WIRUS Heur.Win32.I i nietylko

Dla specjalistów Bezpieczeństwo
#1

ArcaMicroScan wykrył u mnie takie coś.

Czy to NA PEWNO jest jakiś wirus? I jeszcze jedno: wczoraj zastrajkowała mi mysz, a potem klawiatura! W ogóle nie działała, dopiero wypiąłem wtyczki i wszystko było OK! Kilka dni temu komputer nie wykrywał karty dźwiękowej, a teraz dzieje się coś takiego http://img102.imageshack.us/img102/5120/79389585fv1.png oraz http://img161.imageshack.us/img161/8403/30312178ga5.png, http://img117.imageshack.us/img117/9131/60950843gs4.png (jak zmieniam rozdzielczość to to znika!) i wiele innych takich przypadków. Zawsze jak włącze komputer, klikam na ikonkę FIREFOXa , komputer zawiesza się na kilka sekund a potem jest wszystko OK. O co w tym wszystkim chodzi?! Nie ma przecież żadnych podejrzanych procesów, nic się nie wpakowało do autostartu! Błagam, pomóżcie! PS: WSZYSTKO byle nie format! PS2: Log z HIJACKTHIS :

EDIT:

Daje podgląd zdarzeń: http://img469.imageshack.us/img469/4166/64827137br9.png. Jak zjadę trochę w dół, to są jakieś wykrzykniki. Gdy wchodzę w APLIKACJA , zjadę trochę w dół jest pewien błąd: http://img480.imageshack.us/img480/2723/94725983qk8.png. Naciskam prawym przyciskiem myszy, wybieram WŁAŚCIWOŚCI i w OPISie pisze tak:

EDIT2:

Znów nie ma dzwięku… Daję log z SILENT RUNNERS

LOG z HAXFIXa…

SMITFRAUDFIX…

SmitFraudFix v2.168

Scan done at 14:43:24,42, 2007-04-16

Run from C:\Documents and Settings\Marian\Pulpit\SmitfraudFix

OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT

The filesystem type is FAT32

Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Lavasoft\Ad-Aware BETA 5\aawservice.exe

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Linksys Wireless-G USB Wireless Network Monitor\WLService.exe

C:\Program Files\Linksys Wireless-G USB Wireless Network Monitor\WUSB54Gv4.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ZONELABS\vsmon.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marian

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Marian\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MARIAN\ULUBIONE

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!

#2

Usuń wpis HJT.

Zrób tak:

#3

W PODGLĄDZIE ZDARZEŃ o godz. 9:35, dzisiaj (16.04.2007r) jest jakiś APPLICATION ERROR! http://img90.imageshack.us/img90/9167/94423328gf9.png <---- szczegóły.

W tym programie (od minidump’ów), robię wszystko co w tamtym linku, jednak w folderze WINDOWSa w katologu MINIDUMP nic nie ma (to dobrze czy źle?). I z ARCAVIRa dowiedziałem się, że ten “wirus” to nie jest żaden wirus, ARCAMICROSCAN sądzi, iż to jakieś zagrożenie.

EDIT:

W RegCleanerze kilka tygodnia temu usunąłem dziwne klucze (jakiś z początkiem Co7, czy jakoś tak).

W rejestrze (HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Winlogon) jest u mnie: Nazwa: Shell | Typ: REG_SZ | Dane: explorer.exe (http://img144.imageshack.us/img144/3778/23614868dn0.png). Czy mam to usunąć?

Złączono Posta : 25.04.2007 (Sro) 0:54

HALO?