Wirus w Nodzie 32


(Kulaa 01) #1

Witajcie. Mam problem z Nodem 32. Skanuje Dogłębną Analizą i Nod wykrywa mi wirusa, pokazuje mi sie okienko i jest tylko jedna opcja POZOSTAW, nie ma usuń itp :frowning: . Co mam zrobic? Aktualizacje mam. HELP

Pozdrawiam.


(Qiko) #2

Wrzuć logi z hijackthis i silentrunners.


(Bbieniol) #3

Po pierwsze nie panikuj :slight_smile:

Po drugie podaj lokalizację zainfekowanego pliku :slight_smile:

Po trzecie wrzuć zestaw logów: HijackThis i Silent Runners


(Kulaa 01) #4

Prosze :slight_smile: :

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Documents and Settings\ronaldinho\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - (no file)

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM..\Run: [bearShare] "C:\Program Files\BearShare\BearShare.exe" /pause

O4 - HKLM..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Usługa udostępniania sieci programu Windows Media Player (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe (file missing)

Złączono Posta : 10.09.2006 (Nie) 10:54

Aha i jeszcze skanuje Avastem(trial) ale mi nie wykrywa tego "syfu" :-x

Złączono Posta : 10.09.2006 (Nie) 11:15

Teraz znowu mi wykrył Nod ale była opcja Usuń Zbiór.

A jak zrobic screena z pukpitu tylko na określone okienko? Bo wiem że Print Screen ale wtedy cały pulpit jest...


(Bbieniol) #5

Kosmetycznie usuń ten wpis:

Alt+Print Screen :slight_smile:

Podaj ścieżkę tego pliku :slight_smile:


(Kulaa 01) #6

Skumajcie to: http://www.fotosik.pl/pokaz_obrazek/63c ... 6d0f7.html

Macie screena.


(Myszonus) #7

Wirusy są w plikach .exe - tzn. , że instalka zawiera komponenty spyware. Wniosek - usuń samemu instali. :slight_smile:


(Bbieniol) #8

Ściągnij EWIDO, zrób Update i przeskanuj nim dysk :slight_smile:

Wrzuć jeszcze log z Silent Runners

I po raz kolejny proszę, żebyś podał lokalizację zainfekowanych plików :slight_smile:


(Kulaa 01) #9

Ale jak mam usunac instalki? A mam ci napisac tych co sie nie da usunąc??


(Myszonus) #10

... klikasz ppm na ten plik --> usuń i wywal z kosza.

Zaznacz plik i shift + delete,


(Bbieniol) #11

Myszak --> skoro się nie da usunąć za pomocą delete, to trzeba podziałać inaczej...

Ronni_92 --> napisz ścieżki wszystkich zainfekowanych plików :!:


(Kulaa 01) #12

OK napisze ale troche to potrwa :slight_smile:

Złączono Posta : 10.09.2006 (Nie) 12:18

C:\Program Files\BearShare\Installer\BSINSTALLPL.exe »WISE »MyGlobalSearch.exe - odmiana Win32/AdInstaller Program

C:\Program Files\DAEMON Tools\SetupDTSB.exe - Win32/Adware.WhenU.SaveNow Program - usunięty

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP20\A0018550.DLL - Win32/Toolbar.MyWebSearch Program - usunięty

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP22\A0019530.dll - Win32/Toolbar.MyWebSearch Program - usunięty

C:\System Volume

Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP24\A0025952.exe »NSIS »isecur.dll - Win32/TrojanDownloader.Zlob.ABJ trojan

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP24\A0025952.exe - Win32/TrojanDownloader.Zlob.ABJ trojan - usunięty

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP24\A0025957.exe »ZIP »run.exe »NSIS »isecur.dll - Win32/TrojanDownloader.Zlob.ABJ trojan

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP24\A0025957.exe - Win32/TrojanDownloader.Zlob.ABJ trojan - usunięty

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP24\A0025958.exe »ZIP »run.exe »NSIS »isecur.dll - Win32/TrojanDownloader.Zlob.ABJ trojan

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP24\A0025958.exe - Win32/TrojanDownloader.Zlob.ABJ trojan - usunięty

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP24\A0025959.exe »ZIP »run.exe »NSIS »isecur.dll - Win32/TrojanDownloader.Zlob.ABJ trojan

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP24\A0025959.exe - Win32/TrojanDownloader.Zlob.ABJ trojan - usunięty

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP24\A0025962.exe »ZIP »run.exe »NSIS »isecur.dll - Win32/TrojanDownloader.Zlob.ABJ trojan

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP24\A0025962.exe - Win32/TrojanDownloader.Zlob.ABJ trojan - usunięty

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP25\A0037026.exe - Win32/Adware.WhenU.SaveNow Program - usunięty

C:\System Volume Information_restore{796A00A8-D64B-45F1-8822-BBD43699D1A9}\RP8\A0002468.exe »WISE »MyGlobalSearch.exe - odmiana Win32/AdInstaller Program

D:\Instalki\BSINSTALLPL.exe »WISE »MyGlobalSearch.exe - odmiana Win32/AdInstaller Program

Nie chce mi się wierzyc że tyle mam wirusów... włąściewie to już tylko 3... :roll:

Przeskanowałem tym Ewido i znalazł 12. Teraz te co znalazł usune. A żeby usunąc trzeba kliknąc w Apply all actions?


(Myszonus) #13

1) Odinstaluj Bearshare.

2) Odintsaluj deamon tools'a a potem zainstaluj wersję bez syfu. Z miśkiem tez tak zrób.

3) Wyłącz przywracanie systemu.

4) BSINSTALLPL.exe - ten plik możesz skasować ręcznie ? jak nie uzyj KillBox'a.


(Kulaa 01) #14

Tzn? A jak w tytm Ewido usunąc ten syf co znajdzie Ewido?


(Myszonus) #15

ppm na mój komputer>>właściwości>>przywracanie systemu -zaznaczasz "wyłącz przywracanie systemu na wszystkich dyskach". Po zaznaczeniu zostaną usunięte wszystkie punkty przywracania czyli to ;

a resztę też zrób i potem nowy skan ewido.


(Kulaa 01) #16

A jak skończy skanowac to co mam nacisnąc żeby usunąc ten syf? http://www.fotosik.pl/pokaz_obrazek/ba0 ... 08604.html


(Mayster X) #17

Narazie wykrył niegroźne Cookies. Dokładnie nie pamiętam ale pod oknem wyników skanowania ( w miejsce ''Pause'' ) będziesz miał pomarańczowy napis Recommendet actions ; naciskasz i wybierasz np. opcję Delete. :slight_smile:


(Kulaa 01) #18

Aha ok. A ten Ewido to coś takiego jak Ad-Aware SE Personal.


(Myszonus) #19

mniej więcej tak. Działa w tych samych celach ale ma lepszą skuteczność.


(Kulaa 01) #20

Robie tak ale jak skanuje nastepny raz to mi wyskakują te co były wcześniej Cookies :roll:

Złączono Posta : 10.09.2006 (Nie) 22:09

????