filgar
7 Sierpień 2007 19:07
#1
Witam, ostatnio zainstalowałem skaner antywirusowy (avast) i po wstępnym skanowaniu wykrył mi 2 trojany - jeden w Moich dokumentach, a drugi w pliku systemowym svcipa.exe (C:\Windows\Temp). Radził mi nie usuwać - wolę nie instalować potem systemu od nowa. Jaki jest sposób, żeby wirusa się pozbyć, a jednocześnie nie naruszyć Windows?
Na razie przesiaduje w Kwarantannie, ale nie wiem czy to jest super bezpieczne…
adam9870
7 Sierpień 2007 19:12
#2
Zastosuj narzędzie SDFix. Opis jego użycia został przedstawiony w tym temacie:
http://forum.dobreprogramy.pl/viewtopic.php?t=173690
Po wykonaniu wklej raport z SDFix oraz dodatkowo log z ComboFix
sdar
7 Sierpień 2007 19:22
#3
arekmalek:
Daj logi z Hijackthis
W tym konkretnym przypadku najpierw należy zastosować się do rady udzielonej przez adam9870
filgar
8 Sierpień 2007 07:06
#4
ComboFix 07-08-07.6 - “vip” 2007-08-07 22:30:29.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.0.1250.1.1045.18.67 [GMT 2:00] * Created a new restore point ((((((((((((((((((((((((( Files Created from 2007-07-07 to 2007-08-07 ))))))))))))))))))))))))))))))) 2007-08-07 22:29 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-07 22:16 2007-08-07 22:13 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT 2007-08-07 22:13 2007-08-07 22:13 2007-08-07 22:13 2007-08-07 22:13 2007-08-07 22:13 2007-08-07 22:13 2007-08-07 22:13 2007-08-07 19:29 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-08-07 19:29 94,416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-08-07 19:29 92,848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-08-07 19:29 783,224 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-08-07 19:29 42,912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-08-07 19:29 26,624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-08-07 19:29 23,152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-08-07 19:29 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2007-08-07 19:29 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-07 22:21 49910 --a------ C:\WINDOWS\system32\perfc015.dat 2007-08-07 22:21 356068 --a------ C:\WINDOWS\system32\perfh015.dat 2007-08-07 19:27 --------- d-------- C:\Program Files\GetRight ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “cpqek”=“C:\Program Files\Compaq\Compaq EAB Software\cpqek.exe” [2001-09-05 10:47] “SynTPLpr”=“C:\Program Files\Synaptics\SynTP\SynTPLpr.exe” [2001-07-27 13:18] “SynTPEnh”=“C:\Program Files\Synaptics\SynTP\SynTPEnh.exe” [2001-07-27 13:17] “ATIModeChange”=“Ati2mdxx.exe” [2001-09-04 17:24 C:\WINDOWS\system32\Ati2mdxx.exe] “NAV Agent”=“C:\PROGRA~1\NORTON~1\navapw32.exe” [2002-04-11 08:28] “DU Meter”=“C:\Program Files\DU Meter\DUMeter.exe” [2003-01-29 22:30] “HPDJ Taskbar Utility”=“C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe” [2001-11-29 22:07] “pdfFactory Pro Dispatcher v1”=“C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe” [2003-07-22 22:03] “REGSHAVE”=“C:\Program Files\REGSHAVE\REGSHAVE.exe” [2002-02-04 23:32] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-07-28 00:03] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2001-10-30 14:00] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2003-05-27 13:47] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Ralink Wireless Utility.lnk - C:\Program Files\RALINK\Common\RaUI.exe [2006-12-24 20:16:17] R1 ClntMgmt.sys;ClntMgmt;C:\WINDOWS\System32\Drivers\ClntMgmt.sys R2 IOSLINK;IOSLINK;??\C:\WINDOWS\System32\drivers\IosLink.sys R3 NAVAP;NAVAP;??\C:\WINDOWS\System32\Drivers\NAVAP.SYS S3 AssistService;Assist 3 Service;C:\Program Files\Sony\Sony Assist\assistsvc.exe S3 Bridge;Mostek MAC;C:\WINDOWS\System32\DRIVERS\bridge.sys S3 BridgeMP;Miniport mostka MAC;C:\WINDOWS\System32\DRIVERS\bridge.sys S3 U2SP;USB to Serial Converter Driver(Philips);C:\WINDOWS\System32\DRIVERS\u2s2kxp.sys S3 ZD1201U;ZyDAS ZD1201 IEEE 802.11b Wireless LAN Driver (USB);C:\WINDOWS\System32\DRIVERS\zd1201u.sys Contents of the ‘Scheduled Tasks’ folder 2007-07-20 18:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Skanuj komputer.job - C:\PROGRA~1\NORTON~1\NAVW32.exe 2007-08-07 20:31:00 C:\WINDOWS\Tasks\Symantec NetDetect.job - C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-07 22:33:23 Windows 5.1.2600 NTFS scanning hidden processes … scanning hidden registry entries … [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reinstall\x107H\x151w\17\x107\1] “DisplayName”="\t" “DeviceDesc”="\t" “ProviderName”="" “MFG”="\xebc" “ReinstallString”=“2002, 6.13.10.6051” “DeviceInstanceIds”=str(7):"" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,… scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-07 22:34:19 — E O F —
Przepraszam, że nie dałem ich wczoraj wieczorem, ale miałem problemy z Internetem.
Złączono Posta : 08.08.2007 (Sro) 9:20
Nie wiem czy tak powinno być, czy nie, ale kiedy chciałem teraz przeskanować osobno katalog C:\Windows\Temp (avastem) napisał mi, że nie ma do niego dostępu… Czy to znaczy że muszę skanować z konta Administratora (którego teraz boję się używać), czy może jednak coś więcej tam siedzi?
qrczak13
9 Sierpień 2007 20:08
#5
Co w kwarantannie usuń.
Czyszczenie rejestru - jv16 PowerTools 1.3.0.195
Użyj także ATF Cleaner
Po użyciu tych 2 powinno być ok. Jak nie to pisz.
http://forum.dobreprogramy.pl/viewtopic.php?t=173690