Uciązliwy wirus


(system) #1

witam mam taki problem mam na kompie jakiegos wirusa po wlaczeniu systemu wyskakuja jakies okienka z bledami typu z epamiec nie moze byc writte i po jakies paru sekundach system sie restartuje niestety nie moge uzyc hijacka ani kasperskiego zeby to usunac bo sie komp restartuje wiecie moze jak to usunac ? bardzo prosze o pomoc :cry:


(Lost World) #2

Niestety nic nie zrobimy bez logów...

Pojawia się jakiś komunikat , błąd?

Podaj dokładnie jego ścieżkę...

Podaj dokładną treść błędu.

  • Log z HiJackThis i Silenta (opis w przyklejonych działach) , przyjacielska rada : [code*] Log [/*code] (bez gwiazdek)

(system) #3

no wiec tak zeby ci podac tresc bledu musial bym isc na inny komp a to pol godziny drogi bledy sa zwiazane z dosem z 32 bitowym podsystemem chyba wiem ze sie da wlaczyc kompa na awaryjnym ale nie pamietam jak to sie robilo i moze wtedy bedzie dalo sie cos zrobic? bo o raporcie z hijacka to raczej nie ma mowy chyba ze na awaryjnym jest mozliwosc zrobienia raportu

jesli tak wazna jest tresc tych bledow to moge skoczyc na 2 komp ale i tak nie ebdzie dalo sie ich usunac bo komp sie wiesza odrazu :-x


(matio) #4

tryb awaryjny uruchamiasz tak: podczas uruchamiania kompa naciskaj F8


(system) #5

to to ja wiem ale co dalej


(jessica) #6

Logi (HijackThis, ComboFix, SillentRunner...) da się robić także w Awaryjnym.

jessi


(system) #7

mam loga uf trwalo to z 2 godziny ale jest zrobiony z wlaczonym menadżerem zadan,okienkiem aplikacji i jeszcze paroma okienkami ale wazne zeby hama chociaz troche unieszkodliwic wysyalm loga i prosze o szybkie odezwanie

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:12:41, on 2007-11-02

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\PnkBstrA.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Neostrada TP\taskbaricon.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\devldr32.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\dwwin.exe

C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe

C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe

C:\WINDOWS\System32\rasautou.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.netscape.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.netscape.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\System32\ntos.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Explorer Helper - {696A82AF-3AD8-5A16-A1CA-32A59A63A863} - C:\WINDOWS\system\bremct32.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\programy\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\programy\fgiebar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM..\Run: [WOOTASKBARICON] C:\Program Files\Neostrada TP\taskbaricon.exe

O4 - HKLM..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\jc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O12 - Plugin for .asf: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npdsplay.dll

O12 - Plugin for .avi: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npavi32.dll

O12 - Plugin for .wmv: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npdsplay.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus ... nicode.cab

O16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - http://67.15.101.3/g_bin/pl/slots90_2_0_0_26.cab

O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://67.15.101.3/g_bin/pl/navy_2_0_0_23.cab

O16 - DPF: {631FF594-EC25-4CFF-B869-402DF294E1D6} (Instalator oprogramowania Onet.pl) - http://slimak.onet.pl/_m/kamerzysta/One ... or012s.ocx

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/pl/poker_2_0_0_49.cab

O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://67.15.101.3/g_bin/pl/slots70_2_0_0_30.cab

O16 - DPF: {AB8638BB-79E8-4E9D-ABF2-8F33054E3941} (Guesser Class) - http://czat.onet.pl/client/kalambury/NetPunGame1.dll

O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_46.cab

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://grandhotel.microgaming.com/gran ... lashAX.cab

O16 - DPF: {EB6D7E70-AAA9-40D9-BA05-F214089F2275} - http://www.clickteam.com/vitalize3/vitalize.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_35.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_28.cab

O17 - HKLM\System\CCS\Services\Tcpip..{3D271F67-8812-4A11-A567-11D701B10614}: NameServer = 194.204.159.1,194.204.152.34

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O21 - SSODL: XKExgF - {54F360EE-FE59-CA44-3FDB-5F3C740FB349} - C:\WINDOWS\System32\iayxi.dll

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Unknown owner - C:\Program Files\Norton AntiVirus\isPwdSvc.exe (file missing)

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

--

End of file - 8351 bytes

a teraz tak przy wlaczaniu systemu wyskakuje okienko z

,,Explorer.EXE-bład aplikacji istrukcja spod''0x77f5847c'' odwołuje się do pamięci pod adresem ''0x000000''.Pamięc nie może byc''written''''

i z raportu o bledach sciezki C;\widnows\mimidump\mini110207-04.dmp i

c\Docume-1\ewa\ustawie-\temp\wera.tmp.dir00\sysdata.xm\

to bylo by na tyle dodam jeszcze ze pisze z zarazonego kompa dziala tylko jak sie wlaczy odrazu na poczatku menadzer zadan..[sam na to wpadlem :-o]inaczej sie restartuje ale za to bardzo bardzo muli jak by byl potrzebny lepszy log to prosze o instrukcje w awaryjnym pozdrawiam


(jessica) #8

Użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

Potem:

Ściągnij --> ComboFix

Wklej do Notatnika :

File::

C:\WINDOWS\System32\iayxi.dll


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"XKExgF"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Daj tu raport SDFix i log z ComboFix.

jessi


(system) #9

a takie pytanko te w bialej ramce co zaznaczylas czyli f2 02 04 to ja to mam usunac w hijacku czy za pomoca sdfix? czy wogole nie usuwac? dobra ide robic tego sdfixa


(jessica) #10

Możesz to sfiksować w Hijacku, choć SDFix powinien to samoczynnie załatwić (razem z kluczami rejestru).

jessi


(system) #11

jessi ratuj zrobilem wszystko jak w instrukcji chociaz moze cos zrobilem zle..i jedyne co sie polepszylo to szybkosc dzialania neta i ogolnie kompa ale bledy ciagle sa i musze wlaczac menadzer zadan tego pliku z combofiksa nie dalo sie zrobic co robic?zeby to usunac

Złączono Posta : 04.11.2007 (Nie) 18:23

to pomoze ktos? dodam jeszcze ze przy probie skanowania lub usuniecia szkodlika automatycznie komp sie restartuje


(Monczkin) #12

ymiatacz

Proszę poprawić błędy. Temat zmieniono.

Obejmij log znacznikami

http://forum.dobreprogramy.pl/viewtopic.php?t=36654