Virus


(Bartek Sj) #1

Nie moge się pozbyć wirusa "winservad.exe winservsuit" oraz jakieś trojany no i chyba od tego strasznie mi się komp muli

dzięki za wszelką pomoc

Logfile of HijackThis v1.98.2

Scan saved at 18:52:19, on 05-01-01

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\PROGRAM FILES\AHEAD\NERO TOOLKIT\DRIVESPEED.EXE

C:\HPGS2WND.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\SOULSEEK\SLSK.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\FRYDERYK\FRYDERYK.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVAD.EXE

C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVSUIT.EXE

C:\WINDOWS\PULPIT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL

O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\IETLBASS.DLL

O4 - HKLM..\Run: [Nero DriveSpeed] C:\PROGRA~1\AHEAD\NEROTO~1\DRIVES~1.EXE

O4 - HKLM..\Run: [share-to-Web Namespace Daemon] C:\hpgs2wnd.exe

O4 - HKLM..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM..\Run: [Windows ServeAd] C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVAD.EXE

O4 - HKLM..\Run: [sysTime] C:\WINDOWS\SYSTEM\systime.exe

O4 - HKLM..\Run: [load32] C:\WINDOWS\SYSTEM\winldra.exe

O4 - HKLM..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe

O4 - HKLM..\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray

O4 - HKCU..\Run: [Komunikator] C:\PROGRAM FILES\TLEN.PL\TLEN.EXE

O4 - HKCU..\Run: [sysTime] C:\WINDOWS\SYSTEM\systime.exe

O4 - HKCU..\Run: [Fryderyk] C:\Program Files\Fryderyk\fryderyk.exe

O4 - Startup: Overnet.lnk = C:\Program Files\Overnet\overnet.exe

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.searchbarcash.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.xxxtoolbar.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.blazefind.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.topconverting.com

O15 - Trusted Zone: *.crazywinnings.com

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.slotchbar.com

O16 - DPF: {2EB28C38-4CB0-3FA0-4E57-78955A389C01} - http://213.159.117.150/1/rdgPL10.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTIn ... e-c282.cab

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht! http://iframedollars.biz/dl/adv516/x.chm::/load.exe

O16 - DPF: {3E339D3C-4B12-4E8C-A529-9CC4BEEAFD4F} (VacPro.russia_ver3) - http://www.globalphon.com/dialer/russia.CAB


(Mete3ro) #2

stary daj se siana ze tak powiem nie ma sensu sie bawic z leczeniem skoro reinstal win98 zajmuje jakies 15min ... a taka rada na przyszlosc zmien to IE5 przynajmniej na 6 albo wogole wywal :slight_smile:


(Qbek50) #3

usuń pliki zainfekowane ręcznie np w Dosie !


(Minio Dp) #4

Nie m co sie tak łatwo poddawać wirusowi :slight_smile:

ZKolega ma rację, zainstaluj IE lub inna przeglądarke :wink:


(Adarek) #5

Start kompa do awaryjnego:

usuń

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php 

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL 

O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\IETLBASS.DLL

Wyrejestruj plik z systemu >>>> IETLBASS.DLL Start -> uruchom -> regsvr32 \u C:\WINDOWS\System32\ tu wpisujesz nazwe pliku - i klikasz Znajdz na dysku IETLBASS.DLL , usuń Usuń:

O4 - HKLM\..\Run: [Windows ServeAd] C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVAD.EXE

Znajdz i usuń folder WINDOWS SERVEAD Usuń

O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe 

O4 - HKLM\..\Run: [load32] C:\WINDOWS\SYSTEM\winldra.exe

Znajdz , szukaj w uktytych, zbij procesy i usuń systime , winldra siedzą w C:\WINDOWS\SYSTEM Usuń

O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\SYSTEM\systime.exe 

O14 - IERESET.INF: SEARCH_PAGE_URL= 

O14 - IERESET.INF: START_PAGE_URL= 

O15 - Trusted Zone: *.windupdates.com 

O15 - Trusted Zone: *.searchmiracle.com 

O15 - Trusted Zone: *.searchbarcash.com 

O15 - Trusted Zone: *.skoobidoo.com 

O15 - Trusted Zone: *.my-internet.info 

O15 - Trusted Zone: *.xxxtoolbar.com 

O15 - Trusted Zone: *.slotch.com 

O15 - Trusted Zone: *.flingstone.com 

O15 - Trusted Zone: *.mt-download.com 

O15 - Trusted Zone: *.blazefind.com 

O15 - Trusted Zone: *.clickspring.net 

O15 - Trusted Zone: *.topconverting.com 

O15 - Trusted Zone: *.crazywinnings.com 

O15 - Trusted Zone: *.iframedollars.biz 

O15 - Trusted Zone: *.ysbweb.com 

O15 - Trusted Zone: *.slotchbar.com 

O16 - DPF: {2EB28C38-4CB0-3FA0-4E57-78955A389C01} - http://213.159.117.150/1/rdgPL10.exe 

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDTInc/ie/bridge-c282.cab 

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://iframedollars.biz/dl/adv516/x.chm::/load.exe 

O16 - DPF: {3E339D3C-4B12-4E8C-A529-9CC4BEEAFD4F} (VacPro.russia_ver3) - http://www.globalphon.com/dialer/russia.CAB

Restart kompa i sprawdz programami :

CWShredder 2.12

Pestpatrol

ETD Security Scanner 3.0

http://www.download.com/ETD-Security-Sc ... 29424.html

Nie słuchaj durnych rad że , reinstal itp ...

:smiley: :smiley: :smiley:


(Xiao19) #6

:smiley: :smiley: akurat w tym przypadku tylko nowy postawiony system pomorze


(Jablek 88) #7

Niby to czemu ??


(Bad Boy 85) #8

bo raczej mało prawdopodobne że kolega wygra walke z usuwaniem wpisów z rejestru :wink:


(Bartek Sj) #9

Napotkałem inny problem, mianowicie mam zainstalowane dwa systemy, mogę włączyć windowsa w trybie awaryjnym wyłącznie w środowisku XP