WIRUS! rozsyła się przez GG

koffania (Aga Imi) 2007-02-25 15:03:15 UTC #1

wiadomość: "zobacz http://www.wvwief.info"

jak w tytule, rozsyła się błyskawicznie przez komunikator, podobno to jest trojan jak się go pozbyć?? komputer już został przeskanowany avastem, ashampoo i ad-aware - nic nie znalazły:/

Nie podawaj w tytule adresu poniewaz jeszcze ktoś będzie chciał w niego wejść

Pozdrawiam Gutek2222

oki Gutek2222 dzięki za info

adam9870 (adam9870) 2007-02-25 15:10:09 UTC #2

Przeskanuj tym skanerem -> http://www.ewido.net/en/ lub http://www.kaspersky.pl/virusscanner.html

Potem wrzuć raport i komplet logów - HijackThis i SilentRunners:

http://forum.dobreprogramy.pl/viewtopic.php?t=36654

koffania (Aga Imi) 2007-02-25 16:54:21 UTC #3

troszkę to zajęło ale już jestem

AVG nic nie znalazł

Kaspersky też nie, podaje raport Kasperskiego:

25 luty 2007 17:48:55 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.83.0 Ostatnia aktualizacja Kaspersky Anti-Virus25/02/2007 Liczba wpisów w bazie danych Kaspersky Anti-Virus257935 Ustawienia skanowania Skanowanie przy użyciu następujących baz danych standardowe Skanuj archiwa tak Skanuj pocztowe bazy danych tak Obszar skanowania Mój komputer A:\ C:\ D:\ E:\ Statystyki skanowania Liczba skanowanych obiektów 43397 Liczba wykrytych wirusów 0 Liczba zainfekowanych obiektów 0 / 0 Liczba podejrzanych obiektów 0 Czas trwania skanowania 00:36:33 Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie C:\Documents and Settings\Aga\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\Aga\Dane aplikacji\Mozilla\Firefox\Profiles\43qjfcbc.default\cert8.db Object is locked pominięty C:\Documents and Settings\Aga\Dane aplikacji\Mozilla\Firefox\Profiles\43qjfcbc.default\history.dat Object is locked pominięty C:\Documents and Settings\Aga\Dane aplikacji\Mozilla\Firefox\Profiles\43qjfcbc.default\key3.db Object is locked pominięty C:\Documents and Settings\Aga\Dane aplikacji\Mozilla\Firefox\Profiles\43qjfcbc.default\parent.lock Object is locked pominięty C:\Documents and Settings\Aga\Dane aplikacji\Mozilla\Firefox\Profiles\43qjfcbc.default\search.sqlite Object is locked pominięty C:\Documents and Settings\Aga\Dane aplikacji\Mozilla\Firefox\Profiles\43qjfcbc.default\urlclassifier2.sqlite Object is locked pominięty C:\Documents and Settings\Aga\ntuser.dat Object is locked pominięty C:\Documents and Settings\Aga\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\Aga\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\Aga\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\Aga\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\43qjfcbc.default\Cache_CACHE_001_ Object is locked pominięty C:\Documents and Settings\Aga\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\43qjfcbc.default\Cache_CACHE_002_ Object is locked pominięty C:\Documents and Settings\Aga\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\43qjfcbc.default\Cache_CACHE_003_ Object is locked pominięty C:\Documents and Settings\Aga\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\43qjfcbc.default\Cache_CACHE_MAP_ Object is locked pominięty C:\Documents and Settings\Aga\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\Aga\Ustawienia lokalne\Historia\History.IE5\MSHist012007022520070226\index.dat Object is locked pominięty C:\Documents and Settings\Aga\Ustawienia lokalne\Temp\Perflib_Perfdata_7fc.dat Object is locked pominięty C:\Documents and Settings\Aga\Ustawienia lokalne\Temp\~DFE2F4.tmp Object is locked pominięty C:\Documents and Settings\Aga\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty C:\System Volume Information_restore{1034F7D3-D9EE-4328-8DEC-97F7ECD96AEE}\RP193\change.log Object is locked pominięty C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty C:\WINDOWS\SchedLgU.Txt Object is locked pominięty C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty C:\WINDOWS\Sti_Trace.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\default Object is locked pominięty C:\WINDOWS\system32\config\default.LOG Object is locked pominięty C:\WINDOWS\system32\config\NetLimit.evt Object is locked pominięty C:\WINDOWS\system32\config\SAM Object is locked pominięty C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\SECURITY Object is locked pominięty C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty C:\WINDOWS\system32\config\software Object is locked pominięty C:\WINDOWS\system32\config\software.LOG Object is locked pominięty C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\system Object is locked pominięty C:\WINDOWS\system32\config\system.LOG Object is locked pominięty C:\WINDOWS\system32\h323log.txt Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty C:\WINDOWS\Temp\Perflib_Perfdata_114.dat Object is locked pominięty C:\WINDOWS\Temp_avast4_\Webshlock.txt Object is locked pominięty C:\WINDOWS\wiadebug.log Object is locked pominięty C:\WINDOWS\wiaservc.log Object is locked pominięty C:\WINDOWS\WindowsUpdate.log Object is locked pominięty D:\PROGRAMY\data\aswResp.dat Object is locked pominięty D:\PROGRAMY\data\Avast4.db Object is locked pominięty D:\PROGRAMY\data\integ\avast.int Object is locked pominięty D:\PROGRAMY\data\log\AshWebSv.ws Object is locked pominięty D:\PROGRAMY\data\log\aswMaiSv.log Object is locked pominięty D:\PROGRAMY\data\log\nshield.log Object is locked pominięty D:\PROGRAMY\data\report\Osłona rezydentna.txt Object is locked pominięty D:\System Volume Information\catalog.wci\00000002.ps1 Object is locked pominięty D:\System Volume Information\catalog.wci\00000002.ps2 Object is locked pominięty D:\System Volume Information\catalog.wci\00010001.ci Object is locked pominięty D:\System Volume Information\catalog.wci\cicat.fid Object is locked pominięty D:\System Volume Information\catalog.wci\cicat.hsh Object is locked pominięty D:\System Volume Information\catalog.wci\CiCL0001.000 Object is locked pominięty D:\System Volume Information\catalog.wci\CiP10000.000 Object is locked pominięty D:\System Volume Information\catalog.wci\CiP20000.000 Object is locked pominięty D:\System Volume Information\catalog.wci\CiPT0000.000 Object is locked pominięty D:\System Volume Information\catalog.wci\CiSL0001.000 Object is locked pominięty D:\System Volume Information\catalog.wci\CiSP0000.000 Object is locked pominięty D:\System Volume Information\catalog.wci\CiST0000.000 Object is locked pominięty D:\System Volume Information\catalog.wci\CiVP0000.000 Object is locked pominięty D:\System Volume Information\catalog.wci\INDEX.000 Object is locked pominięty D:\System Volume Information\catalog.wci\propstor.bk1 Object is locked pominięty D:\System Volume Information\catalog.wci\propstor.bk2 Object is locked pominięty D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty D:\System Volume Information_restore{1034F7D3-D9EE-4328-8DEC-97F7ECD96AEE}\RP193\change.log Object is locked pominięty Proces skanowania został zakończony.

HijackThis

Logfile of HijackThis v1.99.1 Scan saved at 17:51:08, on 2007-02-25 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\WINDOWS\system32\netdde.exe D:\PROGRAMY\ashDisp.exe D:\PROGRAMY\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe C:\WINDOWS\system32\ctfmon.exe D:\PROGRAMY\System Mechanic Professional 6\SMSystemAnalyzer.exe C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe D:\PROGRAMY\aswUpdSv.exe D:\PROGRAMY\ashServ.exe C:\WINDOWS\System32\cisvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe D:\PROGRAMY\ashMaiSv.exe D:\PROGRAMY\ashWebSv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\cidaemon.exe D:\PROGRAMY\Ashampoo AntiSpyWare\AntiSpyWareControl.exe D:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Internet Explorer\iexplore.exe D:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\Aga\USTAWI~1\Temp\Rar$EX00.187\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://e.bdm.com.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM..\Run: [nwiz] nwiz.exe /install O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM..\Run: [avast!] D:\PROGRAMY\ashDisp.exe O4 - HKLM..\Run: [Ashampoo AntiSpyWare Guard] D:\PROGRAMY\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe O4 - HKLM..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU..\Run: [sMSystemAnalyzer] "D:\PROGRAMY\System Mechanic Professional 6\SMSystemAnalyzer.exe" O4 - HKCU..\Run: [FreeRAM XP] "C:\Program Files\YourWare Solutions\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRAMY\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRAMY\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Translate into English - {CCCE5D70-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Translate into English - {CCCE5D70-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra button: Translate into Polish - {CCCE5D71-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Translate into Polish - {CCCE5D71-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra button: Save translated page - {CCCE5D72-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Save translated page - {CCCE5D72-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra button: Options - {CCCE5D73-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Options - {CCCE5D73-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus ... nicode.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\PROGRAMY\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\PROGRAMY\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\PROGRAMY\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\PROGRAMY\ashWebSv.exe" /service (file missing) O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

SilentRunners - otwiera się tylko plik tekstowy...

Gutek (Gutek) 2007-02-25 17:04:19 UTC #4

Pozostałości po translatorze -

O9 - Extra button: Translate into English - {CCCE5D70-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Translate into English - {CCCE5D70-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra button: Translate into Polish - {CCCE5D71-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Translate into Polish - {CCCE5D71-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra button: Save translated page - {CCCE5D72-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Save translated page - {CCCE5D72-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra button: Options - {CCCE5D73-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Options - {CCCE5D73-9AA2-40F1-9C6B-12A255F08500} - blank (file missing) (HKCU)

usuń wpisy HJT

Poczytaj dobrze o Silencie

koffania (Aga Imi) 2007-02-25 17:14:42 UTC #5

poczytałam wcześniej i teraz raz jeszcze o Silencie (weźcie sobie ortografię poprawcie:P) - po dwukrotnym kliknięciu nie pojawia mi się żadne okienko tylko plik w notatniku, coś źle ściągnełam/zrobiłam?

adam9870 (adam9870) 2007-02-25 17:17:40 UTC #6

Poczytaj TUTAJ.

koffania (Aga Imi) 2007-02-25 18:13:52 UTC #7

cóż.. chyba nie będę w stanie wkleić drugiego loga dzięki za dobre chęci...

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem