe

O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe

O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe

O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O15 - Trusted Zone: http://mks.com.pl

O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascinstie.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) - 

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash

.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B588AB46-09C2-4E03-B4DC-4

FD45F1767C6}: NameServer = 194.204.152.34 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe


--

End of file - 6570 bytes

A to już trochę nie do tematu ale często KIS wyświetla komunikat że komputer dokonał próby włamania do systemu (wyświetla to czasem co godzinę a czasem są dwa dni spokoju.


(adam9870) #2

Usuń kosmetycznie powyżej przedstawione wpisy korzystając z HijackThis.

Dla wykluczenia syfu wklej log z ComboFix.

W przypadku Kasperskiego jest to jak najbardziej normalne i radziłbym się nie przejmować za bardzo pojawianiem się informacji na atakach. Nie wiadomo czy Kaspersky rzeczywiście blokuje ataki, czy to tylko jakaś tzw. "zmyłka" mająca na celu pokazanie jak produkt jest dobry. :wink: Ewentualnie możesz poszukać w opcjach programu opcji, która spowoduje wyłączenia pojawiania się alertów o zablokowaniu ataków.

Ponadto użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.


(Leex Nx) #3

wskazane wpisy usunąłem :slight_smile:

log z ComboFix:

ComboFix 07-08-04.3 - "A" 2007-08-06 14:47:57.2 [GMT 2:00] - NTFS

(Arekmalek) #4

Autor Napisał, że plik dostał od 'kolegi'


(Leex Nx) #5

Nie rozumiem dlaczego otrzymałem ostrzeżenie. Dodam że system mi się troszkę posypał od tamtego czasu. No i teraz jestem już trochę po reinstallu XP. No ale dziękuję za pomoc.


(Gutek) #6

daj nowy log z Combo


(Leex Nx) #7

Ale ja już jestem po formatowaniu systemu.


(Przemczar) #8

niestety cie rozczaruje craagle to nie jest wirus to program do pobierania crackow juz raz pisalem tym razem decyzje pozxostawiam administracji


(Leex Nx) #9

Po pierwsze nie znam, nie używam tego programu. Po raz pierwszy o tym słyszę. Mogę przysiąc. Teraz się dowiedziałem co to. A nie jest możliwe że wirus też się tak nazywa? A z resztą jeśli mi nie wierzycie to róbcie co chcecie. Ja tylko prosiłem o pomoc.