bloodhound raz jeszcze

[Gość: Kuba]

Witam i prosze o pomoc.
Norton wykrył wirusa bloodhound, nie może go zlikwidować ani poddać
kwarantannie.
Poza tym komputer mój praktycznie przestał chodzić- bez przerwy się zawiesza,
Czy jest to spowodowane działaniem tego wirusa - jakie jest zagrożenie i co
mam teraz zrobić. czy moge postępować wg wskazówek udzielonych wczesniejszym
uzytkownikom, którzy mieli tego wirusa?
dzieki za pomoc

[netsec]

Gość portalu: Kuba napisał(a):

> Witam i prosze o pomoc.
> Norton wykrył wirusa bloodhound, nie może go zlikwidować ani poddać
> kwarantannie.
> Poza tym komputer mój praktycznie przestał chodzić- bez przerwy się zawiesza,
> Czy jest to spowodowane działaniem tego wirusa - jakie jest zagrożenie i co
> mam teraz zrobić. czy moge postępować wg wskazówek udzielonych wczesniejszym
> uzytkownikom, którzy mieli tego wirusa?
> dzieki za pomoc

Wklej log z HiJackThis.

[Gość: kuba]

log: czy to o to chodzi? co dalej

Logfile of HijackThis v1.98.0
Scan saved at 19:49:53, on 2004-08-21
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrator.PHS\Pulpit\kubaaa\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll (file
missing)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} -
C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [imekrmig7.0] "C:\Program Files\Common Files\Microsoft
Shared\IME\IMKR7\IMEKRMIG.EXE"
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1
\IME\IMSC40A\IMSCMIG.EXE /Précharger
O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Common Files\Microsoft
Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync
O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft
Shared\IME\IMTC65\PHONÉTIQUE\TINTLCFG.EXE /PHIMETIPSync
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9
\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update
Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium
Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date
Manager\DateManager.exe
O4 - Global Startup: Pervasive.SQL Workgroup Engine.lnk =
C:\PVSW\Bin\W3DBSMGR.EXE
O4 - Global Startup: Symfonia® PDF.lnk = C:\WINDOWS\system32\PDFSaver.exe
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) -
217.11.152.46/iNotes.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = EUREX
O17 - HKLM\Software\..\Telephony: DomainName = EUREX
O17 - HKLM\System\CCS\Services\Tcpip\..\{123449CC-11A7-4289-8ADE-2C752CB4D38E}:
NameServer = 192.168.0.1,195.114.173.153,195.114.181.130
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = EUREX
O17 - HKLM\System\CS1\Services\Tcpip\..\{123449CC-11A7-4289-8ADE-2C752CB4D38E}:
NameServer = 192.168.0.1,195.114.173.153,195.114.181.130
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = EUREX
O17 - HKLM\System\CS2\Services\Tcpip\..\{123449CC-11A7-4289-8ADE-2C752CB4D38E}:
NameServer = 192.168.0.1,195.114.173.153,195.114.181.130
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = EUREX
O17 - HKLM\System\CS3\Services\Tcpip\..\{123449CC-11A7-4289-8ADE-2C752CB4D38E}:
NameServer = 192.168.0.1,195.114.173.153,195.114.181.130

[netsec]

Gość portalu: kuba napisał(a):

> log: czy to o to chodzi? co dalej
>
> Logfile of HijackThis v1.98.0
> Scan saved at 19:49:53, on 2004-08-21
> Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
połączenia do Internetu. Tu jest opis jak to wykonać
www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
Wyłącz przywracanie systemu (tylko XP i Me)
support.microsoft.com/default.aspx?scid=kb;pl;310405
Uruchom komputer w trybie awaryjnym:
support.microsoft.com/default.aspx?scid=KB;PL;315222
Po uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll (file
missing)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} -
C:\WINDOWS\system32\dla\tfswshx.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

Po zaznaczeniu wykonaj FIX CHECKED i OK.

Odinstaluj w Panelu sterowania Dodaj/Usuń programy wszystkie
programy, co do których nie masz pewności, że Ci są potrzebne.

Usuń w Opcjach Internetowych Tymczasowe pliki Internetowe.

Uruchom komputer w normalny sposób.

Dodatkowo przeskanuj system Ad-aware.
download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=button

Przed skanowaniem Ad-aware zmień ustawienia na opisane tu
ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
Zdecyduj się na jeden program antywirusowy.
Panda albo Norton, dwa rezydentne sknery mogą się wzajemnie zakłócać.
Ważne jest aby program antywirusowy miał na bieżąco aktualizowana bazę wirusów.

Połącz się www.windowsupdate.com i zaktualizuj system o wszystkie
krytyczne poprawki. Tutaj masz więcej na ten temat
www.microsoft.com/poland/security/protect/windowsxp/updates.aspx
Po wszystkim dla pewności, wklej nowego loga z HiJackThis, może coś się jeszcze
pojawi.

[Gość: kuba]

wielkie dzieki, zastosowałem sie do instrukcji, chyba juz jest w porzadku, nie
jestem tylko pewny czy ten wirus nie narobił jakis zniszczeń w plikach innych
osób użytkujących ten komputer.

ogfile of HijackThis v1.98.0
Scan saved at 21:40:39, on 2004-08-21
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Canon\MultiPASS\mpservic.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~2\VPTray.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\APVXDWIN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\PVSW\Bin\W3DBSMGR.EXE
C:\WINDOWS\system32\PDFSaver.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\philippe\Pulpit\kuba\programy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [imekrmig7.0] "C:\Program Files\Common Files\Microsoft
Shared\IME\IMKR7\IMEKRMIG.EXE"
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1
\IME\IMSC40A\IMSCMIG.EXE /Précharger
O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Common Files\Microsoft
Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync
O4 - HKLM\..\Run: [PHIMETIPSYNC] C:\Program Files\Common Files\Microsoft
Shared\IME\IMTC65\PHONÉTIQUE\TINTLCFG.EXE /PHIMETIPSync
O4 - HKLM\..\Run: [IMJPMIG9.0] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMJP9
\IMJPMIG.EXE /Preload /Migration32
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\Common Files\Sonic\Update
Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium
Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date
Manager\DateManager.exe
O4 - Global Startup: Pervasive.SQL Workgroup Engine.lnk =
C:\PVSW\Bin\W3DBSMGR.EXE
O4 - Global Startup: Symfonia® PDF.lnk = C:\WINDOWS\system32\PDFSaver.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) -
217.11.152.46/iNotes.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = EUREX
O17 - HKLM\Software\..\Telephony: DomainName = EUREX
O17 - HKLM\System\CCS\Services\Tcpip\..\{123449CC-11A7-4289-8ADE-2C752CB4D38E}:
NameServer = 192.168.0.1,195.114.173.153,195.114.181.130
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = EUREX
O17 - HKLM\System\CS1\Services\Tcpip\..\{123449CC-11A7-4289-8ADE-2C752CB4D38E}:
NameServer = 192.168.0.1,195.114.173.153,195.114.181.130
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = EUREX
O17 - HKLM\System\CS2\Services\Tcpip\..\{123449CC-11A7-4289-8ADE-2C752CB4D38E}:
NameServer = 192.168.0.1,195.114.173.153,195.114.181.130
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = EUREX
O17 - HKLM\System\CS3\Services\Tcpip\..\{123449CC-11A7-4289-8ADE-2C752CB4D38E}:
NameServer = 192.168.0.1,195.114.173.153,195.114.181.130

mam jeszce problem z Panda która nie chce sie dac odinstalować , wyświetla
się komunikat, że windows nie moze otworzyć pliku setup.ilg

Dzieki raz jeszcze

[netsec]

Gość portalu: kuba napisał(a):

> wielkie dzieki, zastosowałem sie do instrukcji, chyba juz jest w porzadku,
nie
> jestem tylko pewny czy ten wirus nie narobił jakis zniszczeń w plikach innych
> osób użytkujących ten komputer.
>
> ogfile of HijackThis v1.98.0
> Scan saved at 21:40:39, on 2004-08-21
> Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Wyłącz przywracanie systemu (tylko XP i Me)
support.microsoft.com/default.aspx?scid=kb;pl;310405
Uruchom komputer w trybie awaryjnym:
support.microsoft.com/default.aspx?scid=KB;PL;315222
Po uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.
Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje:

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium
Antivirus 2004\APVXDWIN.EXE" /s
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date
Manager\DateManager.exe
O16 - DPF: {1E2941E3-8E63-11D4-9D5A-00902742D6E0} (iNotes Class) -
217.11.152.46/iNotes.cab

Po zaznaczeniu wykonaj FIX CHECKED i OK.

Uruchom komputer w normalny sposób.

Dodatkowo przeskanuj system Ad-aware.
download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=button

Przed skanowaniem Ad-aware zmień ustawienia na opisane tu
ralphcaddell.com/pchelp/Ad-aware%20instructions.htm

[Gość: kuba]

wielkie dzieki
trzymam sie insrukcji, przeskanowałem też nortonem który nic nie wykrył.
niestety nie moge odinstalować pandy, ale wysłałem post do ich serwisu, może
będą coś w stanie pomóc.
Jescze raz dziekuje, pozdrawiam.