Wirus

toma · 23 Grudzień 2004 00:12

Mam win 98 se .Mks znalazł mi wira o nazwie WinServSuit.exe nie moge się go pozbyć co to może być. bardzo proszę o pomoc

Magik · 23 Grudzień 2004 00:20

Na googlu znalazłem tylko trochę logów HiJack-a z tym śmieciem i nic ponadto.

Więc tobie proponuję zrobić to samo tutaj.

Wklej log z HiJack-a.

toma · 23 Grudzień 2004 00:30

Logfile of HijackThis v1.98.2

Scan saved at 01:27:39, on 04-12-23

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE

C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVAD.EXE

C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVSUIT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\TEMP\HIJACKTHIS\HIJACKTHIS.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = gwardii.bmj.net.pl:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F1 - win.ini: run=hpfsched

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient

O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min

O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM\..\Run: [Windows ServeAd] C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVAD.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MusicUnlimited/ie/Bridge-c106.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = tomek

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.204.159.1,194.204.152.34

golden_finger · 23 Grudzień 2004 01:24

Działasz w trybie awaryjnym.

C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVAD.EXE

C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVSUIT.EXE

Katalog Windows Servead usuń w trybie awaryjnym razem z plikami

O4 - HKLM…\Run: [Windows ServeAd] C:\PROGRAM FILES\WINDOWS SERVEAD\WINSERVAD.EXE

Wyłacz proces i wtedy usuń katalog z plikami

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Usuwasz wskazane. W HijackThis wskazujesz Fix checked, wcześniej “zaptaszkuj” wskazane klucze

O4 - HKLM…\Run: [systemTray] SysTray.Exe

Ten proces wyłącz, ponieważ uruchamia się Zasobnik sytemowy i wtedy w trayu pojawiają się podwójne ikony.

Start-Uruchom-msconfig i w zakladce uruchamianie zniajdź wpis SysTray.exe, usń haczyk i OK, komp będzie się chciał ponownie uruchomić, więc OK

Użyj scanera Online http://www.ravantivirus.com/scan/

Użyj tego programu http://www.ewido.net/en/

:x-mas:

toma · 23 Grudzień 2004 10:43

Chyle czoła przed wiedzą. Wszystko pomogło dziękuje bardzo

piotru · 7 Styczeń 2005 18:42

Czy ten sposób działa też z WinServ.Ad.exe??? Bo mam oba wstręciuchy? :evil: Rózne programy anty spy i antyad + mój Norton sobie z tym nie radzą. Do tego Windows 2000, wiec nie wiem, jaki kod mam wpisać w powyzszej poradzie.

Waterproof · 8 Styczeń 2005 02:01

Najlepiej będzie, jak wkleisz własny log z Hijack This i poczekasz na odpowiednie instrukcje!

Ponieważ masz Windows 2000 - a zatem nieco inne procesy systemowe i system plików, dlatego też lokalizacja syfu może być również inaczej rozsiana.

piotru · 8 Styczeń 2005 15:28

Dzięki! Jestem trochę matołkiem komputerowym, więc szukam rozwiazań łopatologicznych. Hijacka nie ruszałem, ale wydaje sie, że Ewido z postu wyzej poradził sobie. SuperR RAV antyvirus nie wykrył badziewia, ale znalazł jeszcze parę paskuctw, których nie wykrywał Norton Symantec. Nota bene Ewido nie gryzie sie z Symantekiem, co jest b. miłe.

Manek_allegro · 11 Styczeń 2005 22:53

Witam.

Owszem ten sposób działa w win xp, przed chwilą zrobiłem to na kompie koleżki, wirus zniknął. Procesy te same, katalogi te same, nie ma znacznia czy win 98 czy win xp w przypadku tego robala.

pozdrawiam.

Waterproof · 12 Styczeń 2005 00:52

Raczej kolega piotru radził się co do systemu Win 2000! :lol:

Manek_allegro · 12 Styczeń 2005 07:29

A widzisz, pomyłka. Ale dla zainteresowanych mówię, że w win xp wszystko działa, przed chwilą sprawdzilismy czy nic się nie napchało od nowa i jest czysto Pozdrawiam.