Trojan nod32nie daje rady


(Metallica12345) #1

witajcie skanowalem dzisiaj system....

i wykrylo mi wyrusa:

Plik C:\System Volume Information_restore{2600EEA1-A628-468D-8456-1ECAF5F1F49D}\RP344\A0305853.exe jest zainfekowany - prawdopodobnie odmiana Win32/Adware.WhenU.SaveNow Program.

moj NOD32 nie moze go usunac ani wyleczyc co mam robic.... prosze o pomoc... ^^ (w gre nie wchodzi inny anty vir.. ) moze jakas szczepionka... prosze o pomoc...

Złączono Posta : 07.08.2007 (Wto) 9:26

Logfile of HijackThis v1.99.1

Scan saved at 09:24:28, on 2007-08-07

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\Mixer.exe

C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe

C:\WINDOWS\Logi_MwX.Exe

C:\Program Files\Eset\nod32kui.exe

C:\WINDOWS\wt\updater\wcmdmgr.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

D:\Program Files\DAEMON Tools\daemon.exe

C:\Program Files\Winamp\winampa.exe

G:\Gry\lol\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

D:\Program Files\Skype\Phone\Skype.exe

C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE

C:\Program Files\Neostrada TP\neostradatp.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\PROGRA~1\NEOSTR~1\Toaster.exe

C:\PROGRA~1\NEOSTR~1\Inactivity.exe

C:\PROGRA~1\NEOSTR~1\PollingModule.exe

C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE

C:\Program Files\Neostrada TP\Watch.exe

G:\Gry\Xfire\Xfire.exe

G:\Gry\Teamspeak2_RC2\TeamSpeak.exe

C:\Program Files\Internet Explorer\iexplore.exe

G:\SRO\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dhunters.webd.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet7_48.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [wpkontakt] C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe -autostart

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [ZipTorrent] D:\Program Files\ZipTorrent\ZipTorrent.exe

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "D:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "G:\Gry\lol\qttask.exe" -atboottime

O4 - HKLM\..\Run: [system32NXYI Agent] C:\WINDOWS\system32NXYI.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [Tibia] C:\Windows\system32\Tibia.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [AXVenore] "C:\Program Files\AXVenore\AXVenore.exe"

O4 - HKCU\..\Run: [Slre] "C:\DOCUME~1\MICHA~1\DANEAP~1\MANTEC~1\wucrtupd.exe" -vt yazb

O4 - HKCU\..\Run: [BitTorrent] "D:\PROGRA~1\BITTOR~1\BITTOR~1.EXE" --force_start_minimized

O4 - HKCU\..\Run: [ares] "D:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [VoipDiscount] "G:\Gry\VoipDiscount\VoipDiscount.exe" -nosplash -minimized

O4 - HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: Download all links using BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download link using &BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E702C9DE-FB74-47B8-8C07-FBCBE4BA51B3}: NameServer = 194.204.159.1 217.98.63.164

O18 - Filter: text/html - {994D478A-45D0-4DB4-AE77-288B1E346E99} - C:\Program Files\FCAdvice\FCAdvice.dll

O20 - AppInit_DLLs: Runner.dll

O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

to chyba nie skanowalo tej scieszki.... co mam robic..?

Plik C:\System Volume Information_restore{2600EEA1-A628-468D-8456-1ECAF5F1F49D}\RP344\A0305853.exe jest zainfekowany - prawdopodobnie odmiana Win32/Adware.WhenU.SaveNow Program.

moj NOD32 nie moze go usunac ani wyleczyc co mam robic.... prosze o pomoc... ^^ (w gre nie wchodzi inny anty vir.. ) moze jakas szczepionka... prosze o pomoc...


(jessica) #2

Po prostu wyłącz na chwilę "Przywracanie Systemu" i po kłopocie.

>>Start>>Panel Sterowania>>System>>Przywracanie Systemu>>zaznacz przy "Wyłącz przywracanie systemu na wszystkich...">>Zastosuj>>OK.

Potem możesz powrócić do poprzedniego ustawienia.

.To wszystko.

.

EDIT:

To powyższe pisałam, gdy nie było jeszcze logu z Hijacka.

Teraz muszę go najpierw obejrzeć, bo chyba będzie coś do usuwania.

.


(Tomasz Paziewski) #3

Wyłącz przywracanie systemu i spróbuj go usunąć ręcznie. Czy masz więcej takich plików w System Volume Information(w sensie zawirusowanych) ??


(Metallica12345) #4

dziwne ^^ to w ostatecznosci ^^ prosze o pomoc...


(Tomasz Paziewski) #5

A żeby się dostać do System Volume... trzeba otworzyć eksploratora windows, kliknąć Narzędzia, Opcje folderów, zakładkę Widok i odznaczyć Ukryj chronione pliki systemu


(Monczkin) #6

Nazwij temat konkretnie i popraw błędy. Na forum piszemy po polsku.


(Metallica12345) #7

nie ejst dostepny odmowa dostepu ^^


(luger) #8

Kaspersky świetnie sobie radzi z plikami w System Volume Information.

Użyj skanera online kasperskyego http://www.kaspersky.pl/virusscanner.html

Albo zainstaluj sobie 30 dniową wersję testową i przeskanuj cały system.

Nie trzeba nawet wyłączać przywracania systemu.

To są już wersje 7 pl.


(jessica) #9

Nie wiem, czy to było usuwane i pozostały tylko puste wpisy, czy też może są to aktualne infekcje.

Na razie sfiksuj te wpisy w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem daj log z ComboFixa:

(na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

.


(Metallica12345) #10

biore C:\system.....

i oto scan kasperskiego...

http://img377.imageshack.us/my.php?imag ... canfu3.jpg


(adam9870) #11

Wykonaj czynności, o których mowa w poście @jessicii (mam nadzieję, że dobrze odmieniłem) i wklej log z ComboFix. :slight_smile:


(Metallica12345) #12

ok


(luger) #13

No.... możliwe, że to nie jest wirus, nod32 informował, że prawdopodobnie jest (jeśli się nie mylę) :oops:


(Metallica12345) #14

oto scan:

http://wklej.org/id/7148f559e7


(jessica) #15

ComboFix dużo usunął (patrz: "Other Deletions"), ale nie wszystko.

Nawet nie wiem, czy masz jakieś narzędzie do usuwania.

Jesli nie masz, to zrób tak:

Wklej do Notatnika :

File::

C:\WINDOWS\svhosted.exe

C:\host

C:\dir


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{492da7f6-a4d4-11db-8ef0-000e50eb1418}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 

"appinit_dlls"=""

>>Plik>>Zapisz jako... >>> ComboFix-Do (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka ComboFix-Do znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik ComboFix-Do.txt na plik ComboFix.exe

(czyli ikonkę ComboFix-Do.txt na ikonkę ComboFix.exe )

– tak jak na tym obrazku -->

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Znasz te powyższe?

Potem daj log z ComboFixa do sprawdzenia.

.


(Metallica12345) #16

tylko nie rozumiem tego...:

oto log:

ComboFix 07-08-04.3 - "Micha" 2007-08-07 13:03:20.2 [GMT 2:00] - NTFS

(jessica) #17

Wydaje mi się, że zadałam proste pytanie: czy znasz te wpisy?

Ten powyższy wpis jest chyba od jakiejś gry, więc go zostawiamy w spokoju, jeśli masz taką grę.

Ten powyższy folder otwórz i zobacz, co w nim jest - myślałam, że może sam utworzyłeś ten folder.

Z podanego usuwania niewiele się wykonało, więc powtórka z rozrywki:

Wklej do Notatnika :

File::

C:\WINDOWS\svhosted.exe

C:\WINDOWS\system32\runner.dll


Folder::

C:\host

C:\dir


Registry::

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=""

>>Plik>>Zapisz jako... >>> ComboFix-Do (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka ComboFix-Do znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik ComboFix-Do.txt na plik ComboFix.exe

(czyli ikonkę ComboFix-Do.txt na ikonkę ComboFix.exe )

– tak jak na tym obrazku -->

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER)

Po restarcie usuń ręcznie folder C: **** Qoobox.

I znów log do kontroli.

.


(Metallica12345) #18

log:

ComboFix 07-08-04.3 - "Micha" 2007-08-07 15:36:02.3 [GMT 2:00] - NTFS

(adam9870) #19

Pobierz Gmer'a.

Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.

  • w zakładce Procesy kliknij Gmer awaryjny. Komputer zostanie uruchomiony ponownie i zostanie samo okienko Gmer'a

  • w zakładce Procesy kliknij Pliki i skasuj pozycje zaznaczone na czerwono

  • zrestartuj komputer przyciskiem na obudowie

  • po resecie otwórz Gmer'a i w zakładce CMD z zaznaczoną opcją REGEDIT.EXE wklej:

  • kliknij Uruchom i reset.

Włącz pokazywanie ukrytych oraz systemowych plików i folderów i przeskanuj plik C:\WINDOWS\system32\AE456B2BB9.dll na stronie http://www.virustotal.com/pl/ lub http://virusscan.jotti.org/, a następnie wklej tu wynik skanowania.

Po wykonaniu wklej nowy log z ComboFix.


(Metallica12345) #20

zrobilem jak kazales ale: nie ma tego pliku runner.dll inne byly.... co mam zrobic...? jak wykasowalem te inne bez tegp runner i resetowalem kompa to caly czas sie ten pprogram wlaczal w awaryjnym i musze uruchamiacw starych dzialajacych ustawieniach zy akos tak... co robic przosze o pomoc...