Wirus czy robak..?


(Lehh) #1

witam , mam prosbe o pomoc .moj antyvir znalazł wirusa o nazwie: TR/DIdr.QDown.L

Prosze o pomoc co to jest i jak go usunac z mojego kompa, bo antyvir nie moze go usunac, podaje loga, zgóry serdeczne dzieki! !!

Logfile of HijackThis v1.97.7

Scan saved at 16:54:25, on 2004-12-05

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\Norton Internet Security\ccPxySvc.exe

C:\Program Files\ewido\security suite\ewidoctrl.exe

C:\Program Files\ewido\security suite\ewidoguard.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Tlen.pl\tlen.exe

C:\Program Files\Draco Software\Draco Organizer 2\Organizer.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Gadu-Gadu\GG.EXE

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\FDF\FAST2.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Właściciel\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.go2.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search Destroy\SDHelper.dll

O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe

O4 - HKLM..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM..\Run: [storageGuard] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe

O4 - HKLM..\Run: [ElbyCheckAnyDVD] "C:\Program Files\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD

O4 - HKLM..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O4 - HKLM..\Run: [superRam] "C:\Program Files\SuperRam\SuperRam.exe" /start

O4 - HKLM..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU..\Run: [Draco Organizer] "C:\Program Files\Draco Software\Draco Organizer 2\Organizer.exe" /tray

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\GG.EXE" /tray

O4 - Startup: AnyDVD.lnk = C:\Program Files\SlySoft\AnyDVD\AnyDVD_loader.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html

O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html

O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3028117234

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/pl/big/1 ... gleNav.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{3AA04ECA-8EBD-433D-A7A0-98452528AFD3}: NameServer = 194.204.152.34 217.98.63.164


(Xiao19) #2

zobacz skanerami AV

--F-Secure--

http://support.f-secure.com/enu/home/ols.shtml

--GeCAD (RAV)--

http://www.ravantivirus.com/scan/

upewnisz sie czy to niefalszywy alarm


(fiesta) #3

Czy aby nie przesadziłeś z antywirami:

Działające:

C:\Program Files\Norton Internet Security\NISUM.EXE

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

Dodatkowo w systemie siedzi:

C:\Program Files\MKS\Bin\mks_menu.exe

Chyba że to ze scanera online mksa.

Masz Pakiet Norton Internet Security

Więc po co Ci dwa darmowe (IMHO gorsze od swego komercyjnego odpowiednika) ??


(Xiao19) #4

miejmy nadzieje ze to tylko pozostalosci

bo tak to istny koszmar dla systemu

i falszywe alarmy to juz codziennosc


(Lehh) #5

hej, dzieki za szybka odpowiedz!!

prosze powiedzcie mi jeszcze , poniewaz nie jestem mocny w kompach czy w tym logu jest wszystko oki? :lol:

czy nie ma tam zadnego wira..?

dzieki za odpowiedz !!

Fajnie ze jest takie forum ... :wink:

Update:

:lol: w chwili obecnej juz cały system przeskanowałem chyba

wszystkimi skanerami on-line jakie sa i niby wszystko jest OK.!

Prosze o info jesli chodzi o mojego loga, czy jest oki?

dzieki! !!


(Xiao19) #6

Log czysty

sciagnij sobie jv16 PowerTools (Trial)

wyczysc rejestr i bedzie ok bo napewno masz zawalony na maxa


(Lehh) #7

hej Kamcia_18, jednak po skanowaniu wykryto u mnie wira tzn. trojan :

taki jest komunikat ze skanu

Scanning memory...

Scanning boot sectors...

Scanning files...

C:\WINDOWS\autoclk.exe - Trojan:Win32/KillReg.D -> Infected

Scanned

============================

Objects: 28647

Directories: 2122

Archives: 745

Size(Kb): 1586513

Infected files: 1

Found

============================

Viruses found: 1

Suspicious files: 0

Disinfected files: 0

Mail files: 63

Prosze o rade co dalej...? z ty mzrobic :frowning:

pozdrowienia Lehh


(Marsmo) #8

Czy aby na pewno jest w porządku? :?

Na pewno to jest do usunięcia

O4 - HKLM..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

Update

Zainstaluj to, sprawdziłam - usuwa tego trojana! :slight_smile:

http://www.emsisoft.com/en/software/free/


(Lehh) #9

witam raz jeszcze Waterproof , jak to usunac , mozesz opisac dokladnie ..?

w rejestrze ? :frowning: bo jeszcze nie łapie wszystkiego :x

dzieki za informacje. !!

ale prosze o dokladniejsze info.. :cry:


(Marsmo) #10

Dałam Ci Update w poprzednim poście, zainstaluj tego progsa i zobacz czy znalazł i usunął.

Daj znać, potem będziemy się bawić logiem - to powiem Ci dokładnie

jak to zrobić! Ale powinno Ci pójść tym skanerem! :slight_smile:


(Xiao19) #11

Waterproof

Na pewno to jest do usunięcia

na pewno nie jest sprawdz sobie na tej stronie hihih

http://www.sysinfo.org/startuplist.php? ... swctrl.exe

skasuj ten plik i tyle bo to niejest systemowy autoclk.exe

i szkody brak po usunieciu proste

jaki antywir ci to wykryl coo mow mi tu


(Marsmo) #12

Sprawdzałam wcześniej - moja wersja wygląda inaczej!

http://www.sysinfo.org/startuplist.php? ... wctrl.exe+

Poza tym na stronkach, m.in. mks-u - radzą to usunąć!

Update

Sorry! :x :x :x

Tu jednak mówią, że proces jest OK!

http://www.liutilities.com/products/win ... /tfswctrl/

Jednym słowem fajna zgodność w ocenie procesu! :expressionless:


(Asterisk) #13

Dla wyjaśnienia :

I chyba wszystko jasne :o

Update:

No comments :x


(Lehh) #14

nie moge sciagnac z tej stronki tego skanera..??? do tego trojana , moze pozniej sprobuje ... :frowning:

walcze dalej.. :cry:

moze jest inny link ...??

pzdr.


(Marsmo) #15

Zmieniłam Ci wersję na angielską , nie wiem - czy zdążyłeś tą zmianę wyłapać!

A download sprawdzałam i wyskakuje mi "ściąganie"!

Próbuj dalej, a potem nie zapomnij wyłączyć przed skanem "przywracania systemu".

Zeskanuj, zamelduj o wynikach i daj nowego loga!

Update

Wrzucam inne źródło

http://www.softpedia.com/get/Antivirus/ ... Free.shtml


(Lehh) #16

słuchajcie! !!

wiem, ze macie swoje racje ,ale jak ja mam to usunac z kompa????

tzn. trojana

moze mi pomozecie ???

dzieki bardzo :wink:


(Marsmo) #17

W update poprzedniego postu wrzuciłam Ci innego linka do tego progsa. Usuniesz to tym na bank, bo pisze na stronce producenta.

Zrób resztę, tak jak napisałam: czyli przed skanem wyłącz przywracanie systemu i wklej nowy log. Oczywiście po skanie!


(Xiao19) #18

asterisk - co ty za cuda odstawiasz wez okulary dobrze ci radze

zobacz sam, patrz uwaznie

plik/proces tfswctrl.exe sprawdzony w

/O4 - Autostart programów z kluczy rejestru lub folderu Startup/

--PacMan's Startup List--

http://www.sysinfo.org/startuplist.php

wynik/status

http://www.sysinfo.org/startuplist.php? ... swctrl.exe

Y

Drive letter access to HP's and Veritas' version of DirectCD. Does the same thing as DirectCD. From HP - "This is a needed file as it controles the readability of the Combo drives. Without this file loading the end user will be able to burn CD's but wont be able to read them. The drive itself will be able to read store bought master Cd's without the file but not burnt ones"

INFO:

Keys:

"Y" - Normally leave to run at start-up

"N" - Not required - typically infrequently used tasks that can be started manually if necessary

"U" - User's choice - depends whether a user deems it necessary

"X" - Definitely not required - typically viruses, spyware, adware and "resource hogs"

"?" - Unknown

plik/proces tfswctrl.exe

sprawdzony w http://www.processlibrary.com/results/

rezultat/wynik

Process File: tfswctrl.exe

Process Name: HP DLA Packet Writing Software

Virus: No ( Remove )

Trojan: No ( Remove )

Spyware: No ( Remove )

Security Risk (0-5): 0

Widzisz teraz jasno czarno na bialym

mozesz mnie teraz przeprosic nieuwazasz ze powinnes

i skad wzioles takie INFO:

slucham i cytuje.

Cytat:

If a "non-Microsoft" .exe file is located in the C:\Windows or

C:\Windows\System32 folder, then there is a high risk for a virus,

spyware, trojan or worm infection! Check it out!

z nieba chyba nieprawdaz

Kamci sie niepoprawia zrozum to

:wink: :wink: :stuck_out_tongue: :stuck_out_tongue:


(*Mrówek*) #19

A nie łatwiej usunąć plik w trybie awaryjnym?? :wink:

  1. Przeskanuj programem AV system->Spisz lokalizacje znalezionych plików na kartkę->uruchom ponownie komputer->zapodaj kilkakrotnie klawisz F8 podczas rozruchu->wejdź do trybu awaryjnego.

  2. Następnie Panel Sterowania->Opcje Folderów-> zaznaczasz "Pokaż ukryte pliki i foldery".

  3. Wchodzisz pod spisane na kartkę lokalizacje i usuwasz pliki.

  4. Uruchamiasz ponownie komputer.

P.S. Witam Kamcia 18 :wink:

Pozdrawiam :slight_smile:


(Lehh) #20

to co trzeba zrobic z tym trojanem? i w jaki sposob zeby bylo git?

Kamcia_18 to moze mi pomoz..? :frowning: powiedz w jaki sposob to cos ..usunac z kompa?

Waterproof

ten link nie chce sie załadowac...moze pozniej sprobuje..tzn. wchodzi i potem nic..

http://www.softpedia.com/get/Antivirus/ ... Free.shtml

:?