JARO_33
(JARO 33)
17 Wrzesień 2007 16:21
#1
Kolega ma problem z kompem.Bardzo zamula i bardzo wolno chodzi.Robił skana spybotem i za każdym razem wyskakuje mu jakiś “DSO Expolit”,jak go wywali to po ponownym skanie znowu się pojawia.
Bardzo proszę o pomoc.
Zamieszczam loga z Hijack This.
Logfile of HijackThis v1.99.1 Scan saved at 18:09:36, on 2007-09-17 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\RALINK\Common\RaUI.exe C:\PROGRA~1\INCRED~1\bin\IMAPP.EXE C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Winamp\winamp.exe C:\PROGRA~1\INCRED~1\bin\IncMail.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Dorobisz\USTAWI~1\Temp\Rar$EX00.502\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [systemTray] SysTray.Exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [LanguageShortcut] “C:\Program Files\CyberLink\PowerDVD\Language\Language.exe” O4 - HKLM…\Run: [bDOESRV] “C:\Program Files\Softwin\BitDefender8\bdoesrv.exe” O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [bDNewsAgent] “C:\Program Files\Softwin\BitDefender9\bdnagent.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe O8 - Extra context menu item: Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O20 - Winlogon Notify: ComPlusSetup - C:\WINDOWS\system32\catsrvut.dll O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
jessica
(jessica)
17 Wrzesień 2007 18:10
#2
Sprawdź, w jakim folderze jest ten plik.
Jeśli jest w folderze “system32”, to jest prawidłowy.
Jeśli jest w folderze “WINDOWS”, to jest to wirus. “NetSnake”
Nic tu innego podejrzanego nie widzę.
Na obrazku nie widać, jakie są wartości tych kluczy, więc nie wiem, co tam jest.
Ten pusty wpis sfiksuj:
>>Hijack>>scan(Do a system scan only)>>zaznacz go >> Fix checked .
Możesz dać jeszcze log z ComboFix (na dole tej strony z linku) -
Log wklej na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów).
jessi
JARO_33
(JARO 33)
17 Wrzesień 2007 19:49
#4
jessica
(jessica)
17 Wrzesień 2007 20:26
#5
Sprawę “DSO Exploit” wyjaśnił już Ci @Barnaba .
ComboFix usunął szkodniki (patrz: sekcja “Other Deletions” w logu) i log jest czysty.
Pozostała kosmetyka:
Z logu ComboFixa wynika, że to są bezplikowe, puste wpisy, wię je sfiksuj:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
To tak wygląda, jaby “BitDefender” został usunięty?
Czyżby naprawdę na komputerze nie było żadnego Antivirusa?
jessi