BArdzo proszę o pomoc. Nie mogę tego usunąć. Skanowałem spybotem, bitdefenderem, ale w pewnym momencie restartuje mi sie komputer. ewido wykrywa, ale nie może poddać kwarantannie. Może ktoś coś poradzi - problem w tym, że trzeba do mnie mówić, jak do leppera: powoli i prostym językiem.
oto log z hijackthis:
Logfile of HijackThis v1.99.1 Scan saved at 16:47:40, on 2006-07-21 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ishost.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Softwin\BitDefender9\bdoesrv.exe C:\Program Files\Softwin\BitDefender9\bdnagent.exe C:\Program Files\Softwin\BitDefender9\bdswitch.exe C:\Program Files\ewido anti-spyware 4.0\ewido.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\AVerTV\QuickTV.exe C:\WINDOWS\System32\ismon.exe C:\Program Files\ewido anti-spyware 4.0\guard.exe C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe C:\Program Files\Softwin\BitDefender9\vsserv.exe c:\program files\softwin\bitdefender9\bdmcon.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Waldek\USTAWI~1\Temp\Rar$EX00.538\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [bDMCon] “C:\Program Files\Softwin\BitDefender9\bdmcon.exe” O4 - HKLM…\Run: [bDOESRV] “C:\Program Files\Softwin\BitDefender9\bdoesrv.exe” O4 - HKLM…\Run: [bDNewsAgent] “c:\program files\softwin\bitdefender9\bdnagent.exe” O4 - HKLM…\Run: [bDSwitchAgent] “c:\program files\softwin\bitdefender9\bdswitch.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - Global Startup: QuickTV.lnk = C:\Program Files\AVerTV\QuickTV.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O20 - Winlogon Notify: winxlm32 - C:\WINDOWS\SYSTEM32\winxlm32.dll O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing) O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
adam9870
(adam9870)
21 Lipiec 2006 15:02
#2
Czy mógłbyś podać gdzie zostaje wykryty ten wirus (lokalizacja) ?
Pobierz pod normlanym trybem SmitFraudFix oraz KillBox
Wyłącz przywracanie systemu
Uruchom komputer w trybie awaryjnym.
Po wciśnięciu klawisza włączającego komputer szybko naciskach i trzymasz klawisz F5. W niektórych komputerach klawiszem tym nie można wejść to trzeba klawiszem F8. Potem będzie lista systemów do wyboru, wybierasz “Tryb awaryjny”, i system będzie uruchamiać się w trybie awaryjnym.
Uruchamiasz HijackThis i wybierasz “Do a system scan only”. Pokaże się lista wpisów, zaznaczasz wpisy które podałem i klikasz na “Fix checked”. Wpisy zostaną usunięte. Oto te wpisy:
Uruchamiasz Killboxa, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:
C:\WINDOWS\System32* * ishost.exe**
C:\WINDOWS\System32* * ismon.exe**
C:\WINDOWS\SYSTEM32* * winxlm32.dll**
Po wklejeniu każdej ścieżki klikasz na czerwony X. Program poprosi o restart komputera, oczywiście zgadzasz się ale dopiero po wklejeniu ostatniej ścieżki.
Potem znowu wchodzisz do awaryjnego i i zapuszczasz SmitFraudFix
Po zrobieniu wchodzisz do normlanego i robisz log SilentRunners i wklejasz go na forum.
wirus został wykryty w plikach:
C:\WINDOWS\System32\ishost.exe
C:\WINDOWS\System32\ismon.exe
tak przy okazji, własnie mnie bitdefender poinformował, że w trzecim ze wwskazanych prze Ciebie plików (C:\WINDOWS\SYSTEM32\winxlm32.dll ) wykrył Trojan.Klone.D
Nie wiem czy dobrze odpaliłem SmitFraudFix, ponieważ po rozpakowaniu było tam kilka aplikacji z rozszeżeniem exe
oto log z SilentRunners:
“Silent Runners.vbs”, revision 46, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ “{105742EB-05BA-1045-1126-020301010030}” = ““C:\Program Files\Common Files{105742EB-05BA-1045-1126-020301010030}\Update.exe” mc-110-12-0000272” [file not found] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “CTFMON.EXE” = “C:\WINDOWS\System32\ctfmon.exe” [MS] “Gadu-Gadu” = ““C:\Program Files\Gadu-Gadu\gg.exe” /tray” [“Gadu-Gadu Sp. z oo”] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ {++} “ishost.exe” = “ishost.exe” [file not found] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “SunJavaUpdateSched” = “C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe” [“Sun Microsystems, Inc.”] “WinampAgent” = “C:\Program Files\Winamp\winampa.exe” [null data] “BDMCon” = ““C:\Program Files\Softwin\BitDefender9\bdmcon.exe”” [“SOFTWIN S.R.L.”] “BDOESRV” = ““C:\Program Files\Softwin\BitDefender9\bdoesrv.exe”” [“SOFTWIN SRL”] “BDNewsAgent” = ““C:\Program Files\Softwin\BitDefender9\bdnagent.exe”” [“SOFTWIN S.R.L”] “BDSwitchAgent” = ““C:\Program Files\Softwin\BitDefender9\bdswitch.exe”” [null data] “Easy-PrintToolBox” = “C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon” [“CANON INC.”]
adam9870
(adam9870)
21 Lipiec 2006 16:05
#4
Log z silenta jest ucięty. Poczekaj aż program skończy robić log, poinformuje wtedy odpowiednim komunikatem i dopiero wtedy wklej go na forum.
Usunąłeś te pliki i nadal są one przez antywira wykrywane ?
Miałeś uruchomić plik o nazwie SmitFraudFix.cmd . Tutaj jest rysunek z tym plikiem to sprawdź czy go uruchomiłeś:
http://forum.dobreprogramy.pl/viewtopic … 329#539329
jak nie to wjedź znowu w awaryjny i użyj wreście tego rpogramu. A potem log.
Złączono Posta : 21.07.2006 (Pią) 18:05
Już widać, że nie zastosowałeś
no problem w tym, że nie odpala się SmitFraudFix.cmd - po poleceniu aby wcisnąć dowolny klawisz nie pojawia się już nic. jednym słowem, nie moge użyć tego programu.
jednym słowem próbuj dalej, były już takie przypadki, nie działa, nie działa, a nagle cuda i zadziałał. Wklej “całego” loga z silent runners.
Ściągnij Pocket Killbox >>>uruchom>>>zaznacz opcje “Delete on Reboot”>>>w polu “Full path of file” wklej ścieżke:
Klikasz x i zgadzasz się na restart kompa.
Otwórz notatnik i wklej:
Plik>>>zapisz jako>>zmień rozszerzenie z .txt na wszystkie pliki>>>zapisz pod nazwą FIX.REG i uruchom w trybie awaryjnym
nowy log z silenta
czekaj, czekaj - killboxa odpalam w trybie awaryjnym, czy normalnie?
bez różnicy
bo plik będzie kasowany podczas ponownego uruchamiania
kurcze, nie chce zrestartować. wyskakuje notka: “Pending File Rename Operations Registry Data has been Removed by external process!”
spróbuj jeszcze raz, sprawdź czy jest jeszcze ten plik na dysku, zrób fixa, pokaż nowy log.
adam9870
(adam9870)
21 Lipiec 2006 19:07
#13
W takim razie może spróbuj samemu w awaryjnym usunąć plik ?
Jak będzie pisać, że plik jest w użyciu to może spróbuj programem Unlocker opis jest tutaj .
Jak to też nie zadziała to spróbujemy jeszcze inaczej ale narazie spróbuj tak.
w awaryjnym nie pójdzie, bo startuje z winlogon notify,
“Pending File Rename Operations Registry Data has been Removed by external process!”
oznacza, że pliku nie ma, lub broni do siebie dostępu
Pokombinuj, wykonaj fixa do rejestru i wklej nowego loga.
znaczy sie znaleźć go i ręcznie usunąć, tak? a jak sie bedzie opierał, to podsuniętym przez Ciebie programem, right?
a w razie czego załadować fixa?
Złączono Posta : 21.07.2006 (Pią) 21:27
zapisałem plik pod taką nazwą. zara odpale w trybie awar. i - jak rozumiem - tak mam ten plik otwaorzyć, tak?
adam9870
(adam9870)
21 Lipiec 2006 19:29
#16
Nie próbuj ręcznie go w awaryjnym usuwać czyli odszukać plik i usunąć. Jest to mój błąd. Dzięki InfinityToJa ,że mnie poprawiłeś
Próbuj nadal killboxem go usunąć - może jednak się uda. Jak jednak się nie uda to spróbuj programem Unlocker . Tutaj opis jego:
http://forum.twojastrefapc.pl/index.php?showtopic=750
A FIX’a i tak musisz uruchomić. Usuń plik, potem w awaryjnym uruchom tego fixa. I potem robisz w normalnym trybie nowego loga z Silent Runners i wklejasz go na forum.
Złączono Posta : 21.07.2006 (Pią) 21:30
UPDATE:
Plik FIX.REG zapisujesz gdzie chcesz np. na pulpicie. Potem wchodzisz do awaryjnego i klikasz na niego dwa razy. Zostaniesz spytany czy dodać do rejestru to się zgadzasz.
Ale najlpierw postaraj się usunąć plik. Potem FIX’a daj.
jak chce usuną ten plik killboxem, to wyskakuje info od bitdefendera, ze właśnie w tym pliku zablokował wirusa “Trojan.Klone.D”
adam9870
(adam9870)
21 Lipiec 2006 19:41
#18
Hmmm :hmmm: Ale killbox pyta po wciśnięciu X czerwonego o restart ?
Jeżeli nie to może spróbuj na dosłownie chwileczkę (na czas użycia killboxa do usunięcia pliku) wyłączenia BitDefendera ?
pyta. odlicza mi chyba 10 sekund i wyskakuje wspomniana wczesniej informacja, ze nie da rady
adam9870
(adam9870)
21 Lipiec 2006 19:49
#20