system
(system)
14 Luty 2009 22:08
#1
Niestety , w tym momencie nie wiem już co robić… Wszystko zaczeło sie od zablokowania menedzera zadań oraz edytora rejestru… Szukałem różnych tematów które mogły by mi pomóc, próbowalem coś robic… Najwyraźniej wyszło na to , że jest jeszcze gorzej… Nie moge zrobic skana doktorem poniewaz wyłacza sie po sekundzie… Nie moge zainstalować NODA ponieważ instalka wyłacza sie po sekundzie… Dodam jeszcze , że moge uruchomić menedżera zadań oraz edytor rejestru ale one także wyłaczają sie po sekundzie…
Prosze o pomoc
Logi z hijacka
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:10:21, on 2009-02-14 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\cFosSpeed\spd.exe C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\EXPLORER.EXE C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe C:\Program Files\DrWeb\SpIDerAgent.exe C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe C:\Program Files\HEXelon MAX 6\hexelon.exe C:\WINDOWS\TEMP\vikwru.exe C:\WINDOWS\TEMP\winpuojr.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll O2 - BHO: Peer2Mail Toolbar Helper - {4FB971C4-99FB-480d-BA3F-55B8263010FB} - C:\Program Files\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll (file missing) O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file) O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll O3 - Toolbar: Peer2Mail Toolbar - {43F2A7F9-06F6-48a5-B0DC-8530BF29CE66} - C:\Program Files\Peer2Mail Toolbar\v2.0.0.0\Peer2Mail_Toolbar.dll O4 - HKLM…\Run: [Resume copy] copyfstq.exe /startup O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HYDRAVISION\HydraDM.exe O4 - HKLM…\Run: [ATIPTA] “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” O4 - HKLM…\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [LanguageShortcut] “C:\Program Files\CyberLink\PowerDVD\Language\Language.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe” O4 - HKLM…\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM…\Run: [spIDerAgent] “C:\Program Files\DrWeb\SpIDerAgent.exe” O4 - HKLM…\Run: [spIDerMail] “C:\Program Files\DrWeb\spiderml.exe” O4 - HKLM…\Run: [spIDerNT] C:\PROGRA~1\DRWEB\spiderui.exe /agent O4 - HKCU…\Run: [AtiTrayTools] “C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe” O4 - HKCU…\Run: [steam] “c:\program files\steam\steam.exe” -silent O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Octoshape Streaming Services] “C:\Documents and Settings\Jan\Ustawienia lokalne\Dane aplikacji\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe” -inv:bootrun O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [amva] C:\WINDOWS\system32\amvo.exe O4 - HKCU…\Run: [HEXelon MAX] “C:\Program Files\HEXelon MAX 6\hexelon.exe” /auto O4 - HKCU…\Run: [wsctf.exe] wsctf.exe O4 - HKCU…\Run: [EXPLORER.EXE] EXPLORER.EXE O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Startup: Last.fm Helper.lnk = C:\Program Files\Last.fm\LastFMHelper.exe O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microso … 6245665859 O17 - HKLM\System\CCS\Services\Tcpip…{08FC8263-5A69-41A7-891F-A6F3AF3818D5}: NameServer = 194.204.159.1,194.204.152.34 O17 - HKLM\System\CS1\Services\Tcpip…{08FC8263-5A69-41A7-891F-A6F3AF3818D5}: NameServer = 194.204.159.1,194.204.152.34 O17 - HKLM\System\CS2\Services\Tcpip…{08FC8263-5A69-41A7-891F-A6F3AF3818D5}: NameServer = 194.204.159.1,194.204.152.34 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe O23 - Service: Dr.Web Scanning Engine (DrWebEngine) (DrWebEngine) - Doctor Web, Ltd. - C:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: SpIDer Guard for Windows (SPIDERNT) - Doctor Web, Ltd. - C:\PROGRA~1\DRWEB\spidernt.exe – End of file - 8701 bytes
Dr.Cyc
(13 Alek)
14 Luty 2009 23:26
#2
Uruchom HijackThis Do a system scan only zaznacz kratki przy podanych niżej wpisach Naciśnij “Fix checked”:
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl/
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll (file missing)
Pobierz Combofix , ale nie uruchamiaj go. Otwórz notatnik i wklej
File::
C:\WINDOWS\TEMP\winpuojr.exe
C:\WINDOWS\TEMP\vikwru.exe
C:\WINDOWS\system32\amvo.exe
Plik>Zapisz jako…> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
To uruchomi combofixa, wygenerowany log dajesz na http://www.wklej.eu/ , http://www.wklej.org/ lub http://www.wklejto.pl/ , a w poście tylko link.
system
(system)
14 Luty 2009 23:58
#3
Dr.Cyc
(13 Alek)
15 Luty 2009 00:52
#4
Infekcja z Pendrive
Do usunięcia infekcji z pendrive użyj tych programów
Otwórz notatnik i wklej
File::
C:\WINDOWS\system32\cvnmhg0.dll
C:\aaw7boot.cmd
C:\WINDOWS\system32\drivers\dwprot.sys
C:\WINDOWS\system32\lsdelete.exe
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
Folder::
C:\FOUND.001
C:\FOUND.000
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]
Plik>Zapisz jako…> CFScript.txt Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
system
(system)
15 Luty 2009 01:10
#5
http://wklej.org/id/52851/
Tak , 4 foldery z mp3 oraz jeden z gierka
jessica
(jessica)
15 Luty 2009 08:34
#6
To ostatnie usuwanie, to była klapa:
C:\ aaw7boot.cmd = plik Lavasoft Ad-Aware (a ten program jest widoczny w logu!)
C:\WINDOWS\system32\drivers\ dwprot.sys = plik “Dr.Web” (a ten program jest widoczny w logu!)
C:\WINDOWS\system32\ lsdelete.exe = plik Lavasoft Ad-Aware (a ten program jest widoczny w logu!)
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe - jeśli już usuwać, to cały folder “C:\RECYCLER” (choć tu akurat wcale tego obiektu nie było), i usuwać trzeba przede wszystkim klucz z tym związany: [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]
Te klucze infekcji nie zostały dane do usuwania.
Te klucze nie zostały dane do modyfikacji.
Nie zostało też wydane zalecenie naprawienia Trybu Awaryjnego.
========================================================================
Zaczynamy:
Te pliki przenieś z folderu C:\Qoobox do ich poprzednich lokalizacji, usuwając im przy tym z nazwy przyrostek \ *.vir .
Potem:
Potem:
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wsctf.exe"=-
"EXPLORER.EXE"=-
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=dword:00000000
"DisableRegistryTools"=dword:00000000
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.
A poza tym - Twój ComboFix jest stary jak świat, nie widzi niektórych groźnych infekcji, które pojawiły się na świecie po lipcu ubiegłego roku!
jessi
system
(system)
15 Luty 2009 12:10
#7
http://wklej.org/id/52947/ log z nowego combofixa
menedzer zadan oraz edycja rejestru dalej wylacza sie po chwili
Tryb awaryjny sprawny
Ad-Watch! wykrywa także zagrożenie Win32.Trojan.Agent…
jessica
(jessica)
15 Luty 2009 12:53
#8
ComboFix wprawdzie usunął tę usługę, ale to wcale nie oznacza, że jest OK. Wręcz przeciwnie: to była usługa jednej z wersji wirusa SALITY/SECTOR, który zaraża wszystkie pliki \ *.exe .
Użyj >Dr. Web CureIt! - przy ściąganiu zapisz go pod taką nazwą, jaką mu nadałam, czyli “purre.com ”.
Napisz, co wykrył.
Nie podałeś ścieżki i nazwy pliku.
jessi
system
(system)
15 Luty 2009 13:40
#9
Nie jestem w stanie sciagnąć tego pliku… Ropoczynanie sciągania trwa wieczność…
Zastanawiam się nad formatem partycji C , nie wiem czy to coś pomoże…
Dr.Cyc
(13 Alek)
15 Luty 2009 16:17
#10
jessica:
To ostatnie usuwanie, to była klapa: C:\aaw7boot.cmd = plik Lavasoft Ad-Aware (a ten program jest widoczny w logu!) C:\WINDOWS\system32\drivers\dwprot.sys = plik “Dr.Web” (a ten program jest widoczny w logu!) C:\WINDOWS\system32\lsdelete.exe = plik Lavasoft Ad-Aware (a ten program jest widoczny w logu!) C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe - jeśli już usuwać, to cały folder “C:\RECYCLER” (choć tu akurat wcale tego obiektu nie było), i usuwać trzeba przede wszystkim klucz z tym związany: [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}] Te klucze infekcji nie zostały dane do usuwania. Te klucze nie zostały dane do modyfikacji. Nie zostało też wydane zalecenie naprawienia Trybu Awaryjnego. ======================================================================== Zaczynamy: Te pliki przenieś z folderu C:\Qoobox do ich poprzednich lokalizacji, usuwając im przy tym z nazwy przyrostek *.vir. Potem: Potem: Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “wsctf.exe”=- “EXPLORER.EXE”=- [HKEY_USERS.default\software\microsoft\windows\currentversion\policies\system] “DisableTaskMgr”=dword:00000000 “DisableRegistryTools”=dword:00000000 [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> plik uruchom (dwuklik i OK). Zrestartuj komputer. A poza tym - Twój ComboFix jest stary jak świat, nie widzi niektórych groźnych infekcji, które pojawiły się na świecie po lipcu ubiegłego roku! jessi
Nie chce się kłócić , ale wszystkie pliki które daje do usunięcia, wpierw sprawdzam czy aby na pewno są szkodliwe
C:\aaw7boot.cmd
viewtopic.php?f=16&t=309641&p=2049638 - sama pisałaś że to infekcjaviewtopic.php?f=16&t=239404&start=0
C:\WINDOWS\system32\drivers\dwprot.sys
viewtopic.php?f=2&t=309608&p=2049452
C:\WINDOWS\system32\lsdelete.exe
viewtopic.php?t=245603
Tego rzeczywiście nie zauważyłem, za co przepraszam
jessica
(jessica)
15 Luty 2009 16:39
#11
@ Dr.Cyc
“aaw7boot.cmd” - nie doczytałeś tamtego tematu do końca: od początku miałam wątpliwości i zaleciłam jego sprawdzenie, a potem sam Autor tematu wyjaśnił, że to jest prawidłowy plik.
“dwprot.sys” - też nie przeczytałeś dokładnie tematu, bo w tamtym temacie chodziło o pozbycie się resztek “Dr.Web” -jest to wyraźnie napisane już na samym początku tematu.
Zresztą nawet nie musiałeś szukać gdzie indziej, bo od razu w “naszym” temacie było to:
“lsdelete.exe” - w tamtym temacie to była też wyraźna pomyłka, bo w logu było widać, że jest zainstalowany “Lavasoft”.
Piszę to tylko, by wyjaścić sytuację, nie chcę tu żadnej kłótni.
jessi
system
(system)
15 Luty 2009 16:46
#12
Czy jest jeszcze co moge zrobic aby uratowca komputer bez robienia calkowitego formatu? : (
jessica
(jessica)
15 Luty 2009 16:57
#13
Możesz spróbować skanerów Anti virus owych online, choć wątpię, czy to się uda, skoro nie da się nawet ściągnąć “Dr.Web”.
jessi
system
(system)
15 Luty 2009 18:26
#14
Mam jeszcze jedno pytanie , czy konieczne jest formatowanie wszystkich partycji , czy wystarczy sformatowac partycje C?
Dr.Cyc
(13 Alek)
15 Luty 2009 18:44
#15