Witam,
korzystam pierwszy raz wiec prosze o wyrozumialosc. Po skanowaniu NOD’em okazalo sie, ze mam straszny syf na kompie ( czyli trojany i robala ), ktory zazwyczaj atakuje pliki z rozszerzeniem exe i nie wiem czy moge to tak po prostu zaznaczyc i wywalic. Prosze o pomoc
Oto log:
Logfile of HijackThis v1.99.1 Scan saved at 16:42:40, on 2006-05-21 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\System32\mswindtc.exe C:\pscox.exe C:\Program Files\winupdates\winupdates.exe C:\Program Files\BearShare\BearShare.exe C:\Program Files\Eset\nod32kui.exe C:\netps.exe D:\GG\Gadu-Gadu\gg.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Eset\nod32krn.exe C:\Documents and Settings\Klaudia\Moje dokumenty\HijackThis\hijackthis.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lnet.pl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 10.134.1.57 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: (no name) - {C25FA7CE-23EA-4271-A66D-06C4D5C22F78} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [AWMON] “C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe” O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [win msdt service] mswindtc.exe O4 - HKLM…\Run: [asdgs] C:\pscox.exe O4 - HKLM…\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause O4 - HKLM…\Run: [8070] c:\netps.exe O4 - HKLM…\Run: [9438] C:\netps.exe O4 - HKLM…\Run: [9830] C:\netps.exe O4 - HKLM…\Run: [1010] C:\netps.exe O4 - HKLM…\Run: [1083] C:\netps.exe O4 - HKLM…\Run: [8981] C:\netps.exe O4 - HKLM…\Run: [1401] C:\netps.exe O4 - HKLM…\Run: [30] C:\netps.exe O4 - HKLM…\Run: [6593] C:\netps.exe O4 - HKLM…\Run: [2458] C:\netps.exe O4 - HKLM…\Run: [5943] C:\netps.exe O4 - HKLM…\Run: [4394] C:\netps.exe O4 - HKLM…\Run: [4992] C:\netps.exe O4 - HKLM…\Run: [126] C:\netps.exe O4 - HKLM…\Run: [3932] C:\netps.exe O4 - HKLM…\Run: [4558] C:\netps.exe O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [6827] C:\netps.exe O4 - HKLM…\Run: [930] C:\netps.exe O4 - HKLM…\RunServices: [win msdt service] mswindtc.exe O4 - HKCU…\Run: [win msdt service] mswindtc.exe O4 - HKCU…\Run: [Gadu-Gadu] “D:\GG\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\RunServices: [win msdt service] mswindtc.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Download All by FlashGet - c:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - c:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O17 - HKLM\System\CCS\Services\Tcpip…{6D17C89C-E594-40E3-B020-07F62839C29D}: NameServer = 10.128.101.2,212.51.192.2 O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Performance True Type Font (PerfFont) - Unknown owner - C:\WINDOWS\System32\perfont.exe
Z gory wielkie dzieki =]
Bieniol
(Bbieniol)
21 Maj 2006 15:29
#2
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.
Wyłączasz przywracanie systemu:
Włączasz tryb awaryjny:
Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe Performance True Type Font
Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz PerfFont i ok
Odpalasz Hijacka --> do a system scan only i zaznaczasz wpisy:
I klikasz na dole “fix checked”
Usuwasz ręcznie z dysku folder:
C:\Program Files\ winupdates
Uruchamiasz narzędzie KillBox , zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:
C:\WINDOWS\System32\perfont.exe
C:\WINDOWS\System32\mswindtc.exe
C:\netps.exe
C:\pscox.exe
Klikasz X i restart kompa (restart dopiero po usunięciu ostatniego pliku)
Skan EWIDO po update
Po zabiegach nowy log z Hijacka + log z Silent Runners
Przy odpalaniu Sillent Runners’a wyswietla sie: dostep do hosta skryptow systemu Windowa jest wylaczony na tym komputerze. A ja zupelnie nie wiem co jest wylaczone i jak to wlaczyc :oops:
adam9870
(adam9870)
21 Maj 2006 19:23
#4
To spróbuj odpalić noscript . Zmień znaczki z disable na enable. Po zrobieniu tego powinno dać się odpalić silenta
Niestety noscript nie pomaga, nadal jest to samo
kuz5
(Kuz5)
24 Maj 2006 12:03
#6
Zobacz TUTAJ oraz Wyłączenie/włączenie WSH
Dodatkowo wklej loga HijackThis