PATS
(Kviatek4)
22 Wrzesień 2005 12:25
#1
witam
Jestem nieco laikiem więc tak po “chłopsku”
Mam problem z pozbyciem się tego ustrojstwa z kompa.
Skanuje NODem i znajduje mi jakiś zainfekowany plik lub folder, wyleczyć się nie da jedynie usunąć
Po usunięciu folderu i kolejnym skanowaniu jest wszysko ok
ale następnego dnia sytuacja się powtarza
Narazie nie zaatakował nic ważnego, ale…
Jest jakiś sposób na pozbycie się tego??
detektyw
(Qbek50)
22 Wrzesień 2005 12:26
#2
PATS
(Kviatek4)
22 Wrzesień 2005 19:21
#3
Prośba o sprawdzenie loga
Logfile of HijackThis v1.99.1 Scan saved at 21:18:23, on 2005-09-22 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\System32\Ati2evxx.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\Program Files\Ahead\InCD\InCDsrv.exe E:\Program Files\Eset\nod32krn.exe E:\Program Files\Analog Devices\SoundMAX\SMAgent.exe E:\WINDOWS\System32\svchost.exe E:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe E:\WINDOWS\system32\Ati2evxx.exe E:\WINDOWS\Explorer.EXE E:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe E:\Program Files\Ahead\InCD\InCD.exe E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe E:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe E:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe E:\Program Files\Eset\nod32kui.exe E:\Program Files\Media Access\MediaAccK.exe E:\WINDOWS\System32\ctfmon.exe E:\Program Files\Messenger\msmsgs.exe E:\Program Files\Media Access\MediaAccess.exe E:\Program Files\Windows Uptime\Windows Uptime.exe E:\Program Files\VIA\RAID\raid_tool.exe E:\Program Files\Mobile Phone Manager\GPRSv2\Siemens GPRS.exe E:\Program Files\Internet Explorer\iexplore.exe E:\Program Files\Internet Explorer\iexplore.exe E:\Program Files\FlashGet\flashget.exe E:\Documents and Settings\DOM\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gogle.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: XBTP00558 - {96D39527-7C5C-4507-953B-4A665D5883F7} - E:\WINDOWS\DOWNLO~1\toolbar.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: NetSprint Toolbar - {34F459B8-1D37-4FF2-9EFA-192D8E3ABA6F} - E:\WINDOWS\Downloaded Program Files\toolbar.dll O4 - HKLM…\Run: [inCD] E:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM…\Run: [ATIPTA] E:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [pccguide.exe] “E:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe” O4 - HKLM…\Run: [PCCClient.exe] “E:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe” O4 - HKLM…\Run: [Pop3trap.exe] “E:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe” O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [nod32kui] “E:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [Media Access] E:\Program Files\Media Access\MediaAccK.exe O4 - HKCU…\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “E:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [WindowsUptime] “E:\Program Files\Windows Uptime\Windows Uptime.exe” /i O4 - Global Startup: raid_tool.exe.lnk = E:\Program Files\VIA\RAID\raid_tool.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - E:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - E:\Program Files\FlashGet\jc_all.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\System32\msjava.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\WINDOWS\System32\msjava.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplat … -devel.cab O16 - DPF: {92F02779-6D88-4958-8AD3-83C12D86ADC7} - http://netsprint.pl/toolbar/toolbar.cab O17 - HKLM\System\CCS\Services\Tcpip…{B3862A51-2A3A-4AF6-B418-D952DCD78526}: NameServer = 212.2.96.62 212.2.96.52 O23 - Service: Ati HotKey Poller - Unknown owner - E:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - E:\WINDOWS\system32\ati2sgag.exe O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - E:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Macromedia Licensing Service - Unknown owner - E:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - E:\Program Files\Eset\nod32krn.exe O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - E:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - E:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - E:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
Gutek
(Gutek)
22 Wrzesień 2005 20:31
#4
usuwasz w trybie awaruyjnym, a foldery po odinstalowaniu ręcznie
Diablos
(123448)
22 Wrzesień 2005 20:43
#5
odinstaluj jeden z AV. mogą one przeszkadzać jeden z drugim i wykrywać pliki “zarażone” między sobą. zainstaluj firewalla.
sp2 również.
możesz wyłączyć w autostarcie te rzeczy:
Gutek
(Gutek)
22 Wrzesień 2005 21:03
#6
ale jak mu napisz jeżeli już: 1 wpis: to jest znak errora, który u ciebie nastąpił. Wejście nieszkodliwe. Ten KernelFaultCheck możesz usunąć Hijackiem i całkowicie zapobiec powstawaniu tego wpisu poprzez:
Panel sterowania >>> System >>> Zaawansowne >>> Uruchamianie i odzyskiwanie
Klikasz Ustawienia i w sekcji Zapisywanie informacji o debugowaniu ustaw opcję na Brak.
2 wpis: Panel sterowania >>> Ustawienia regionalne >>> Języki >>> Detale >>> Zaawansowane >>> odznaczyć usługi tekstowe, zrób tak jeżeli nie używasz innych języków przy pisaniu
Pozostałe 2: Start >>> Uruchom >>> msconfig >>> w zakładce Uruchamianie wyłącz te 2 wpisy.