pysiul86
(Olga86)
28 Lipiec 2008 12:51
#1
Witam mam problem u swojej kobietki bo przy starcie systemu wyskakuje taki o to błąd:
temp2 musi zostać zamknięte
nie wiem dokładnie o co w tym chodzi boje się że to jakiś syf ale nie jestem tego pewny w 100%
znacie może taki problem ??
Tutaj zamieszczam loga z HJ:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:49:17, on 2008-07-28 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\Program Files\Microsoft Office 2007 Enterprise\Office12\GrooveMonitor.exe C:\WINDOWS\system32\temp1.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\TGTSoft\StyleXP\StyleXP.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Kalendarz XP\Kalendarz.exe C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Neostrada TP\Watch.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Dąbrowska Olga\Pulpit\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [GrooveMonitor] “C:\Program Files\Microsoft Office 2007 Enterprise\Office12\GrooveMonitor.exe” O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU…\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Open Picture in &Microsoft PhotoDraw - res://C:\PROGRA~1\MI1933~1\Office\1033\phdintl.dll/phdContext.htm O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra ‘Tools’ menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll ,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDow … eqlab2.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab O17 - HKLM\System\CCS\Services\Tcpip…{42006249-A504-4FF2-994B-06CC43E04BE7}: NameServer = 194.204.159.1 217.98.63.164 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe – End of file - 6522 bytes
huber2t
(huber2t)
28 Lipiec 2008 12:59
#2
fix w hijackthis
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
File::
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\temp1.exe
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link
pysiul86
(Olga86)
28 Lipiec 2008 13:39
#3
ok zrobiłem te działania które kazałeś mi zrobić i o to wklejam jeszcze raz loga z HJ oraz z CF.
http://wklej.org/id/8a0dd08503
http://wklej.org/id/38f1b62b50
Mam do was jeszcze takie małe pytanie ponieważ już wiem doskonale skąd przyniosłem ten syf, bo z tego co czytałem to jest to syf który przenosi się za pomocą pen drive zgadza się ??
Przyniosłem go od swojej siostry podczas przenoszenia fotek z wakacji, moje pytanie jeszcze jest jedno jak skasować ten syf z pena bo z tego co mi się wydaje to on nadal jest na moim pen drive.
Mam jeszcze takie pytanie z uwagi na to że nagrywałem dziś płytkę DVD rano z filmami rozumiem że ona także będzie zawierała takiego wirusa tak ?? i kiedy już włożę ją do czyjegoś napędu to on także tam się wgra prawda ?
krypton
(krypton)
28 Lipiec 2008 13:43
#4
To z pewnoącią wirus a co gorsze wlazi na wszystkie nośniki wymienne pendrive i inne. Najpierw polecam pełne skanowanie systemu jakimś antywirusem a potem dla zabezpieczenia wyłączenie autoruna całkowicie ale poprzez wymuszenie w systemie traktowania plików autorun.inf jako zwykłych plików.
LINK do wyłączenia autoruna: http://www.man.lodz.pl/LISTY/WINNT/2008/04/1059.html
LINK do opisu wirusa: http://pl.mcafee.com/virusInfo/default.asp?id=description&virus_k=139841
Sorrki że część po angielsku
Powodzenia
huber2t
(huber2t)
28 Lipiec 2008 13:46
#5
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
Folder::
C:\FOUND.001
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklejto.pl lub na http://wklej.org a w poście dajesz tylko link
pysiul86
(Olga86)
28 Lipiec 2008 13:56
#6
ok już to robię ale jak mama to z pena wywalić i czy jest to na tej płycie z filmami powiecie mi ?
krypton
(krypton)
28 Lipiec 2008 14:01
#7
Jeśli wyłączysz autoruna to już nic nie wlezie jak pena podłączysz tylko pamietaj o resecie po wyłączeniu. Potem włącz widok wszystkich plików ukrytych i systemowych a następnie powywalaj wszystko z pena co wygląda podejrzanie, szczeólnie pliki *.exe i autorun.inf
pysiul86
(Olga86)
28 Lipiec 2008 14:02
#8
zamieszczam na prosbe nowego loga
http://wklej.org/id/aa41b19335
pysiul86
(Olga86)
28 Lipiec 2008 14:04
#9
aha rozumiem, uczynię to ale jeszcze powiedz mi jak wyłączyć tego auto runa bo jakoś nic nie mogę tam odczytać z tego linka wiesz :P:P
co do płytki to nie usunę go prawda ?? chodziarz jak wyłączę auto runa to sprawdze czy na płytce jest coś podejrzanego ale zapewne coś tam się dostało czy nie koniecznie ?
Leon1
(Leon$)
28 Lipiec 2008 14:11
#10
Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml
Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
lub format
Log wygląda na czysty
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE
krypton
(krypton)
28 Lipiec 2008 14:16
#11
Z tego co wiem narazie rzaden plik nie powinien sie dostać na CD chyba że kożystasz z programu do Nagrywania CD co w XP jest.
A metoda na autoruna jest taka:
Odpalasz regedit.exe
Przechodzisz do: “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping”
Edycja/Nowy KLUcz który nazywasz “Autorun.inf”
Przechodzisz do: “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf”
Klikasz dwukrotnie na “(Domyślna)” i w dane wartości wpisujesz “@SYS :DoesNotExist”
OK
zamykasz regedit i reset systemu
wszystko
pysiul86
(Olga86)
28 Lipiec 2008 14:45
#12
ok zrobiłem wszystkie czynności które poleciliście ale dalej nie wiem co mi muli ten komputer a może coś złe zrobiłem podczas podłączania na nowo pen drive coś sie dostało do mojego komputera ?
Zrobiłem znów 2 logi bardzo proszę abyście je przejrzeli, mam nadzieje że mój pen już jest także wyleczony bo leczyłem tym programem co polecaliście do leczenia pendrivów - Flash Disinfector
LOGI:
http://wklej.org/id/341831927e
http://wklej.org/id/854025006e
Jak pokazać pliki systemowe, gdzie w Windows jest taka opcja ?
Leon1
(Leon$)
28 Lipiec 2008 14:53
#13
logi czyste
gdzie raport Kasperskiego
w uruchamianiu też mógłbyś jeszcze coś wyłączyć
krypton
(krypton)
28 Lipiec 2008 14:56
#14
Moj komputer/Narzędzia/Opcje folderów/Widok
zaznacz: Pokaż ukryte pliki i foldery
odznacz: Ukryj chronione pliki systemu operacyjnego
pysiul86
(Olga86)
28 Lipiec 2008 15:10
#15
w uruchamianiu też mógłbyś jeszcze coś wyłączyć
a co zapomniałem wyłączyć ??
a jak sprawdzić czy ta płyta z firmami nie jest na bank zawirusowana, chce meic pewność ze ten syf już mi puki co nie zagraża
Leon1
(Leon$)
28 Lipiec 2008 15:42
#16
O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
usuń HijackThisem >> Fix checked
Start >> wszystkie programy >> autostart usuń ten skrót
Jak nie używasz wielu języków to
Panel sterowania >> opcje regionalne i językowe >> języki >> zaawansowane >> zaznacz Wyłącz zaawansowane usługi tekstowe
zastanowił bym się jeszcze nad tym
usunięcie wpisu nie powoduje usunięcia pliku (dotyczy wpisów 04) w razie pomyłki można przywrócić w HijackThisie
co zrobisz decyzja należy do ciebie
pysiul86
(Olga86)
4 Sierpień 2008 18:57
#17
ok zeskanowałem komputer antywirusem online kaspersky i podaje loga abyście lukneli czy wszystko jest ok napewno
http://wklej.org/id/3590d3d473