W32.Pinfi - wirus


(system) #1

Witam tak jak w temacie ten wirus robi mi całe zamieszanie w kompie mimo iz zrobiłem format windy,czy wie ktoś czym mozna go wywalić gdzie go szukać czym zaszczepić kompa :?


(adam9870) #2

Skąd masz podejrzenia, że go złapałeś? Jeśli wykrywa go jakiś program antyvirusowy, proszę podać dokładną ścieżkę do zainfekowanego pliku.

Dodatkowo proszę wkleić na forum dwa logi - HijackThis oraz SilentRuners. Opis jak je wykonać znajduje się tutaj:

http://forum.dobreprogramy.pl/viewtopic.php?t=36654

I przede wszystkim pozamykaj porty robakom. W tym celu użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw). Po użyciu wymagany jest restart.


(system) #3

przedstawia to się tym że programy sie nie chcą uruchamiać i infekuje on rozszerzenia exe. i jak zapodaje skaner zeby sprawdził to wskazuje mina wszystkie programy w kompie posiadajace rozszerzenie exe. naprawia je i po jakimś czasie znowu to sam :?


(adam9870) #4

W takim razie spróbuj pobrać i zainstalować Unhookexec.inf. On powinien odblokować uruchamianie .exe.

Potem daj log z Hijacka i silenta, a jeśli zwykła wersja hijacka (.exe) mimo to nie będzie działać spróbuj pobrać wersję z rozszerzeniem .com (pobierz)


(system) #5

na razie jest ok naprawiłem zainfekowane pliki i na razie jest czysto a jeśli chodzi o loga to wklejałem już wczoraj i nic nie znaleziono http://forum.dobreprogramy.pl/viewtopic ... highlight=


(adam9870) #6

Jednak prosiłbym żebyś pokazał dwa nowe logi bo od wczoraj mogłeś coś złapać, a zablokowanie uruchamiania plików .exe zapewne samo z siebie się nie wzięło.


(system) #7
Logfile of HijackThis v1.99.1

Scan saved at 11:54:58, on 2006-10-15

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\ola\USTAWI~1\Temp\Katalog tymczasowy 2 dla hijackthis[1].zip\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{3A87F0FC-A37F-46EA-A49A-A79E5CBF4D1A}: NameServer = 194.204.152.34,194.204.159.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{3A87F0FC-A37F-46EA-A49A-A79E5CBF4D1A}: NameServer = 194.204.152.34,194.204.159.1

O17 - HKLM\System\CS3\Services\Tcpip\..\{3A87F0FC-A37F-46EA-A49A-A79E5CBF4D1A}: NameServer = 194.204.152.34,194.204.159.1

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

przed chwilą robiony


(adam9870) #8

Log rzeczywiście jest ok. Więc program AV prawdopodobnie sobie poradził :slight_smile:

Czy korzystasz z zaawansowanych usług tekstowych? jeśli nie to zrób tak:

Panel sterowania => Opcje regionalne=> Języki => Szczegóły => Zaawansowane => zaznacz wyłącz zaawansowane usługi tekstowe.

Jeżeli nie używasz Windows Messenger to go usuń:

Start=>Uruchom=>Wpisz polecenie

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

Lub możesz to zrobić używając programu Xp-AntiSpy PL

Dodatkowo możesz zobaczyć:

Optymalizacja i odchudzanie Windowsa XP - opis krok po kroku


(system) #9

no mam taką nadzieje, bo z tego co widze to nie tylko ja mam taki problem z tą infekcją, oby już był spokój. pozdro i dzieki na razie :slight_smile:


(Gutek) #10

Hunter zmień wielkość grafiki w podpisie