FAQ | Points | Add... | Recent posts | Search | Register | Log in


Pewien Problem wirus
Search:  
Go to page Previous  1, 2
Post new topic  Reply to topic      Main Page -> Forum Index -> Computer Service -> Computer Software -> Pewien Problem wirus
Author
Message
longines
Poziom 19
Poziom 19


Joined: 28 Sep 2004
Posts: 755
Location: Gdańsk
Post#31 17 May 2005 15:03   

Re: Pewien Problem wirus
childmaker wrote:
Log jest czysty

Dzięki. Co dwa łby to nie jeden ;-)

Zupełnie offtopic. Znalazłem niezły program, podaje m.in. ciekawe drobiazgi, który wątek programu nasłuchuje jaki port i co robi na tą okoliczność. Szkoda tylko, że to shareware.
Może być przydatny do konfigurowania zapór ogniowych.
A przy okazji przeszukuje Google na okoliczność własnie "naszego podejrzanego" wątku, więc myślę, ze napewno przyda sie początkującym i zatrwożonym ;-)



Security Task Manager.
ftp://ftp.neuber.com/pub/taskmanager16.exe
Back to top
   
jankolo
Poziom 26
Poziom 26


Joined: 10 Jan 2005
Posts: 29276
Location: Łódź
Post#32 18 May 2005 01:11   

Re: Pewien Problem wirus
longines, czy mógłbyś sprawdzić, kiedy te pliki systemu SafeCast pojawiły się w Twoim komputerze? Gdybys następnie przeszukał system w poszukiwaniu plików o tej samej dacie i godzinie wejścia do systemu (+-5 minut), to może zlokalizowałbyś, z czym to przyszło?
Back to top
   
longines
Poziom 19
Poziom 19


Joined: 28 Sep 2004
Posts: 755
Location: Gdańsk
Post#33 19 May 2005 00:53   

Re: Pewien Problem wirus
jankolo wrote:
longines, czy mógłbyś sprawdzić, kiedy te pliki systemu SafeCast pojawiły się w Twoim komputerze? Gdybys następnie przeszukał system w poszukiwaniu plików o tej samej dacie i godzinie wejścia do systemu (+-5 minut), to może zlokalizowałbyś, z czym to przyszło?


Zrobiłem tak, ale znalezionych plików z tą datą jest niewiele (godziny wogóle się nie zgadzają). Pochodzenie tych (znalezionych) plików jest mi znane, są to programy, które używam od bardzo dawna i nigdy z nimi nie miałem kłopotu. Pozostają dwie windowsowe biblioteki: mfc42.dll (ver.6.00.8665.0) i msvcrt.dll (ver.6.10.8924.0). Normalnie nie mam siły ściągać od nowa wszystkich łat, które ściągałem, po to by sprawdzic z jakiej łaty pochodzą te dwa DLL-e. :-(
Na razie powolutku, przeszukuję wszelkie logi na dysku. Jak znajdę , dam znać.
Back to top
   
Google

Google Adsense
Post# 19 May 2005 00:53   



Back to top
   
childmaker
Poziom 22
Poziom 22


Joined: 16 Oct 2004
Posts: 2273
Post#34 19 May 2005 06:50   

Re: Pewien Problem wirus
longines mam te dwie biblioteki u siebie i wszystkie uaktualnienia do windy oraz offica i nie mam C-Dilli. Wejdź w google, wpisz c-dilla i zobaczysz do czego to jest wykorzystywane.
Back to top
   
szatek009
Poziom 15
Poziom 15


Joined: 25 Apr 2004
Posts: 262
Post#35 Post from the author of the topic 27 May 2005 17:02   

Re: Pewien Problem wirus
Odswiezam temat:)
Poniewaz nbie moge sobie z tym poradzic:(
Mianowicie w "menadzer zadan" mam 6 literowe procesy.z koncowka exe.
Znaczy sie jest to jeden prcoes,jak go zamkne,pojawia sie nastepny ale z inna nazwa.Raz mi sie to jakos udalo usunac..ale jak odpale explorera odrazzuuu jakies SPOOLS.exe itp.Jakim cudem to sie przywraca??Jak to usunac?:(
Log z Hijack
Logfile of HijackThis v1.99.1
Scan saved at 16:31:35, on 2005-05-27
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
E:\Programy\MKS\Bin\NetMonSV.exe
C:\WINDOWS\SYSTEM\rs32.exe
E:\Programy\MKS\Bin\mksmonsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\antyviry\MksClean.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\windows\system32\vpohyvf.exe
C:\Documents and Settings\szaciu\Pulpit\anty\hijackthis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\Programy\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [djlgap] c:\windows\system32\vpohyvf.exe
O8 - Extra context menu item: Download All by FlashGet - E:\Programy\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\Programy\FlashGet\jc_link.htm
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - E:\Programy\MKS\Bin\NetMonSV.exe
O23 - Service: C-DillaCdaC11BA - Unknown owner - C:\WINDOWS\System32\drivers\CDAC11BA.EXE (file missing)
O23 - Service: Sound Device (dnetc) - Unknown owner - C:\WINDOWS\SYSTEM\rs32.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - E:\Programy\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - E:\Programy\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown owner - E:\Programy\MKS\Bin\mks_scan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Bufor wydruku (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Pomozcie..
Back to top
   
childmaker
Poziom 22
Poziom 22


Joined: 16 Oct 2004
Posts: 2273
Post#36 27 May 2005 17:10   

Re: Pewien Problem wirus
Tu masz opis jak usunąć Nail.exe http://www.searchengines.pl/phpbb203/index.php?showtopic=35941
Back to top
   
Kolobos
Poziom 26
Poziom 26


Joined: 13 Jun 2003
Posts: 27310
Location: Warszawa
Post#37 27 May 2005 17:26   

Pewien Problem wirus
To tez do kasacji:
O4 - HKLM\..\Run: [djlgap] c:\windows\system32\vpohyvf.exe

Uslugi do kasacji:
O23 - Service: C-DillaCdaC11BA - Unknown owner - C:\WINDOWS\System32\drivers\CDAC11BA.EXE (file missing)

To chyba jakis syf:
O23 - Service: Sound Device (dnetc) - Unknown owner - C:\WINDOWS\SYSTEM\rs32.exe

Nazwa uslugi nie pasuje do nazwy pliku, wylacz ja na poczatek:
Start->Uruchom->services.msc
Odszukaj:
Sound Device (dnetc)
Wejdz w jej wlasciwosci i wybierz zatrzymaj, nastepnie zmien tryb uruchomienia na wylaczony.

Czemu skasowales to:
O23 - Service: Bufor wydruku (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)

To byl plik systemowy, przywroc go sobie z plyty instalacyjnej.
Back to top
   
longines
Poziom 19
Poziom 19


Joined: 28 Sep 2004
Posts: 755
Location: Gdańsk
Post#38 27 May 2005 17:47   

Re: Pewien Problem wirus
Kolobos wrote:
....Czemu skasowales to:
O23 - Service: Bufor wydruku (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)

To byl plik systemowy, przywroc go sobie z plyty instalacyjnej.


Nie musi przywracać z płyty. Niech wyłączy i włączy w usługach lokalnych Serwer wydruku, Windows sam skopiuje spoolsv.exe z folderu
c:\WINDOWS\system32\dllcache\
Back to top
   
szatek009
Poziom 15
Poziom 15


Joined: 25 Apr 2004
Posts: 262
Post#39 Post from the author of the topic 27 May 2005 19:03   

Re: Pewien Problem wirus
OK
Nail niby usuniety.Ale przy wlaczaniu kompa pokazuje sie komunikat "Nie mozna odnalezc pliku ...Nail.exe"Jak to wylaczyc z uruchamiania przy starcie?

Mowicie
O4 - HKLM\..\Run: [djlgap] c:\windows\system32\vpohyvf.exe
Hijack i fix.Dupa i jeszcze raz dupa.
Jak odpalam menadzer zadan biore zakoncz proces,ponownie sie uruchamia pod inna nazwa teraz akurat "fdiabg.exe" :| Hijack nic nie pomogl..w trbie awaryjnym nawet Fix,i nic.Od nowa..sie pojawia:/Nie wiem sam jak juz to usunac..
Nawet tak sie dzieje jak wylacze internet.
Back to top
   
childmaker
Poziom 22
Poziom 22


Joined: 16 Oct 2004
Posts: 2273
Post#40 27 May 2005 19:08   

Re: Pewien Problem wirus
Wklej jeszcze raz log
Back to top
   
Google

Google Adsense
Post# 27 May 2005 19:08   



Back to top
   
Kolobos
Poziom 26
Poziom 26


Joined: 13 Jun 2003
Posts: 27310
Location: Warszawa
Post#41 27 May 2005 19:13   

Pewien Problem wirus
Po usunieciu tego w hijackthis komunikat nie bedzie sie pojawial:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Sciagnij sobie to:
http://www.silentrunners.org/Silent%20Runners.vbs

Uruchom windows w trybie awaryjnym i uruchom Silent Runners.vbs log, ktory sie wygeneruje wklej na forum.
Back to top
   
Google

Google Adsense
Post# 27 May 2005 19:13   



Back to top
   
szatek009
Poziom 15
Poziom 15


Joined: 25 Apr 2004
Posts: 262
Post#42 Post from the author of the topic 27 May 2005 19:13   

Re: Pewien Problem wirus
tutaj link:
www.viknet.pl/szaciu/men.JPG
widzicie cos jeszcze podejrzanego?
LOG:
Logfile of HijackThis v1.99.1
Scan saved at 18:45:20, on 2005-05-27
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
c:\windows\system32\fdiabg.exe
E:\Programy\MKS\Bin\NetMonSV.exe
E:\Programy\MKS\Bin\mksmonsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\szaciu\Pulpit\anty\hijackthis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\Programy\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [oyjvus] c:\windows\system32\fdiabg.exe
O8 - Extra context menu item: Download All by FlashGet - E:\Programy\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\Programy\FlashGet\jc_link.htm
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - E:\Programy\MKS\Bin\NetMonSV.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - E:\Programy\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - E:\Programy\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown owner - E:\Programy\MKS\Bin\mks_scan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Bufor wydruku (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe
Robilem tak jak kazaliscie..a nail dalej jest... :|
Back to top
   
Kolobos
Poziom 26
Poziom 26


Joined: 13 Jun 2003
Posts: 27310
Location: Warszawa
Post#43 27 May 2005 19:15   

Pewien Problem wirus
:arrow: szatek009
Poczytaj jeszcze raz to:
http://www.searchengines.pl/phpbb203/index.php?showtopic=35941

I sie zastosuj, bo dalej masz to czego nie powinno byc:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Oraz usun ta usluge:
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe

Quote:
Otwierasz sekcję Misc Tools w HijackThis >>> Delete NT Service >>> wklep SvcProc >>> zatwierdź kasację.


Oraz zrob to co napisalem w poprzednim poscie.
Back to top
   
szatek009
Poziom 15
Poziom 15


Joined: 25 Apr 2004
Posts: 262
Post#44 Post from the author of the topic 27 May 2005 19:26   

Re: Pewien Problem wirus
Kolbos zrobilem tak jak pisze tam!i nic..sprobuje jeszcze raz..:/
MAsz tutaj log w trybie awaryjnym
"Silent Runners.vbs", revision 37, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"ualzyf" = "c:\windows\system32\pkffkfq.exe" ["TODO: <Company name>"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "E:\Programy\WinRAR\rarext.dll" [null data]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
"{38D4D5D0-423E-4220-B6F9-30918C2AE4A4}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\frennk.dll" [null data]
"{FB153DCE-822E-47ec-8D00-2706E7864B37}" = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\KB290333.dll" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
INFECTION WARNING! "Shell" = "Explorer.exe C:\WINDOWS\Nail.exe" [MS], [null data]


Enabled Active Desktop and Wallpaper:
-------------------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\szaciu\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Enabled Scheduled Tasks:
------------------------

"MkSUpdate" -> launches: "E:\Programy\MKS\bin\mks_upd.exe Task" ["MkS Sp. z o. o."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{E0E899AB-F487-11D5-8D29-0050BA6940E3}"
-> {CLSID}\(Default) = "FlashGet Bar"
-> {CLSID}\InProcServer32\(Default) = "E:\Programy\FlashGet\fgiebar.dll" ["Amaze Soft"]


All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

ArcaBit NetMonitor, ABNetMon, "E:\Programy\MKS\Bin\NetMonSV.exe" ["ArcaBit sp. z o.o."]
Bufor wydruku, Spooler, "C:\WINDOWS\system32\spoolsv.exe" [file not found]
Karta wydajności WMI, WmiApSrv, "C:\WINDOWS\System32\wbem\wmiapsrv.exe" [MS]
MkS_Scan, MkS_Scan, "E:\Programy\MKS\Bin\mks_scan.exe" [empty string]
MkS_Vir Monitor, MksVirMonSvc, "E:\Programy\MKS\Bin\mksmonsv.exe" [empty string]
MkSUpdateInt, MkSUpdateInt, "E:\Programy\MKS\bin\MkSUpdateInt.exe" ["MkS Sp. z o. o."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
System Startup Service , SvcProc, "c:\windows\SvcProc.exe" [null data]
Usługa administracyjna Menedżera dysków logicznych, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
EDIT:
"Oraz usun ta usluge:
O23 - Service: System Startup Service (SvcProc) - Unknown owner - c:\windows\SvcProc.exe "
Biore scan,zaznaczam Fix checked..po chwili znowu scan i jest dalej:|
Back to top
   
childmaker
Poziom 22
Poziom 22


Joined: 16 Oct 2004
Posts: 2273
Post#45 27 May 2005 19:27   

Re: Pewien Problem wirus
Quote:
Nail niby usuniety.Ale przy wlaczaniu kompa pokazuje się komunikat "Nie mozna odnalezc pliku ...Nail.exe"Jak to wylaczyc z uruchamiania przy starcie?

Jak usuniesz to potem skasuj wpis w hijacku i nie będzie komunikatu.
Quote:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

Back to top
   
Kolobos
Poziom 26
Poziom 26


Joined: 13 Jun 2003
Posts: 27310
Location: Warszawa
Post#46 27 May 2005 19:45   

Pewien Problem wirus
Uruchom regedit przejdz do galezi:
HKey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\

I usun tam te dwa wpisy:

"{38D4D5D0-423E-4220-B6F9-30918C2AE4A4}"

"{FB153DCE-822E-47ec-8D00-2706E7864B37}"


Nastpenie usun killbox'em te dwa pliki:

C:\WINDOWS\KB290333.dll
C:\WINDOWS\frennk.dll

oraz ten:
c:\windows\system32\pkffkfq.exe

Nie zaszkodzi tez jak wkleisz log z tego:
http://forums.net-integration.net/index.php?act=Attach&type=post&id=142443
Back to top
   
szatek009
Poziom 15
Poziom 15


Joined: 25 Apr 2004
Posts: 262
Post#47 Post from the author of the topic 27 May 2005 20:46   

Pewien Problem wirus
Kolbos Prosze log:

Microsoft Windows XP [Wersja 5.1.2600]
PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
»»»»»»»»»»»»»»»»»»»»»»»» Todo Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» aurora Files found »»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Suspect's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Dont delete file's in the section without guidance
If any doubt back them up first

* UPX! C:\WINDOWS\System32\UCSI.EXE
* UPX! C:\WINDOWS\System32\SKANER~1.EXE
* UPX! C:\WINDOWS\System\RS.EXE

»»»»» lagitamate file's can/will show in this section.

* UPX! C:\WINDOWS\JAASTE.DLL
* UPX! C:\WINDOWS\ASSEST.DLL
»»»»»»»»»»»»»»»»»»»»»»»» Buddy file's »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» SAHAgent Files found »»»»»»»»»»»»»»»»»»»»»»»»»

* SAHAgent C:\WINDOWS\System32\GAH95ON6.INI
* SAHAgent C:\WINDOWS\System32\BLN02NQV.INI
* SAHAgent C:\WINDOWS\System32\70TOVMTO.INI
»»»»»»»»»»»»»»»»»»»»»»»» Misc checks »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


»»»»» Check for Windows\SYSTEM32\cache32_rtneg* folder.

Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0C3C-C5E8

Katalog: C:\WINDOWS\SYSTEM32

»»»»» Checking for SAHAgent ico files.
Wolumin w stacji C nie ma etykiety.
Numer seryjny woluminu: 0C3C-C5E8

Katalog: C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»».

HKEY_LOCAL_MACHINE\SOFTWARE\System Updater\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ext\CLSID\{5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors\ZepMon\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Print\Monitors\ZepMon\Driver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Print\Monitors\ZepMon\Driver

LOG z Hijack;)
Logfile of HijackThis v1.99.1
Scan saved at 20:01:51, on 2005-05-27
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Programy\MKS\Bin\NetMonSV.exe
E:\Programy\MKS\Bin\mksmonsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Documents and Settings\szaciu\Pulpit\anty\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\Programy\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Download All by FlashGet - E:\Programy\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\Programy\FlashGet\jc_link.htm
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - E:\Programy\MKS\Bin\NetMonSV.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - E:\Programy\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - E:\Programy\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown owner - E:\Programy\MKS\Bin\mks_scan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Bufor wydruku (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
Chyba w hijack juz wsio ok?:)nie wiem jak wam dziekowac:)
Kolbos znalazles cos nie tak w logu z tego Find Its?
Back to top
   
Kolobos
Poziom 26
Poziom 26


Joined: 13 Jun 2003
Posts: 27310
Location: Warszawa
Post#48 27 May 2005 21:07   

Pewien Problem wirus
To jakis backdoor, oczywiscie do kasacji:
C:\WINDOWS\System32\UCSI.EXE

To tez do wywalenia:
C:\WINDOWS\JAASTE.DLL
C:\WINDOWS\ASSEST.DLL
C:\WINDOWS\System32\GAH95ON6.INI
C:\WINDOWS\System32\BLN02NQV.INI
C:\WINDOWS\System32\70TOVMTO.INI


Tego nie znam:
C:\WINDOWS\System\RS.EXE
Wiec nie wiem ale to raczej nie plik systemowy wiec, mozna wywalic ale na poczatek zgraj go do innego katalogu, jak wszystko bedzie ok po resecie to mozesz wywalic.

Reszta wpisow w logu to pozostalosci po nailu itp:
To powinno wszystko posprzatac:
http://users.pandora.be/bluepatchy/nailfix.zip



Log z Hijackthis juz ok.

Zainstaluj sobie pare przydatnych programow:
http://www.safer-networking.org/pl/mirrors/index.html <- SpyBot S&D -> przeskanuj i wlacz ochrone przegladarki
http://www.javacoolsoftware.com/spywareblaster.html <- SpywareBlaster -> wlacz ochrone przegladarki
http://www.wilderssecurity.net/spywareguard.html <- SpywareGuard

Oraz koniecznie zainstaluj aktualizacje -> www.windowsupdate.com

Nie zaszkodzi tez to:
http://download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
Back to top
   
szatek009
Poziom 15
Poziom 15


Joined: 25 Apr 2004
Posts: 262
Post#49 Post from the author of the topic 27 May 2005 23:58   

Pewien Problem wirus
kolbos dziekiiii:)
Back to top
   
longines
Poziom 19
Poziom 19


Joined: 28 Sep 2004
Posts: 755
Location: Gdańsk
Post#50 28 May 2005 13:31   

Re: Pewien Problem wirus
Ten RS.EXE to PuritySCAN.
Zostawia więcej śladów, anizeli tylko plik wykonawczy.


Odinstaluj go korzystając z gotowego programu:


ps_uninstaller.zip
 Filename:  ps_uninstaller.zip
Download
 Contents:  ps_uninstaller.exe
See all...
 Filesize:  80.77 KB
 Punkty:  0.00
Back to top
   
Pewdalhi
Poziom 2
Poziom 2


Joined: 06 Feb 2006
Posts: 2
Location: Zielona Góra
Post#51 06 Feb 2006 11:23   

Re: Pewien Problem RS32.exe
Logfile of HijackThis v1.99.1
Scan saved at 10:00:02, on 2006-02-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Common Files\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SYSTEM32\RS32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\CheezePopper\cheezpop.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Mariusz Skokowski\Pulpit\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0EEDB912-C5FA-486F-8334-57288578C627} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NexusServer] "C:\Program Files\Common Files\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CheezePopper] C:\Program Files\CheezePopper\cheezpop.exe
O4 - HKCU\..\Run: [SkinClock] C:\Program Files\Clock Tray Skins\ClockTraySkins.exe
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Program Files\XemiComputers\Active Desktop Calendar\ADC.exe
O4 - HKCU\..\Run: [VoipStunt] "C:\Program Files\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Przyspieszenie uruchomienia programu AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Dodaj do filtra - C:\Program Files\MYIE2\config/blacklist.htm
O8 - Extra context menu item: Download with &Shareaza - res://C:\Program Files\Shareaza\Plugins\RazaWebHook.dll/3000
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: System Update (dnetc) - Unknown owner - C:\WINDOWS\SYSTEM32\RS32.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe


Mam problem z RS32.exe, zajmuje mi całego procka, 90 do 99 %, i nie moge go znaleźć nigdzie w systemie. Pomoże ktoś?
Back to top
   
Kolobos
Poziom 26
Poziom 26


Joined: 13 Jun 2003
Posts: 27310
Location: Warszawa
Post#52 06 Feb 2006 12:03   

Pewien Problem wirus
:arrow: Pewdalhi
Przeciez masz podane gdzie jest:
C:\WINDOWS\SYSTEM32\RS32.exe
Zakoncz w menadzerze zadan ten proceso.
Nastepnie w opcjach folderow ustaw pokazywanie plikow ukrytych oraz odznacz ukrywanie plikow chronionych i usun plik.

W hijackthis usun:
O2 - BHO: (no name) - {0EEDB912-C5FA-486F-8334-57288578C627} - (no file)

Usun usluge:
O23 - Service: System Update (dnetc) - Unknown owner - C:\WINDOWS\SYSTEM32\RS32.exe

Start->Uruchom->cmd i tam:
sc stop dnetc
sc delete dnetc
Back to top
   
Pewdalhi
Poziom 2
Poziom 2


Joined: 06 Feb 2006
Posts: 2
Location: Zielona Góra
Post#53 06 Feb 2006 12:31   

Re: Pewien Problem wirus
Dziękuje bardzo. Usunąłem wszystko co miało zwiazek z rs32.exe :D, pomogło
Back to top
   
Post new topic  Reply to topic      Main Page -> Forum Index -> Computer Service -> Computer Software -> Pewien Problem wirus
Page 2 of 2 Go to page Previous  1, 2
Similar topics
Wirus problem z Internetem (13)
Wirus z facebooka (wirus zablokowal fejsa i wyalczyl komputer) (2)
Stworzenie własnej sieci(kabel), mam pewien problem/pytanie? (22)
własne radio w shoutcast pewien maly problem (1)
Neostrada 512kbps i pewien problem? (10)
Pewien problem z Outlook Express (4)
windows xp pewien problem... (5)
Problem z systemem - wirus (32)
Problem z google, czy to wirus? (5)
Windows 7 problem prawdopodnie wirus (11)

Page generation time: 0.303 seconds


FAQ || Administrator || Moderators || Widgets and banners || Contact
elektroda.pl topic RSS feed