Witam. Korzystam z NODa od ponad roku nigdy nie miałem problemu aż do dziś kiedy ot tak sobie uruchomiłem mks on-line i wykrył że pliki NODa są zainfekowane. Ponadto mks znalazł jeszcze 30 innych zaifekowanych plików
Co o tym sądzicie ?
Zmienić NODa na Avasta ?
Czy powinienem usunąć te pliki NODa ??
http://www.toya.net.pl/~friko/a1.jpg
http://www.toya.net.pl/~friko/a2.jpg
I jeszcze jedno pytanie - wlazł mi jakiś wirus poinstalował jakieś bzdury - wszystko udało mi sie usunąć pozostała tylko tapeta której nie moge zmienić. Wie ktoś może jak ją usunąć ?
screen:
http://www.toya.net.pl/~friko/a3.jpg
Ja mam AVASTA (darmowy) i jest on dobry tyle powiem, bo i tak każdy ma inne zdanie.
Zapodaj tu log HijackThis’a i zobaczymy co masz na kompie nieprzyjemnego.
Pozdro
oto log, gdyby coś było nie tak to prosze napisać.
Logfile of HijackThis v1.99.1 Scan saved at 05:49:32, on 23-03-2006 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\Explorer.EXE C:\windows\system32\spoolsv.exe C:\Program Files\Eset\nod32krn.exe C:\windows\System32\svchost.exe C:\Program Files\Winamp\Winampa.exe C:\Program Files\Eset\nod32kui.exe C:\windows\Mixer.exe C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe C:\windows\System32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Mozilla Thunderbird\Thunderbird-Tray\TBTray.exe C:\Program Files\Mozilla Thunderbird\thunderbird.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\root\USTAWI~1\Temp\Rar$EX13.984\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pajacyk.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Kocham moje słoneczko http://www.sgrunt.biz O16 - DPF: {1A781DED-C22D-4153-9812-CEA98A32981C} (GameDesire Bridge) - http://67.15.101.3/g_bin/pl/cardsbridge_2_0_0_18.cab O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EP … 0-3-18.cab O16 - DPF: {70B410C0-BADA-11D4-8308-0080C8D7ED4A} (GameDesire Bridge) - http://67.15.101.3/g_bin/pl/bridge_2_0_0_16.cab O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_39.cab O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://67.15.101.3/g_bin/pl/mahjong_2_0_0_20.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast\ashWebSv.exe" /service (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
funky_fresh:
zmienić NODa na Avasta ?
Nie.
Mks jest skanerem online, to zapewne fałszywy alarm, przeskanuj dla pewności skanerem online kasperskiego http://www.kaspersky.pl
Z mks nie korzystam, ale kiedyś panda on-line odinstalowała mi allplayera :o …
Sam korzytsam z noda i nie ma z nim żadnych problemów.
Mnie zastanawiają te dwa wspisy
Narazie ich ni usuwaj
Bunio
23 Marzec 2006 05:53
#6
Co do NOD32.
Używam tego antywirusa i (czasami) skanera MKS.
Nic takiego mi się nie pojawiło. :?
To pewnie przez tego trojana.
Poprostu znalazł lokalizację antywirusa i go zainfekował.
Po usunięciu trojana powinno być wszystko dobrze.
asterisk
23 Marzec 2006 10:27
#7
W momencie skanowania mks on-line powinieneś też wyłączyć NOD
Kaspersky znalazł u mnie 11 plików zainfekowanych w ty, pliki NODa tyle że skaner kasperskiego nie jest taki fajny jak mks bo co z tego że znalazł jak ich nie usunął
kuz5
23 Marzec 2006 13:48
#9
Wszystko wskazuje ze to fałszywy alarm
Ścieżka sie zgadza
Hmm tylko dalczego te skanery czepiaja się tego noda
Pobierz program Ewido zrób update i przeskanuj
Niech to wywali
Widze u ciebie dwa AV avasta i noda
Jeżeli nie masz juz avasta to usun:
Start => Uruchom => wpisz services.msc => zatrzymaj iwyłącz usługi avast! Mail Scanner i avast! Web Scanner następnie wpisy kasujesz w HijackThis
dobra już sobie pousówałem wszystko, zostało mi tylko cos takiego
http://www.toya.net.pl/~friko/a4.jpg
niewiem jak to usunąć ? Nie mogę zmienić tapety ani tła, ma ktos jakis pomysła ?
Teraz jak niby wszystko jest OK to mój log z Hijackthis wygląda tak:
Logfile of HijackThis v1.99.1 Scan saved at 16:47:14, on 23-03-2006 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\Explorer.EXE C:\windows\system32\spoolsv.exe C:\Program Files\Winamp\Winampa.exe C:\windows\Mixer.exe C:\PROGRA~1\Avast4\ashDisp.exe C:\Program Files\NETGEAR\WG311v3\wlancfg5.exe C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe C:\windows\system32\ZoneLabs\vsmon.exe C:\windows\system32\ZoneLabs\MINILOG.EXE C:\Program Files\Avast4\aswUpdSv.exe C:\Program Files\Avast4\ashServ.exe C:\windows\System32\svchost.exe C:\windows\System32\svchost.exe C:\Program Files\DC++\DCPlusPlus.exe C:\Program Files\Avast4\ashSimpl.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\root\USTAWI~1\Temp\Rar$EX00.204\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pajacyk.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Kocham moje słoneczko http://www.sgrunt.biz O16 - DPF: {1A781DED-C22D-4153-9812-CEA98A32981C} (GameDesire Bridge) - http://67.15.101.3/g_bin/pl/cardsbridge_2_0_0_18.cab O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EP … 0-3-18.cab O16 - DPF: {70B410C0-BADA-11D4-8308-0080C8D7ED4A} (GameDesire Bridge) - http://67.15.101.3/g_bin/pl/bridge_2_0_0_16.cab O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_39.cab O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://67.15.101.3/g_bin/pl/mahjong_2_0_0_20.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Avast\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Avast\ashWebSv.exe" /service (file missing) O23 - Service: TrueVector Basic Logging Client (minilog) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\minilog.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
A z Silent Runners wygląda tak:
“Silent Runners.vbs”, revision 44, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “NeroFilterCheck” = “C:\WINDOWS\system32\NeroCheck.exe” [“Ahead Software Gmbh”] “WinampAgent” = ““C:\Program Files\Winamp\Winampa.exe”” [null data] “C-Media Mixer” = “Mixer.exe /startup” [“C-Media Electronic Inc. (http://www.cmedia.com.tw )”] “avast!” = “C:\PROGRA~1\Avast4\ashDisp.exe” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided) -> {HKLM…CLSID} = “AcroIEHlprObj Class” \InProcServer32(Default) = “C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx” [empty string] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided) -> {HKLM…CLSID} = “SSVHelper Class” \InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll” [“Sun Microsystems, Inc.”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{472083B0-C522-11CF-8763-00608CC02F24}” = “avast” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Avast4\ashShell.dll” [“ALWIL Software”] “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Avast4\ashShell.dll” [“ALWIL Software”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Avast4\ashShell.dll” [“ALWIL Software”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] Group Policies [Description] {enabled Group Policy setting}: ------------------------------------------------------------ HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! “ForceActiveDesktopOn”=dword:00000001 [enables Active Desktop and prevents disabling it] {User Configuration|Administrative Templates|Desktop|Active Desktop| Enable Active Desktop} HIJACK WARNING! “Wallpaper” = “C:\WINDOWS\desktop.html” [disables the Display Properties|Desktop (tab) (except the “Customize Desktop…” button); selects wallpaper and enables Active Desktop] {User Configuration|Administrative Templates|Desktop|Active Desktop| Active Desktop Wallpaper|Wallpaper Name:} Active Desktop and Wallpaper: ----------------------------- Active Desktop enabled via Group Policy. Wallpaper selected via Group Policy. Startup items in “root” & “All Users” startup folders: ------------------------------------------------------ C:\Documents and Settings\All Users\Menu Start\Programy\Autostart “NETGEAR WG311v3 Wireless Assistant” -> shortcut to: “C:\WINDOWS\Installer{70014586-7BBA-4A92-A610-CDC896C48F8F}\NewShortcut1_1.exe /HIDE” [null data] “ZoneAlarm Pro” -> shortcut to: “C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe -nopopup” [“Zone Labs Inc.”] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ “MenuText” = “Sun Java Console” “CLSIDExtension” = “{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}” -> {HKCU…CLSID} = “Java Plug-in” \InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll” [“Sun Microsystems, Inc.”] -> {HKLM…CLSID} = “Java Plug-in” \InProcServer32(Default) = “C:\PROGRA~1\Java\JRE15~2.0_0\bin\ssv.dll” [“Sun Microsystems, Inc.”] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ avast! Antivirus, avast! Antivirus, ““C:\Program Files\Avast4\ashServ.exe”” [null data] avast! iAVS4 Control Service, aswUpdSv, ““C:\Program Files\Avast4\aswUpdSv.exe”” [null data] HTTP SSL, HTTPFilter, “C:\windows\System32\svchost.exe -k HTTPFilter” {“C:\windows\System32\w3ssl.dll” [MS]} Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ HPLJ1020LM\Driver = “ZLhp1020.DLL” [“Zenographics, Inc.”] Monitor języka PJL\Driver = “PJLMON.DLL” [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer “No” at the first message box. ---------- (total run time: 175 seconds, including 13 seconds for message boxes)
kuz5
23 Marzec 2006 16:06
#13
Nie jest ok
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom go w trybie awaryjnym
I wszystko wróciło do normy ! Dziękuję bardzo za pomoc. Pozdrawiam.
Jakoś przestałem wierzyć w NODa.
