Worm.Win32.Huhk.c

a.pall · 19 Grudzień 2007 23:43

po skanowaniu komputera kasperskim online wyskoczył mi taki zainfekowany plik

C:\WINDOWS\explorer.exe Zainfekowanych: Worm.Win32.Huhk.c pominięty

jak go zlikwidować

pogoneiro · 20 Grudzień 2007 08:38

Miałem dzis to samo, i co gorsza jaszcze jakis trojan sie pokazał i kasper wyrzucił explorer.exe do kwarantanny i nic mi sie juz na pulpicie nie pokazywało. Może to znów bezie kolejny błedny alarm, choc jak tylko komp zaczął sie ładowac po wpisaniu hasło od razu wyskoczyła mi informacja że sa podmienione pliki systemowe i żebym włozył instalką to je przywróci do prawidłowych, więc razcej to chyba nie błedny alarm. Ja Ghostem przywróciłem system i chyba sie tego pozbyłem - zależy skąd to sie dostało

Monczkin · 20 Grudzień 2007 08:53

a.pall ,

viewtopic.php?f=16&t=36654

Przeczytaj, przeskanuj, wklej logi w tym temacie.

pogoneiro · 20 Grudzień 2007 09:16

Chyba jednak błedny alarm:

cytat z forum kaspersky:

Worm.Win32.Huhk.c virus

Here is how you clear this shitty bug out. Hopefully the KAV updates will fix this bullshit.

Start Windows. When it “loads” do a CTRL + ALT + DEL to open task manager.
In task manager, click FILE --> New Task (Run) --> Go to ( C ): Kaspersky --> AVP.exe and click OPEN.
Close task manager and go to the now open Kaspersky. (I had to do this twice before KAV opened)
In KAV, go to Service–>Data Files–>Backup–>Files and restore the “explorer.exe” in C:/Windows/
Restart your PC

Voila! When I restored, it automatically put the file in the correct place, but keep your eyes open anyway.

Hope this helps somebody!

Have a good one all. Good luck!

Szukajacy · 20 Grudzień 2007 13:16

Mogłby ktoś to przetłumaczyć, bo nie wszystko w tym rozumie

a.pall · 20 Grudzień 2007 19:17

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:15:39, on 20-12-07 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Comodo\Firewall\cmdagent.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\Explorer.EXE C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe C:\Program Files\HP\hpcoretech\hpcmpmgr.exe C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Program Files\Comodo\Firewall\CPF.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\ScannerU\AM32.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” O4 - HKLM…\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe” O4 - HKLM…\Run: [HP Software Update] “C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe” O4 - HKLM…\Run: [COMODO Firewall Pro] “C:\Program Files\Comodo\Firewall\CPF.exe” /background O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU…\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1045 O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus … nicode.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{0BCCD42F-6C6E-4DE1-B69E-CF229DB9D0DF}: NameServer = 194.204.159.1 217.98.63.164 O17 - HKLM\System\CS1\Services\Tcpip…{0BCCD42F-6C6E-4DE1-B69E-CF229DB9D0DF}: NameServer = 194.204.159.1 217.98.63.164 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\Arek\USTAWI~1\Temp\hpdj.exe (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe – End of file - 6508 bytes

Gutek · 20 Grudzień 2007 21:09

gabiszonka daruj sobie takie stwierdzenia

usuń wpisy HJT

Daj log z ComboFix

pogoneiro · 20 Grudzień 2007 21:49

Co do tego wirusa w explorer.exe to na forum kaspersky’ego po niemiecku piszą że to fałszywy alarm, jakiś błąd kaspra. Więcej można - jak sie zna niemiecki - tu poczytać:

http://forum.kaspersky.com/index.php?s= … 55668&st=0

a.pall · 20 Grudzień 2007 22:07

http://wklej.org/id/e5d3730184

Gutek · 20 Grudzień 2007 22:22

Nic nie widać - Skan AVG Anti-Spyware 7.5 po update

a.pall · 20 Grudzień 2007 23:06

Gdy usunąłem dwa plik wymienione przez Ciebie na pulpicie pojawiła sie ikonka Internet Explorer wcześniej miałem tylko skrót podpisany iexplore pisownia oryginalna co mogę osunąć a co mam zostawić

bruczkow · 21 Grudzień 2007 00:32

No to potrzebuję pomocy…

No i się okazało że ów “huhk.c” to nic strasznego.

Tylko że mam problem.

Zone Alarm wykrył w explorer.exe ów wirus i zmienił nazwę, po czym go skasował.

Teraz pojawia mi się ładna tapetka, i wszystko uruchamiam przez nowe zadania w menezerze zadań.

Z zone alarma w kwarantannie nie ma już tego pliku, tak więc zostałem bez explorera.

Powiedzcie mi, jak go przywrócić.

Nie mówcie mi tu o hitjackach i logach bo komp jest czysty jak h.olera, bo na tym punkcie jestem uczulony i każde zagrożenie jest natychmiast eliminowane (patrz powyżej).

Prosze o rade znawców windowsa, jak explorera z niczego przywrócić, nie reinstalując systemu na nowo.

POzdr!!

Barbara-Symantec · 21 Grudzień 2007 09:29

Współczuję, że macie problemy z wirusami. Sprawdżcie Norton-a. http://www.takethenortonchallenge.com

arekmalek · 21 Grudzień 2007 11:51

bruczkow

Przywróć z konsoli odzyskiwania:)

jan1 · 21 Grudzień 2007 13:13

Zone Alarm-rozumiem pakiet korzysta z silnika i baz kaspra więc ci go skasował

Poczytaj ten link

http://www.idg.pl/news/134826.html

bruczkow · 21 Grudzień 2007 13:45

arekmalek

Ale jak z konsoli odzyskiwania??

Ja zrobiłem trochę inaczej. Okazało się że explorer był, ale ze zmienioną nazwą. Zmieniłem mu rozszerzenie i chodzi komp jak “sprzed ataku”.

POzdro i sorry za kłopot