MTZK
(Marole89)
5 Luty 2009 16:57
#1
Witam, od pewnego czasu avast zaczął mnie ostrzegać przed wirusem o nazwie “win32:confi”. Usuwam go za każdym wykryciem, ale on dalej się pojawia. Co robić? Może zainstalować firewall’a? Mój system to Windows XP SP3.
Print Screen:
http://img294.imageshack.us/img294/3241/wirusjs3.jpg
Proszę o pomoc!
Leon1
(Leon$)
5 Luty 2009 17:16
#2
Pobierz Combofix http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 przeskanuj system daj log
potem przeskanuj HijackThis 2.02 daj log
kolejność skanowania jak podałem
MTZK
(Marole89)
5 Luty 2009 18:40
#3
W programie Combofix wyskakuje mi jakiś błąd a sam program prosi o jakiś program do przywracania systemu windows, poza tym po przeczytaniu ostrzeżeń nie mam coś zaufania do tego programu. :x
A z HijackThis 2.02 poszło jak ta lala.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35, on 2009-02-05
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\winsys2.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\MSI\Core Center\CoreCenter.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\dom\Pulpit\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: CoreCenter.lnk = C:\Program Files\MSI\Core Center\CoreCenter.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
--
End of file - 5494 bytes
Leon1
(Leon$)
5 Luty 2009 18:51
#4
on nie prosi o program tylko pyta czy zainstalować konsolę odzyskiwania
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport
lub
Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5
jessica
(jessica)
5 Luty 2009 19:03
#5
Wirusa “Conficker” nie usunie się tylko na podstawie logu Hijacka, bo on nawet nie jest w nim widoczny.
Sam popatrz tylko:
>Instrukcja usuwania wirusa "Conficker"
jessi
MTZK
(Marole89)
5 Luty 2009 19:56
#6
Wrzucam skan z kaspersky’ego, i co dziwne pisze tam o “Win32.Kido.bt” , znów coś nowego?
Print Screen:
http://img9.imageshack.us/img9/820/wirus2va8.jpg
A co do “konsoli odzyskiwania” w Combofix ściągnąć ją i zainstalować?
jessica
(jessica)
5 Luty 2009 20:16
#7
To nic nowego, to tylko inna nazwa “Confickera”. Każdy Antivirus używa własne nazwy szkodników.
Zainstalowanie Konsoli nie zaszkodzi, w razie problemów oddasz komputer jakiemuś “specowi”, i on z łatwością poradzi sobie z odzyskaniem wszystkiego przy pomocy tej konsoli.
Dla ułatwienia mu roboty podasz mu te dwa linki:
http://www.searchengines.pl/index.php?s=be130f817f211c82d4c9a10f37d1e737&showtopic=86306 na dole strony, od słów:
Jak odzyskać rejestr? Zakładając, że coś się stanie i nastąpi uszkodzenie plików rejestru (objaw: po uruchomieniu ComboFixa system już nie startuje), można przywrócić cały rejestr właśnie z folderu erdnt. Niestety to jest niemożliwe spod Windows (niestartującego). By móc wykorzystać kopię zapasową, należy: 1. Zastartować do opisywanej wyżej Konsoli Odzyskiwania. 2. Wywołać stosowne komendy: C:\WINDOWS>CD ERDNT\HIV-BACKUP C:\WINDOWS\ERDNT\HIV-BACKUP>BATCH erdnt.con
>http://www.searchengines.pl/Konsola-Odzyskiwania-w-2000-XP-2003-t14270.html
Możesz zapisać te linki na kartce.
jessi
MTZK
(Marole89)
7 Luty 2009 14:34
#8
■■■■■■■, próbowałem robić to co Leon$ kazał. Przeczyściłem rejsestr, przeskanowałem dysk Dr.WEB’em itd. ale to nie pomaga, wirus dalej jest na dysku. Znalazłem na stronie avasta jakiś sposób na poradzenie sobie z nim:
http://www.avast.com/pol/win32-confi.html
Skorzystać z tego sposobu? Jeśli tak to o jakim patch’u jest tam mowa? Co to jest “boot time scan”?
Leon1
(Leon$)
7 Luty 2009 17:11
#9
MTZK:
■■■■■■■, próbowałem robić to co Leon$ kazał. Przeczyściłem rejsestr, przeskanowałem dysk Dr.WEB’em itd. ale to nie pomaga, wirus dalej jest na dysku. Znalazłem na stronie avasta jakiś sposób na poradzenie sobie z nim: http://www.avast.com/pol/win32-confi.html Skorzystać z tego sposobu? Jeśli tak to o jakim patch’u jest tam mowa? Co to jest “boot time scan”?
przecież jesse podała link do usunięcia tego wira po Polsku
po drugie pokażesz log Combofixa czy nie
MTZK
(Marole89)
10 Luty 2009 18:59
#10
Nie sądzę czy jest to konieczne, w zeszłym tygodniu w niedziele zastosowałem się do instrukcji którą podała jessica i do tej pory anti-Downadup i Avast nie wykrywają jakiegokolwiek wirusa na dysku.
Dzięki w cholere za pomoc, pozdrawiam.