Trojan po formacie?

TheOffspringFan · 14 Wrzesień 2007 10:05

Witam

Dopiero co formatowałem wczoraj kompa, a dziś już mam z nim jakiś problem Po instalacji NERO wystarczy uruchomić ponownie kompa, a aplikacja już się nie uruchomi; wyskakuje tradycyjny komunikat, że aplikacja zostanie zamknęta, itd. Z BearShare dzieje się mniej więcej tak samo, tylko komunikat jest inny. Podaje linka do screena błędu http://www.sendspace.com/file/11kk32

Niżej zamieszczam log z Hijack’a

Z góry dzięki za wszelką pomoc

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:51:15, on 2007-09-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Gadu-Gadu\gg.exe

D:\p2p\Shareaza\Shareaza.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Star Downloader\stardown.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: Download with Star Downloader - C:\Program Files\Star Downloader\sdie.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


--

End of file - 3679 bytes

adam9870 · 14 Wrzesień 2007 10:13

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Folder zaznaczony na czerwono usuń ręcznie z dysku w trybie awaryjnym natomiast wpis HijackThis.

Poczytaj o prawidłowej instalacji systemu operacyjnego i koniecznie zainstaluj jeszcze jakieś oprogramowanie zabezpieczające:

Prawidłowe instalowanie Windows 2000/XP/2003

Walka z wirusami, spyware i innymi

Po wykonaniu wklej log z ComboFix.

TheOffspringFan · 14 Wrzesień 2007 13:37

Pod tym linkiem znajduje się mój log z ComboFix’a http://www.wklej.org/id/0ba8f00b10

A tak w ogóle to co zmieniłem w swoim kompie tym Windows Worms Doors Cleanerem??

jessica · 14 Wrzesień 2007 14:00

Ten w/w bezplikowy wpis sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz go >> Fix checked.

W logu ComboFixa nie widać żadnej infekcji.

Przy pomocy “Windows Worms Doors Cleaner” zamyka się robaczywe porty.

Jeśli Twój problem dalej jest aktualny, to z powodu braku wirusa pozostaje (zgodnie z Twoim obrazkiem) tylko druga możliwość, czyli uszkodzony dysk twardy.

jessi

TheOffspringFan · 14 Wrzesień 2007 14:18

Więc dlaczego tylko ten program wyświetla mi taki komunikat? Po ponownym zainstalowaniu BearShare program działa normalnie kilka dni i znów to samo Nie wiem też co myśleć o tym NERO, dlaczego się tak zachowuje. Skanowałem dziś kompa internetowym skanerem i znalazł mi jakiś syf w C:\Windows\Temp

Właśnie zauważyłem, że razem z BearShare’em instaluje mi sie aplikacja VVSN, a z tego co pamiętam instalowało mi się zawsze WhenU :?

adam9870 · 14 Wrzesień 2007 16:11

Przeskanuj system skanerem on-line dostępnym na stronie http://www.kaspersky.pl/virusscanner.html bądź http://www.ewido.net/de/onlinescan/ i wklej tu wyniki skanowania.

Dzieje się tak ponieważ wwykła wersja BearShare instaluje wraz z sobą różne komponenty szpiegujące plus Toolbar BearShare MediaBar dla przeglądarki Internet Explorer. Rozwiązaniem jest albo odznaczenie odpowiednich checkboxów podczas instalacji programu dzięki czemu nie byłyby one instalowane bądź skorzystanie z całkowicie czystej wersji Lite.

TheOffspringFan · 14 Wrzesień 2007 21:22

Link to raportu programu antywirusowego http://www.wklej.org/id/6b905dcdf6

jessica · 14 Wrzesień 2007 22:00

No to masz wyjaśnienie.

Ten wirus zaraża wszystkie pliki *.exe i *.scr , czyli wszystkie programy, wszystkie pliki wykonywalne systemu i dodatkowo wszystkie pliki związane z pulpitem.

Jednym słowem: sytuacja tragiczna, bo musisz mozolnie usuwać wszystkie zarażone programy, wszystkie zarażone pliki systemowe i potem od nowa doinstalować system z płytki systemowej oraz programy.

I pomyśleć, że taka grożna infekcja nie przychodzi z interbetu, lecz wyłącznie z jakiejś dyskietki lub CD.

Co masz usuwać - widać w raporcie aKaspersky,ego.

W międzyczasie na pewno zostały zainfekowane następne pliki, więc po usuwanięciu zrób ponowny skan.

EDIT:

Zaraz, pisałeś że przedwczoraj sformatowałeś dysk - czy nie szybciej będzie w takim razie ponownie go sformatować?

To pozostawiam Rwojej decyzji, sam się lepiej orientujesz.

jessi

TheOffspringFan · 15 Wrzesień 2007 11:30

Miałaś racje. Przed formatem nagrałem sobie na płyte folder Moje dokumenty i inne rzeczy. Po formacie wrzuciłem to spowrotem na kompa. Wirus siedzi na płycie we wszystkich plikach *.exe Tylko zastanawiam się skąd ten wirus się wziął na moim kompie?? :?

system · 15 Wrzesień 2007 11:45

Strony WWW (raz zaraziłem się na onecie :o )

jessica · 15 Wrzesień 2007 11:47

Po prostu zainstalowałeś tego wirusa sam, przy okazji instalacji jakiegoś programu, gry, itp, z nie sprawdzonego źródła.

edit:

ten wirus nie rozprzestrzenia się za pomocą internetu, lecz tylko za pomocą dyskietek i płyt CD.

jessi