Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Wyszukaj w ofercie 200 tys. produktów TME
Europejski lider sprzedaży techniki i elektroniki.
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

prosze o sprawdzenie loga

mosfet 03 Kwi 2006 21:34 912 7
  • #1 03 Kwi 2006 21:34
    mosfet
    Poziom 25  

    Jakis wirus albo robal bezustannie zaklada plik c:\



    Log z Hijack This:

    Logfile of HijackThis v1.99.1
    Scan saved at 21:30:29, on 2006-04-03
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\ptmn.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
    C:\WINDOWS\system32\nvsvc32.exe
    C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Documents and Settings\Administrator\Pulpit\HijackThis.exe
    C:\totalcmd\WINCMD32.EXE
    C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll




    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SysTray] C:\Program Files\ptmn.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Program Files\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
    O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe"
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe



    Prosze o porady co robic. Leczenie Hijackiem nic nie daje, oproznienie folderu
    C:\Program Files\Common Files\Microsoft Shared\Web Folders
    (wlacznie z pikami ukrytymi) nic nie dalo.

    pliku c:"\wininstall.exe nie ma nigdy sie nie pojawial.

    0 7
  • Pomocny post
    #2 03 Kwi 2006 21:58
    paweliw
    Spec od komputerów

    Fix w hijackthis
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html <-usuń plik
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
    O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe" <-plik usuń
    Nie wiem co to jest:
    C:\Program Files\ptmn.exe
    O4 - HKLM\..\Run: [SysTray] C:\Program Files\ptmn.exe
    Jak Ty też nie wiesz, zakończ proces i usuń plik.

    Przeskanuj system tym:
    skaner online http://www.spywareinfo.com/xscan.php
    ftp://download.hirekmedia.hu/ssfsetup1_0.exe <- zrób update przed skanowaniem, po przeskanowaniu odinstaluj.
    http://download.ewido.net/ewido-setup.exe <- zrób update przed skanowaniem, po przeskanowaniu odinstaluj.

    Jeżeli w nowym logu pojawi Ci się dalej wpis z ibm00003.exe mimo usunięcia pliku sprawdź w rejestrze w kluczu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon czy wartość Shell ma tylko wpis Explorer.exe, cokolwiek więcej jest do usunięcia.

    Po wszystkim wklej nowy log z hijackthis.

    Ponadto masz dużo zbędnych programów uruchamianych w autostarcie (O4 w logu), zastanów się czy wszystkie są Ci potrzebne przy starcie systemu.

    0
  • #3 04 Kwi 2006 17:09
    artur.lubin
    Poziom 25  

    Miałem identyczny problem z wirusem pod XP (te same pliki + jeszcze kilka innych, niebieska strona secure32 w IE). Po usunięciu wszystkich jego komponentów (standardowe wyczyszczenie antywirusem) przeskanowanie programem antyspyware (Spy cleaner Gold) usunięciu plików z dysku "c:" folderów "program files" windows" "system32" pulpitu, moich dokumentów itd. Wyłączeniu go w msconfig (uruchamianie), usunięciu wpisów w rejestrze i jeszcze kilku operacjach antywirus już nic nie wykrył i antyspyware też. Całą operację wykonywałem przy wyłączonym routerze DSL. Dopóki modem był wyłączony system chodził stabilnie nic się nie działo, ślad po wirusie zaginął (nawet się z w msconfig nie pojawiło nic). Jednak z chwilą wciśnięcia przycisku od routera powstała inwazja. Antywirus raz po raz wykrywał te same pliki co wcześniej, SpyCleaner zauważył próbę ingerencji w rejestr.
    Moje pytanie: Jak skutecznie usunąć tego syfa?

    0
  • #4 04 Kwi 2006 17:21
    md
    Poziom 39  

    Problemem nie jest usunięcie, ale zabezpieczenie przed kolejnymi atakami. Twój problem jest typowym problemem użytkowników Windowsa bez aktualizacji łatkami krytycznymi, a bywa również, że bez SP2. Najczęściej właśnie taki przebieg ma walka z wirusami na pirackich Windowsach, których użytkownicy nie są w stanie zainstalować SP2 i późniejszych łatek. Części problemów można uniknąć używając przeglądarki innej niż IE.

    0
  • #5 04 Kwi 2006 18:55
    paweliw
    Spec od komputerów

    artur.lubin :arrow:

    Z tego co piszesz wynika, że nie usunąłeś wszyskiego z systemu co dotyczyło robactwa.
    Może nie usunąłeś plików tymczasowych (także internetowych), nie wyłączyłeś przywracania systemu, nie sprawdziłeś katalogu c:\WINDOWS\Prefetch\ itp.
    Ponadto msconfig nie jest miejscem ani sposobem na usuwanie robactwa ! To tylko wyłącznik pewnych opcji, niczego na dobre nie usuwa !
    Niestety md ma rację, żeby być bezpiecznym trzeba mieć conajmniej SP1 (najlepiej jednak SP2) i wszystkie łatki krytyczne (dostępne są nawet dla nielegalnych wersji XP na stronach M$). Zawsze prościej jest zabezpieczać niż leczyć.

    Na Twoim miejscu poszukałbym "swojej" tapety tutaj: http://www.searchengines.pl/phpbb203/index.php?showtopic=31936 i próbował usunąć jej skutki.
    Wklej też log z hijackthis.

    0
  • #6 04 Kwi 2006 19:13
    artur.lubin
    Poziom 25  

    Miejsca, które opisał Paweliw też "oczyściłem" a przywracanie było wyłączone. Co do łatek i SP2 to macie rację. Nie ma ich. Komputer, o którym wyżej wspomniałem należy do mojego kolegi, który regularnie odwiedza strony XXX :). Ja tylko czasem wpadam usunąć skutki jego zainteresowań (poza oglądaniem "natury" i słuchaniem mp3 nie potrafi dobrze programu zainstalować). Kolega ma antywirus, który nie zrywa połączenia z zarażonymi stronami.

    Życie w moim komputerze jest non-stop przeze mnie monitorowane dlatego ja na szczęście wirusy omijam z daleka.

    PAWELIW usuń link do strony z wirusem gdyż ktoś przypadkowy może się na niego natknąć ;)
    Mi nie udało się wejść na nią bo AV zerwał połączenie ze stroną.

    Aha co sądzicie o skuteczności Norton AntyVirusa 2005?

    Pozdrawiam
    Artur

    0
  • #7 04 Kwi 2006 19:50
    paweliw
    Spec od komputerów

    artur.lubin napisał:
    PAWELIW usuń link do strony z wirusem gdyż ktoś przypadkowy może się na niego natknąć ;)
    Mi nie udało się wejść na nią bo AV zerwał połączenie ze stroną.

    Aha co sądzicie o skuteczności Norton AntyVirusa 2005?


    Chodzi Ci o ten link http://www.searchengines.pl/phpbb203/index.php?showtopic=31936 ?
    Tam nie ma żadnego wirusa ! Są jedynie opisy usuwania "opornych" pulpitów !

    Jeżeli Twój antywirus nie pozwala na połączenie z tą stroną to dla mnie wystarczający powód by go zmienić (prawdopodobnie znajduje fragmenty kodu "robactwa" i traktuje je jako zagrożenie, co jest bzdurą totalną).

    Tematów o opiniach użytkowników o różnych antywirusach jest na forum mnóstwo, wystarczy użyć SZUKAJ

    0
  • #8 04 Kwi 2006 20:24
    artur.lubin
    Poziom 25  

    Mnie wyskakuje informacja, że znaleziono na stronie egzemplarz: unp102111155 win32small-LX (trj) Co do stronki otwarłem ją. Faktycznie mój AV zrobił mnie w balona :) (ale wolę to niż miałby przepuszczać robaczki)

    Informacje na podanej stronie bardzo przydatne za co dzięki bardzo.

    0
TME logo Szukaj w ofercie
Zamknij 
Wyszukaj w ofercie 200 tys. produktów TME
TME Logo