W32.Jeefo


(LUq.) #1

Witam.

Prosze o pomoc z tym wirusem (W32.Jeefo) nie moge otworzyc zadnego programu, odtwarzacza, przegladarki, niczego tylko internet explorer sie odpalił. Nie moge go w zaden sposób usunąć, 3/4 programów juz mam zainfekowane i nie moge ich odpalić. POMOCY !

Z góry dzięki za odpowiedz..


(Arek F.) #2

Ja też miałem tego wira (pierwszy w historii wirów na mym kompie). Jak możesz to daj logi z HJT+SilentRunners. Pracuje on jako plik svchost.exe w C:\WINDOWS (oryginalny plik systemowy o tej samej nazwie jest w C:\WINDOWS\system32) Można go usunąć przez tryb awaryjny. Zainfekowanych plików nie odzyskasz :frowning: Szczegóły Techniczne:

Jest to rezydentny wirus pasożytniczy. Infekuje pliki PE EXE zwiększając ich rozmiar o 36 352 bajty.

Po uruchomieniu wirus kopiuje się do foldera \Windows z nazwą svchost.exe i tworzy w rejestrze klucz zapewniający mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]

"PowerManager" = "%Windir%\svchost.exe"

(Źródło:viruslist.pl). Jak zaraził (a na pewno to zrobił) pliki systemowe to trzeba naprawić instalację systemu Windows z płyty z sysem. Pozdrawiam


(Kuz5) #3

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw)

Dodatkowo użyj programuUnHookExec.inf

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługę Power Manager następnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz PowerManager => Ok i zresetuj komputer.

Jak bedzie problem z usunięciem ręcznym pliku to uwal go programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\WINDOWS**** svchost.exe

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

Po tych operacjach wklej dwa logi HijackThis i Silennt Runners


(Owcalp) #4

Hejka, mam takze problem z tym wirusem, przeskanowałam kompa na awaryjnym jeefogui usunol 3 infekcje i tyle, dalej mam tego vira. Co do waszych wskazowek próbowałam usunąc ten plik: C:\WINDOWS\svchost.exe ale okazało sie ze go nie mam ;/ takze wyszukiwałam na awaryjnym w services.msc PowerManager i też go nie ma ;/ nie mam pojecia co robic. Podaje tu mój log:

Logfile of HijackThis v1.99.1

Scan saved at 13:05:55, on 2006-08-17

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\CTsvcCDA.EXE

D:\Program Files\Norton AntiVirus\navapsvc.exe

D:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\MsPMSPSv.exe

D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\Creative\ShareDLL\CtNotify.exe

D:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\HP\HP Software Update\HPWuSchd2.exe

D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

D:\Program Files\Common Files\Symantec Shared\ccApp.exe

D:\Program Files\Creative\ShareDLL\MediaDet.Exe

D:\Program Files\iTunes\iTunesHelper.exe

D:\Program Files\QuickTime\qttask.exe

D:\Program Files\Winamp\winampa.exe

D:\Program Files\iPod\bin\iPodService.exe

D:\Program Files\Messenger\msmsgs.exe

D:\PROGRA~1\Wapster\AQQ\AQQ.exe

D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

D:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

D:\WINDOWS\system32\wuauclt.exe

D:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Documents and Settings\Owca\Pulpit\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar2.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar2.dll

O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} - D:\PROGRA~1\TEXTAL~1\TAForIE.dll

O4 - HKLM\..\Run: [AHQInit] D:\Program Files\Creative\SBLive\Program\AHQInit.exe

O4 - HKLM\..\Run: [AudioHQ] D:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE

O4 - HKLM\..\Run: [Disc Detector] D:\Program Files\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [ccApp] D:\Program Files\Common Files\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] D:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SysTray] c:\Program Files\paytime.exe

O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [BearShare] "D:\Program Files\BearShare\BearShare.exe" /pause

O4 - HKLM\..\Run: [TalkPL] "D:\Program Files\Kasat\TalkPL\TalkPl.exe" /autorun

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [areslite] "D:\Program Files\Ares Lite Edition\AresLite.exe" -h

O4 - HKCU\..\Run: [ares] "D:\Program Files\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [AQQ] D:\PROGRA~1\Wapster\AQQ\AQQ.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: &Google Search - res://d:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://d:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://d:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://d:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://d:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://d:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DAEFF1A8-A025-45A3-9F84-2089441D108E}: NameServer = 194.204.152.1,194.204.152.34

O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - D:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Prosze pomocy :cry: