Wirus wykryty przez NOD i dziwne zachowania kompa


(Embash) #1

witam, jestem tu pierwszy raz, ale trochę zbyt zielona jestem w te klocki wirusowe, dlatego proszę o pomoc. problem polega na tym, że NOD wykrył dziwny wpis framework.exe który się nie chce usunąć, a poza tym czasem wyłącza się neostrada, czasem wyskakują okna z jakimś poleceniem instalacji evidence cleanera i komp nie zawsze chce się zrestartować i zamknąć... proszę o pomoc, bo sama nie mam szans... wysyłam loga z hjt. pozdrawiam.

Logfile of HijackThis v1.99.1

Scan saved at 22:16:51, on 2007-01-19

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Eset\nod32kui.exe

C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe

C:\PROGRA~1\NEOSTR~1\ComComp.exe

C:\PROGRA~1\NEOSTR~1\Watch.exe

C:\Program Files\Avant Browser\avant.exe

D:\od mario\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O4 - HKLM..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe

O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\Program Files\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Program Files\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Otwórz w nowym Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm

O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - C:\Program Files\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Podświetl - C:\Program Files\Avant Browser\Highlight.htm

O8 - Extra context menu item: Szukaj - C:\Program Files\Avant Browser\Search.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup ... 1443641559

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 1443600980

O17 - HKLM\System\CCS\Services\Tcpip..{26F5AA32-C31C-4E98-A5DB-A0FF3BD3C6DA}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe


(adam9870) #2

Log ogólnie czysty.

Możesz ciachnąć.

Gdzie NOD wykrywa szkodniki?

Przeskanuj http://www.ewido.net/en/ i pokaż raport oraz log z SilentRunners.


(Embash) #3

niestety usługa "posłaniec" z tego okienka ciągle wyskakuje

(komunikat od security dla alert: stop! registry cleaner recommended i tu następuje co mam skąd ściągnąć i jak postępować), więc nie wiem, gdzie to siedzi... przesyłam na razie log z silentrunners. po skanie z ewido dam jeszcze znac.. tymczasem dziękuję za pomoc...


(adam9870) #4

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługę Posłaniec.

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Log z Silenta czysty.


(Embash) #5

to na razie rozwiązało problem, poza tym że znaczki z wwdc są w większości żółte :frowning: poza jednym. to źle? teraz go znowu zrestartuję..


(adam9870) #6

Znaczki o kolorze żółtym mogą zostać - ważne aby nie były koloru czerwonego.


(Embash) #7

no to chyba mam problem.. :cry: bo jest jeden o kolorze czerwonym a obok komunikat: warning. messenger (NetBIOS/RPC ports) is enabled on your computer. i co teraz?...


(Joan Sunshine) #8

NetBIOS może zostać jak jest, to jest częsty problem :slight_smile:

Wyłącz koniecznie usługę Posłaniec (start > uruchom > services.msc).


(Embash) #9

usługę posłaniec już wyłączyłam. dzięki wielkie. pozdrawiam!