WIRUS Trojan Blagam was o pomoc pliss


(Kera997) #1

Witam chce sie dowiedziec czy mam wirusa pierwsze logo to moj komputer.. :

Logfile of HijackThis v1.99.1

Scan saved at 21:34:42, on 2007-08-02

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Opera\Opera.exe

F:\ogame\SpeedSim\SpeedSim.exe

F:\ogame\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\WINSTR~1\tbu9\tbhelper.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O3 - Toolbar: Win Stream plugin - {BFB5F154-9212-46F3-B547-AC6106030A54} - C:\Program Files\Win Stream plugin\tbu9\win_stream_plugin.dll

O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM..\Run: [skyTel] SkyTel.EXE

O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe

O4 - HKLM..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot

O4 - HKLM..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h

O4 - HKCU..\Run: [EA Core] C:\Program Files\Electronic Arts\EA Downloader\Core.exe -silent

O4 - HKCU..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun

O4 - Startup: Registration Call of Juarez.LNK = C:\Gry\Call of Jaurez\Register\RegistrationReminder.exe

O4 - Startup: Registration Tom Clancy's Rainbow Six

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip..{E3C3245E-6447-4AB1-B4EB-6162E2F52515}: NameServer = 194.204.159.1

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

drugie logo to logo mojego brata: z innego komputera

Logfile of HijackThis v1.99.1

Scan saved at 21:42:34, on 2007-08-02

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\RaConfig.exe

C:\Documents and Settings\Czakus\Menu Start\Programy\Autostart\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\WINDOWS\system32\devldr32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Czakus\Pulpit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://codecs.r8.org/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll

O4 - HKLM..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe

O4 - HKLM..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM..\Run: [skyTel] SkyTel.EXE

O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Startup: ctfmon.exe

O4 - Global Startup: RaConfig.lnk = C:\WINDOWS\system32\RaConfig.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip..{10E48805-CCDE-4386-AA74-BCEBB801F61D}: NameServer = 194.204.159.1

O17 - HKLM\System\CS1\Services\Tcpip..{10E48805-CCDE-4386-AA74-BCEBB801F61D}: NameServer = 194.204.159.1

O17 - HKLM\System\CS2\Services\Tcpip..{10E48805-CCDE-4386-AA74-BCEBB801F61D}: NameServer = 194.204.159.1

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

prosze o pilna i jaknajszybsza pomoc


(Gutek) #2

Pierwszy log

w trybie awaryjnym usuń folder

Daj log z ComboFix

2 czysty ogólnie - Optymalizacja XP: http://forum.dobreprogramy.pl/viewtopic.php?t=76580 jednego i drugiego kompa

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE


(Kera997) #3

mozesz wytlumaczyc mi jasniej dzieki wqogule za pomoc pierwsze logo to moj komputer mi sie nic niedzieje ani nie wiesza ani anty wir nic sie niewiesza a mojemu bratu sie wiesza co 15 min napsial ze zrobil przeinstalke systemu i wiesza mu sie co 15 min itp a ztym potymalizacja systemu mozesz wytlumaczyc jasniej ? plisss


(Heniu133) #4

Wejdź do trybu awaryjnego i usuń folder na czerwono z dysku ręcznie.

Daj log z combofixa - link podał Gutek2222

Niech zrobi optymalizację według linku - na początek Checkdisk , wszystko opisane na stronie.


(Kera997) #5


(Gutek) #6

To nie jest cały log - Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/ , a w poście daj tylko link.


(Kera997) #7

spoko ale jak otwieram ta stronke to jakis not 4 fund wyskakuje...

a moj brat weszedl w tryb awaryjny i mowi ze nigdzie niwidac tego folderu R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\PROGRA~1\WINSTR~1\tbu9\tbhelper.dll

Złączono Posta : 02.08.2007 (Czw) 22:34

http://wklej.org/id/5b087ec0cb jego logo z combofix

Złączono Posta : 02.08.2007 (Czw) 22:36

http://wklej.org/id/5b087ec0cb jego logo z combo fix

Złączono Posta : 02.08.2007 (Czw) 22:38

ctfmon.exe

uruchamia sie jako taki proces i pojawia sie na kazdym dysku ..

Czaki 22:33:17

a jak go zakoncze to pojawia sie znowu

jeszcze takie cosik mu sie robi a tu jego logo z combo fix

http://wklej.org/id/5b087ec0cb


(Gutek) #8

Co do loga z Combo - Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

pierwszy komp był twój? Nie brata?


(Kera997) #9

Czaki 22:42:18

no mam

Czaki 22:42:23

teraz jest tak

Czaki 22:42:38

avast nie oszalal i nie wyskoczyl komunikat ze znaleziono wirusa

Czaki 22:42:48

ale

Czaki 22:42:50

jak wlaczam gg

Arken 22:42:51

ALE ?

Czaki 22:42:57

i robie sie dostepny

Czaki 22:43:09

to zapora pyta czy odblokowac program za kazdym razem..

co nato poradzicie zaraz bedzie logo

Złączono Posta : 02.08.2007 (Czw) 22:52

plik: E:\Recycled\ctfmon.exe

nazwa : Win32:VB-EAA [Trj]

typ : Koń trojański

wersja :000763-3, 2007-08-02

brat pisze jeszcze ze avast mu taklie cosik wykrywa.. moze to pomoze

oto logo

http://wklej.org/id/6946ebeb6e

Złączono Posta : 02.08.2007 (Czw) 22:52

pierwszy komp byl moj nie brata pisalo wyzej ! :slight_smile: blagam ci pomoz mu :slight_smile:

Złączono Posta : 02.08.2007 (Czw) 22:53

napisz na gg 6548132 moze sie lepiej dogadamy i szybciej pozdro


(Gutek) #10

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Czy to zostało zrobione?

opróżnij kosz :slight_smile:

Jak nie to Start -> Uruchom ->RD /S /Q E:\Recycled :slight_smile:


(Kera997) #11

zrobilem format dysku wywalilem wszytkie partycje i zrobilem na nowo z pelnym formatowaniem...

i nic...

wirus nadal gdzies siedzi...

jak usune wszystkie klucze ctfmon.exe z rejestru po czasie sie znowu pojawiaja...

w msconfig.... odznacze zeby nie startowal ten plik ctfmon.exe(ten nieprawidlowy) to po chwili sie pojawia znowu...

i tak samo w procesach sie pojawia po zakonczeniu zadania na nowo

nie mam juz pomyslu jak go wywalic... :confused:

jak mozesz odezwij sie do arkena na gg on ci poda moj prywatny nr gg.

wtedy dogadamy sie lepiej...

z gory dzieki

pozdrawaim

Złączono Posta : 03.08.2007 (Pią) 19:44

ten wirus chyba musi byc jeszcze w jakims pliku ktory odpowiada za jego uruchamianie...

tylko zaden antywirus nie wskazuje zadnej innej sciezki jak np. H:\recycled\ctfmon.exe

albo sobie zrobi kosz w koszu i dopiero plik

i czasmi jak sie go usunie z procesow i msconfig

to w rejestrze widac klucz gdzie sobie tworzy w document &settings folder z plikami do autostartu..

w rejestrze tez udalo mi sie wywalic kilka plikow looader ctfmon.exe

takze nie wiem moje pomysly sie koncza...


(jessica) #12

No to rzeczywiście wydaje się dziwne, że po sformatowaniu dysku infekcja jest dalej.

Zakładam oczywiście, że po sformatowaniu dysku nie używałeś pendrive., bo jeśli używałeś, no to sprawa jest oczywista.

To przecież pendrive jest zainfekowany i po każdym jego użyciu infekcja przedostanie się na dysk komputera.

.


(Kera997) #13

nie niewkladal pendrive spowrotem....


(adam9870) #14

Poczytaj o prawidłowej instalacji systemu operacyjnego:

:arrow: Prawidłowe instalowanie Windows 2000/XP/2003

Wklej nowy log z ComboFix.