Wirus i Internet

neru166 (Neru166) 2007-01-14 15:02:49 UTC #1

Witam... mam duży problem. Mam jakiegoś wirusa (nawet 2) który ściąga mi coś z internetu i wyskakują mi komunikaty od jakieś tam Posłańca.

Gdy tylko chce grać w jakąś gre przez internet nie mogę bo mam internet jakbym coś ściągał z full transferem!

Używałem i używam antywirusa Kasperskiego, XoftaSpySe i Ad-Aware! I nic!!

Dajcie mi jakiś program aby to usunąć!

Mam windows XP jak coś...

adam9870 (adam9870) 2007-01-14 15:05:36 UTC #2

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługę Posłaniec.

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Wrzuć zestaw logów - HijackThis i SilentRuners:

http://forum.dobreprogramy.pl/viewtopic.php?t=36654

bolo11 (Bobofrut135) 2007-01-15 17:39:04 UTC #3

Polecam spyware doctor-4 ,spybot-Searc to free i po polsku.Trial spy sweeper

neru166 (Neru166) 2007-01-15 19:27:02 UTC #4

dalej mam ten sam problem... na dodatek Silent Runers mi nie chce się włączyć bo "nie jest prawidłową aplikacją systemu WIN32"

A to mój LOG z hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 20:26:26, on 2007-01-15

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Ahead\InCD\InCDsrv.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

D:\Program Files\Ahead\InCD\InCD.exe

D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

D:\WINDOWS\System32\scvhost.exe

D:\PROGRA~1\NEOSTR~1\NeostradaTP.exe

D:\PROGRA~1\NEOSTR~1\ComComp.exe

D:\Documents and Settings\Marek\Pulpit\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [WooCnxMon] D:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [Microsoft Security Monitor Process] scvhost.exe

O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] scvhost.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{B0E0291A-CF28-4227-A48D-1ED4A30F5C20}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - D:\WINDOWS\System32\msasvc.exe (file missing)

O23 - Service: Network helper Service (MSDisk) - Unknown owner - D:\WINDOWS\System32\irdvxc.exe" /service (file missing)

O23 - Service: Network Windows Service (MSWindows) - Unknown owner - D:\WINDOWS\System32\urdvxc.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - D:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - D:\WINDOWS\System32\wdfmgr.exe (file missing)

Gutek (Gutek) 2007-01-15 19:31:24 UTC #5

usuń wpisy HJT,a plik ręcznie w trybie awaryjnym, ale najpier użyj Windows Worms Doors Cleanerazmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Microsoft authenticate service, Network helper Service i Network Windows Service a pliki ręcznie

Po wszytskim logi z Silenta i HJT

neru166 (Neru166) 2007-01-15 20:50:36 UTC #6

powie mi ktoś co mam zrobić z Silent bo nie mogę włąnczyć

Na dodatek mam dodatkowy problem, co reset kompa mam "Zamykanie systemu" i odliczanie od 01:00 ! Jak to zatrzymać???

Mój teraz LOG:

Logfile of HijackThis v1.99.1

Scan saved at 21:52:17, on 2007-01-15

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Ahead\InCD\InCDsrv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

D:\Program Files\Ahead\InCD\InCD.exe

D:\PROGRA~1\NEOSTR~1\CnxMon.exe

D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

D:\WINDOWS\System32\mmp.exe

D:\Program Files\Gadu-Gadu\gg.exe

D:\WINDOWS\System32\ctfmon.exe

D:\PROGRA~1\NEOSTR~1\NeostradaTP.exe

D:\PROGRA~1\NEOSTR~1\ComComp.exe

D:\PROGRA~1\NEOSTR~1\Watch.exe

D:\PROGRA~1\MOZILL~1\FIREFOX.EXE

D:\WINDOWS\TEMP\VRT2.tmp

D:\WINDOWS\system32\rundll32.exe

D:\Documents and Settings\Marek\Pulpit\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] D:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [WooCnxMon] D:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [kav] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [Microsoft Security Monitor Process] mmp.exe

O4 - HKLM\..\Run: [msvcc25] svcchost.exe

O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe

O4 - HKLM\..\Run: [FrameWork 2.5] FrameWork.exe

O4 - HKLM\..\Run: [Local Security Authority Service] D:\WINDOWS\System32\Isass.exe

O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] mmp.exe

O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe

O4 - HKLM\..\RunServices: [FrameWork 2.5] FrameWork.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{B0E0291A-CF28-4227-A48D-1ED4A30F5C20}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - D:\WINDOWS\System32\nvsvc32.exe (file missing)

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - D:\WINDOWS\System32\wdfmgr.exe (file missing)

adam9870 (adam9870) 2007-01-15 20:58:24 UTC #7

Pliki usuń ręcznie w trybie awaryjnym, a wpisy w HJT.

Proszę koniecznie wkleić zestaw logów:

[\*:35ncwnh0]
[**ComboFix**](http://download.bleepingcomputer.com/sUBs/combofix.exe). Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem