Uparte wiry


(Miciu22) #1

Oto mój problem: gdy skanuję kompa Ad Awarem w pewnym momencie odzywa się Awast, że coś znalazł i usówam to, ale przy kolejnym skanowaniu nadal jest to samo- nie da sie usunąć, a są to:

JS:ClassLoader-7 C:\DOCUME~1\Miciu\USTAWI~1\Temp\AAWTMP\C40247890\1

JS:Exploit-Bytverify-11 C:\DOCUME~1\Miciu\USTAWI~1\Temp\AAWTMP\C40247890\1

Win32:Trojano-477 [Trj] C:\DOCUME~1\Miciu\USTAWI~1\Temp\AAWTMP\C40247890\1AEE4C\Installer.class

JS:ClassLoader-7 C:\DOCUME~1\Miciu\USTAWI~1\Temp\AAWTMP\C40247890\E934A\GetAccess.class

JS:Exploit-Bytverify-11 C:\DOCUME~1\Miciu\USTAWI~1\Temp\AAWTMP\C40247890\E934A\InsecureClassLoader.class

Win32:Trojano-477 [Trj] C:\DOCUME~1\Miciu\USTAWI~1\Temp\AAWTMP\C40247890\E934A\Installer.class

Co ja ma z tym zrobić??


(Kuz5) #2

W trybie awaryjnym wyczyść katalog TEMP

Start=>Uruchom=>%temp%=>I usuń wszystko co sie tam znajduje

Wklej loga :arrow: HijackThis 1.99.1

Odpalasz program i klikasz Do a system scan and save a logfile następnie automatycznie wyskoczy dokument tekstowy którego całą zawartośći wklejasz na forum.


(Adekuson) #3

Te wirusy dostały się przez luki w JAVIE, zainstaluj najnowszą wersję.

Pozdrawiam


(Musg) #4

nie do konca.Trzeba poczekac na log z hijacka-bedziemy wiedziec wiecej :slight_smile:


(Adekuson) #5
JS:ClassLoader-7 C:\DOCUME~1\Miciu\USTAWI~1\Temp\AAWTMP\C40247890\1

JS:Exploit-Bytverify-11 C:\DOCUME~1\Miciu\USTAWI~1\Temp\AAWTMP\C40247890\1 

JS:ClassLoader-7 C:\DOCUME~1\Miciu\USTAWI~1\Temp\AAWTMP\C40247890\E934A\GetAccess.class

JS:Exploit-Bytverify-11 C:\DOCUME~1\Miciu\USTAWI~1\Temp\AAWTMP\C40247890\E934A\InsecureClassLoader.class

a to co jak nie elementy JAVY, hmm?? :?


(Miciu22) #6

A oto log:

Logfile of HijackThis v1.99.0

Scan saved at 22:16:36, on 2005-04-24

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Ahead\InCD\InCD.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

E:\Program Files\Motherboard Monitor 5\MBM5.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\LckFldService.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

E:\Program Files\WinAce\WinAce.exe

C:\DOCUME~1\Miciu\USTAWI~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [MBM 5] "E:\Program Files\Motherboard Monitor 5\MBM5.EXE"

O4 - HKLM..\Run: [AtiPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe

O4 - HKLM..\Run: [MailScanner] E:\Program Files\MKS\Bin\mks_mail.exe

O4 - HKLM..\Run: [MKS_MENU] E:\Program Files\MKS\Bin\mks_menu.exe

O4 - HKLM..\Run: [bearShare] "D:\Program Files\BearShare\BearShare.exe" /pause

O4 - HKLM..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{5C856C76-96CF-4C1F-AADB-738D35867166}: NameServer = 194.204.159.1

O17 - HKLM\System\CCS\Services\Tcpip..{B21024E0-8DA9-4F43-9D22-333EBB739E92}: NameServer = 10.18.1.1

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: InCD Helper - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: LckFldService - Unknown - C:\WINDOWS\system32\LckFldService.exe

O23 - Service: StyleXPService - Unknown - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe


(boczi) #7

Log czysty. Wyczyść folder TEMP z C:\Documents and Settings\nazwa_konta\Ustawienia lokalne\Temp.

Folder może być ukryty.


(Kuz5) #8

Log czysty

Kosmetyka:

Start=>Uruchom=>Wpisz polecenie msconfig=>Zakładka Uruchamianie i odchacz:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k 

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

(Miciu22) #9

Czyli mam wyczyścić Temp, ale czy napewno, bo co chwile pyta sie czy napewno usunąć, bo coś tam jest tylko do odczytu.Po prostu nie wiem czy będzie wszystko chulało jak wyczyszczę.


(Kuz5) #10

Bez obaw wyczyść cały katalog


(Miciu22) #11

Kurcze zrobiłem według waszych rad, wyczyściłemw awaryjnym i...dalej to samo :shock: Normalnie poracha.


(Musg) #12

moze kiedy bedziesz skanował ad-aware odlacz sie od netu i zatrzymaj na ten czas dzialanie avasta-to co znajdzie ad-aware wywal