nobinioo
(Nobinioo)
2 Sierpień 2007 23:22
#1
Pomóżcie mi wyleczyć sie przed tym syfem większość aplikacji przestaje działąc po skanie zawsze coś gdzies zostaje nie do wytrzymania …
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:19:45, on 2007-08-03 Platform: Windows Vista (WinNT 6.00.1904) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Boot mode: Normal Running processes: G:\Windows\system32\Dwm.exe G:\Windows\Explorer.EXE G:\Program Files\Analog Devices\Core\smax4pnp.exe G:\Program Files\Windows Sidebar\sidebar.exe G:\Program Files\WapSter\AQQ\AQQ.exe G:\Program Files\Windows Sidebar\sidebar.exe G:\Windows\system32\taskeng.exe D:\Programy zainstalowane\nod32 vista\nod32kui.exe G:\Windows\system32\SearchFilterHost.exe G:\Program Files\Trend Micro\HijackThis\HijackThis.exe G:\Windows\system32\DllHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O4 - HKLM…\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM…\Run: [startCCC] G:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM…\Run: [soundMAXPnP] G:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM…\Run: [load] G:\Windows\uninstall\rundl132.exe O4 - HKLM…\Run: [MSConfig] “G:\Windows\system32\msconfig.exe” /auto O4 - HKLM…\Run: [nod32kui] “D:\Programy zainstalowane\nod32 vista\nod32kui.exe” /WAITSERVICE O4 - HKCU…\Run: [sidebar] G:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU…\Run: [AQQ] G:\PROGRA~1\WapSter\AQQ\AQQ.exe O4 - HKUS\S-1-5-19…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘USŁUGA SIECIOWA’) O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://D:\PROGRA~1\OFFICE~1\Office12\EXCEL.EXE/3000 O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra ‘Tools’ menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\OFFICE~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab O23 - Service: Ati External Event Utility - ATI Technologies Inc. - G:\Windows\system32\Ati2evxx.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\Windows\system32\Ati2evxx.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programy zainstalowane\nod32 vista\nod32krn.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - G:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe – End of file - 3853 bytes
i na viście i na xp jest to samo.
JAg
(Jag1661)
3 Sierpień 2007 05:50
#2
ten wpis - to Viking:
O4 - HKLM…\Run: [load] G:\Windows\uninstall\rundl132.exe
opis o wirusie masz tu:
http://wirusy.antivirenkit.pl/pl/opis/W … ing.j.html
i tu:
http://www.wiruspc.pl/wykaz/details.php?virus=6995
(łącznie z tym co zmienia w systemach )
takie coś jak SpyBot Search and Destroy ( do pobrania stąd :
http://dobreprogramy.pl/index.php?dz=1&t=82 )
zabezpiecza przed nim - a może i pomoże usunąć
A ten wpis - to następny wirus
G:\Windows\system32\DllHost.exe
opis masz tu:
http://wirusy.antivirenkit.pl/pl/opis/W … hia.a.html
jessica
(jessica)
3 Sierpień 2007 05:50
#3
Mam fatalne wieści - masz wirusa, który zaraża wszystkie pliki *.exe , a więc wszystkie pliki wykonywalne systemu i wszystkie Twoje programy.
Ten w/w wpis sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz go >> Fix checked .
W32/Looked-CK jest wirusem egzekucyjnym i robakiem sieciowym. Gdy pierwszy raz się uruchamia, wirus tworzy swoje kopie w \Logo_.exe oraz \uninstall\rundl132.exe i tworzy plik \RichDll.dll. Wirus zaraża wszystkie plik *.exe znajdujące się na zarażonym komputerze. Wirus więc usiłuje skopiować się do współdzielonej sieci zdalnej. Tworzonych jest bardzo dużo plików o nazwie “_desktop.ini” w różnych folderach zarażonego komputera. Te pliki są niegroźnymi plikami tekstowymi. Utworzony zostaje klucz w rejestrze, tak, by wirus mógł startować wraz z uruchomieniem komputera: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run load \uninstall\rundl132.exe
W tej sytuacji niewiele można pomóc.
Ponieważ Twój Antyvirus też już na pewno jest zarażony, więc przeskanuj komputer skanerami on-line, ale tylko takimi, które oprócz skanowania, mają także opcję usuwania. Usuwaj wszystko, co znajdą, nawet jeśli to będą Twoje najbardziej ulubione programy.
Po usuwaniu przejrzyj system i zorientuj się, czy warto jeszcze ratować te resztki systemu, które zostaną , czy może lepiej sformatować dysk.
Zaznaczam: dysk, a nie partycję.
.
nobinioo
(Nobinioo)
3 Sierpień 2007 13:35
#4
czy instalacja jakiegoś lepszego firewolla zapobiegłą by rozprzestrzenianiu tego syfa?
JAg
(Jag1661)
3 Sierpień 2007 20:11
#5
przeczytaj co piszą w linkach które Ci podałem -
a co do programów zabezpieczających - ja używam (oprócz typowego antywira) Spybot_S&D oraz AdAware 2007.
Przy Spybocie polecam włączyć ochronę ustawień - czyli TeaTimer -może bywa czasem upierdliwy - ale jest skuteczny ( no i oczywiście ciągłą ochronę IE - dla używających go - i nie tylko )
i życzę szczęścia w walce …(jak podpisuje jeden z forumowiczów - WALKA DO KOŃCA - NIE FORMAT ) - przy jego pewnej dawce - pozbędziesz się szkodników.
P.s.
poczytaj to:
http://forum.dobreprogramy.pl/viewtopic.php?t=124529
http://forum.dobreprogramy.pl/viewtopic.php?t=36654
przydaje się …