Wirus

asta_jb · 14 Luty 2006 16:28

mam problem mam zawirusowany plik WINDOWS/SYSTEM/imb00002.dll i chyba jeszcze kilka wlasnei z tego folderu SYSEM i mam pytanie czy jesli go wywale (bo nie da sie użyć kwarantanny ani zmiany nazwy) to nic sie nie stanie z moim kompem? nie straci jakis ważnych danych?

kuz5 · 14 Luty 2006 16:30

Wklej loga HijackThis

asta_jb · 14 Luty 2006 16:47

ja jestem nieobeznana w tych sprawach i zainstalowałam to coś

nacisnelam jakis skan i cos takiego mi wyszło

Logfile of HijackThis v1.99.1 Scan saved at 17:49:12, on 05-05-2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\LXCCPPLS.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\PROGRAM FILES\LEXMARK 3300 SERIES\LXCCMON.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAM FILES\WINAMP\WINAMPA.EXE C:\WINDOWS\SYSTEM32\DRIVERS\KODAKCCS.EXE C:\WINDOWS\SYSTEM\USBMONIT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE C:\PROGRAM FILES\COMMON FILES\INSTALLSHIELD\UPDATESERVICE\ISSCH.EXE C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\WINDOWS\SYSTEM\LXCCCOMS.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE C:\WINDOWS\PULPIT\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F1 - win.ini: run=lxccppls.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 6.0 CE\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: Zango Search Assistant Helper - {56F1D444-11BF-4879-A12B-79CF0177F038} - C:\PROGRAM FILES\ZANGO\ZANGOHOOK.DLL (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [Windows Millennium Edition Intro Video] C:\WINDOWS\Applic~1\Micros~1\Intro\content.hta O4 - HKLM…\Run: [selfHostUtil] C:\WINDOWS\selfhost.exe /L O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM…\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM…\Run: [systemTray] SysTray.Exe O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM…\Run: [AtiKey] Atitask.exe O4 - HKLM…\Run: [LXCCCATS] rundll32 C:\WINDOWS\SYSTEM\LXCCtime.dll,_RunDLLEntry@16 O4 - HKLM…\Run: [lxccmon.exe] “C:\Program Files\Lexmark 3300 Series\lxccmon.exe” O4 - HKLM…\Run: [FaxCenterServer] “C:\Program Files\Lexmark Fax Solutions\fm3032.exe” /s O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [KodakCCS] C:\WINDOWS\System32\Drivers\KodakCCS.exe O4 - HKLM…\Run: [uSBMonit.exe] “C:\WINDOWS\SYSTEM\USBMonit.exe” O4 - HKLM…\Run: [] C:\Program Files\Gadu-Gadu\SERVER.EXE O4 - HKLM…\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE O4 - HKLM…\Run: [iSUSPM Startup] “C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.EXE” -startup O4 - HKLM…\Run: [iSUSScheduler] “C:\PROGRAM FILES\COMMON FILES\INSTALLSHIELD\UPDATESERVICE\issch.exe” -start O4 - HKLM…\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe O4 - HKLM…\RunServices: [HiberMonitor] HCount.exe O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\RunServices: [schedulingAgent] mstask.exe O4 - HKLM…\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM…\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM…\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray O4 - HKCU…\Run: [shell] “C:\WINDOWS\SYSTEM\ibm00001.exe” O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra ‘Tools’ menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm (file missing) O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.204.159.1,194.204.152.34

kuz5 · 14 Luty 2006 17:13

Usuń: (wszystko oczywiście robisz w trybie awaryjnym)

Pliki na czerwono usun ręcznie z dysku

Nie podoba mi sie en wpis, ciachnij go

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga

asta_jb · 14 Luty 2006 17:58

hehe ciachnij czyli co ? usuń? bo do mnei trzeba wiesz po polsku bo ja nie kapuje

kuz5 · 14 Luty 2006 18:29

No usuń wpis w hijackthisie a plik zaznaczony na czerwono recznie z dysku

asta_jb · 14 Luty 2006 18:34

tego zango nie moge znaleźć niby pisze w tym LOGO ale na dysku nie widac…

dałam nawet wyszukaj pliki i foldery i ni ma…

a ten drugi co zaznaczyles na czerwoo wywalilam tak jak kazales w trybie awaryjnym i teraz gdy uruchomilam noramlnie kompa wyskakuje mi komunikat:

System Windows nie moze odnaleźć “ibm00001.exe”. Być może niepoprawnie wpisano nazwę w oknie dialogowym Uruchom lub inny program otwoerający nie może znaleźć pliku systemowego. Aby wyszukać plik, kliknij przycisk Start, a następnie kliknij polecenie Wyszukaj.

I co teraz?!

system · 14 Luty 2006 18:39

Zrób tak

asta_jb · 14 Luty 2006 18:50

Nio usunęlam w hijackthisie wpis

system · 14 Luty 2006 19:23

To zrób tak

Start >>> Uruchom >>> SYSTEM.INI

Zaedytuj, W sekcji [boot] jest po shell = explorer.exe ibm00001.exe" [MS], usunąć stamtąd ibm00001.exe (ma zostać shell=explorer.exe)

I zapisz zmiany

kuz5 · 14 Luty 2006 19:40

Zostało:

A zrobiłeś to:

Nie on usunie plik, jak nie pomoze to dopiero mozna łapać sie za jakąkolwiek edycje (po co robić sobie pod górke)

Plik usuń programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\WINDOWS\SYSTEM** ibm00001.exe**

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

Wklej loga SilentRunners

Wyczyść rejestr programem jv16 PowerTools

Opcje rejestru =>Klikamy “Czyszczenie rejestru” (opcja pokazana na na poniższym obrazku) następnie klikamy “Kontynuuj” po czym klikamy “Start” po tym jak program sprawdzi rejestr klikamy Wybierz => Wybór specjalny i klikamy “Pozycje które można bezpiecznie usunąć” i na koniec klikamy “Usuń”

system · 14 Luty 2006 19:53

Wydaje mi się że asta_jb usuneła ten plik i komunikat jej pojawia się przy starcie z uruchamiania system.ini dlatego chciałem żeby zaedytowała wpis system.ini

kuz5 · 14 Luty 2006 20:08

Ok

Ale jak widac nie skasował pliku

Niech da log z silenta, no i jeszcze uzyje killboxa

Marquez · 15 Luty 2006 10:18

To zrób tak…

Sciągasz to, rozpakowywujesz tutaj masz link http://www.wojass.net/dn.php3?dn=ggtkiller.rar

Potem tym skanujesz, ten plik SERVER.EXE to prawdopodobnie wynik działania trojana G@DU GHOST TROJAN http://www.wojass.net/ odpowiednio użyty, wirus moze byc zabójczy dla kompa.