Wirus ???

IP: *.neoplus.adsl.tpnet.pl 03.07.05, 17:44
Co robić ?Po właczenie internetu po chwili poczta zaczyna mi wysyłać setki
listów Norton Antivirus cały czas pokazuje ze je wysyła ale nie wykrywa
zadnych wirusów...
    • Gość: Kolobos Re: Wirus ??? IP: *.warszawa.sdi.tpnet.pl 03.07.05, 17:58
      Przeskanuj tym:
      download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
      housecall.trendmicro.com/housecall/start_corp.asp
      www.windowsecurity.com/trojanscan/
      www.pandasoftware.com/activescan/pol/activescan_principal.htm
      Na koniec wklej log z hijackthis:
      www.mgregor.republika.pl/
      Najlepiej zrobiony w wchili wysylania.
      • Gość: Tomek Re: Wirus ??? IP: *.neoplus.adsl.tpnet.pl 03.07.05, 22:22
        Żaden anty wirus nie wykrywa tego czegoś... cały czas norton śledzi ze mi sie
        wysyłają setki listów ale nie pokazuje ze to jest wirus czy tez trojan... moze
        macie na to jakąs rade :/
        • neder Re: Wirus ??? 03.07.05, 22:41
          wklej loga z HJ. Kolobos to już z resztą napisał.


          pzdr.
    • Gość: Tomek Re: Wirus ??? log IP: *.neoplus.adsl.tpnet.pl 03.07.05, 23:05
      Logfile of HijackThis v1.99.1
      Scan saved at 22:55:32, on 2005-07-03
      Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Common Files\Symantec Shared\ccApp.exe
      C:\PROGRA~1\NEOSTR~1\CnxMon.exe
      C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
      C:\Program Files\Winamp\winampa.exe
      C:\WINDOWS\System\CSRSS.EXE
      C:\WINDOWS\system32\csmrs.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      D:\Programy zainstalowane\Microsoft AntiSpyware\gcasDtServ.exe
      C:\Program Files\Kerio\Personal Firewall\PERSFW.EXE
      C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
      C:\WINDOWS\system32\wscntfy.exe
      D:\Programy zainstalowane\Norton\navapsvc.exe
      C:\Program Files\Neostrada TP\NeostradaTP.exe
      C:\Program Files\Neostrada TP\ComComp.exe
      C:\Program Files\Neostrada TP\Watch.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Documents and Settings\Admin\Pulpit\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.onet.pl/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
      C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
      c:\program files\google\googletoolbar2.dll
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programy
      zainstalowane\Norton\NavShExt.dll
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
      D:\Programy zainstalowane\Norton\NavShExt.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
      files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
      Shared\ccApp.exe"
      O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec
      Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
      O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1
      \SNDMon.exe /Consumer
      O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
      O4 - HKLM\..\Run: [.svchost] C:\WINDOWS\System\CSRSS.EXE
      O4 - HKLM\..\Run: [WIN95DEFVIEW] C:\WINDOWS\system32\csmrs.exe
      O4 - HKLM\..\Run: [gcasServ] "D:\Programy zainstalowane\Microsoft
      AntiSpyware\gcasServ.exe"
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32
      \spool\drivers\w32x86\3\hpztsb06.exe
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
      \dslmon.exe
      O8 - Extra context menu item: &Google Search - res://c:\program
      files\google\GoogleToolbar2.dll/cmsearch.html
      O8 - Extra context menu item: Backward Links - res://c:\program
      files\google\GoogleToolbar2.dll/cmbacklinks.html
      O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program
      files\google\GoogleToolbar2.dll/cmcache.html
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O8 - Extra context menu item: Similar Pages - res://c:\program
      files\google\GoogleToolbar2.dll/cmsimilar.html
      O8 - Extra context menu item: Translate into English - res://c:\program
      files\google\GoogleToolbar2.dll/cmtrans.html
      O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
      C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
      C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
      00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
      update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120332146687
      O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) -
      www.windowsecurity.com/trojanscan/axscan.cab
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{8E5E6337-A3BA-429B-A115-A9796D498B8C}:
      NameServer = 194.204.152.34 217.98.63.164
      O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
      C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
      O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -
      C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
      O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
      C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
      O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) -
      Symantec Corporation - D:\Programy zainstalowane\Norton\navapsvc.exe
      O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies -
      C:\Program Files\Kerio\Personal Firewall\persfw.exe
      O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
      C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
      Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program
      Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

      • Gość: Tomek Re: Wirus ??? IP: *.neoplus.adsl.tpnet.pl 03.07.05, 23:19
        Chciałbym jeszcze dodać ze zainstalowałem własnie firewall'a i nawet nie
        pierdnął ;) jak mi sie znów tysiące listów zaczęło wysyłać... "fak" ze tak sie
        wyraze ;)
      • neder Re: Wirus ??? log 03.07.05, 23:26
        ja tu widzę syfka w logu ;p
        > C:\WINDOWS\system32\csmrs.exe

        " When first run, W32/Dedler-B will copy itself to the Windows system folder as
        CSMRS.EXE"
        www.sophos.com/virusinfo/analyses/w32dedlerb.html
        poczytaj, usuń, zobacz czy ciagle będzie to samo.

        i jeszcze na twoim miejscu odinstalowałabym aplikację neostrady, uruchamia tylko
        mnóstwo procesów a jest zbędna. jak utworzyć połączenie ręczne masz tutaj
        forum.gazeta.pl/forum/72,2.html?f=34&w=15679891&a=15680440
        po ustanowieniu połaczenia ręcznego musisz odinstalować całą aplikację neo
        (dodaj/usuń programy), sterowniki do modemu, czyli to co najważniejsze i
        faktycznie potrzebne zostanie.
        • Gość: Tomek Re: Wirus ??? log IP: *.neoplus.adsl.tpnet.pl 03.07.05, 23:44
          Popatrzyłem usunąłem i dalej jest kupa... taaaka wielka ;)
      • Gość: Kolobos Re: Wirus ??? log IP: *.warszawa.sdi.tpnet.pl 04.07.05, 07:30
        W hijackthis usun te wpisy:

        O4 - HKLM\..\Run: [.svchost] C:\WINDOWS\System\CSRSS.EXE
        O4 - HKLM\..\Run: [WIN95DEFVIEW] C:\WINDOWS\system32\csmrs.exe

        Nastepnie zamykasz w menadzerze zadan te dwa procesy:
        CSRSS.EXE
        csmrs.exe

        I kasujesz pliki:
        C:\WINDOWS\System\CSRSS.EXE
        C:\WINDOWS\system32\csmrs.exe

        Wiec jeszcze jeden do kasacji :-)

        O tego masz:
        www.symantec.com/avcenter/venc/data/pwsteal.ldpinch.e.html
        Zobacz czy wylaczyl Ci ktoras z podanych uslug.

        Te maile to co Ci wysyla? Outlook?
        • Gość: Tomek Re: Wirus ??? log IP: *.neoplus.adsl.tpnet.pl 04.07.05, 09:25
          teraz po usunięciu tego co mi napisałeś (dzięki) nic sie nie wysyła... A nie
          wiem co wysyłało te maile w outlooku nic sie nie wyświetlało ze jakieś maile
          były wysłane ale norton mi pokazywał stan na bieżąco ze sie jakieś tam maile
          wysyłają i było ich bardzo dużo... teraz nie działa mi funkcja live update w
          windowsie nigdzie sie jej nie da właczyć,w panelu sterowania pokazuje ze
          funkcja update jest ustawiona na automatycznie ale po właczeniu komputera
          pokazuje sie dymek ze update nie jest właczone :/. Jeszcze w nortonie po
          właczeniu komputera funkcja auto-protect włącza sie nienaturalnie długo około
          10 minut... przedtem było to zaraz po właczeniu systemu...
          • Gość: Kolobos Re: Wirus ??? log IP: *.warszawa.sdi.tpnet.pl 04.07.05, 10:35
            Sciagaj poprawki recznie z www.windowsupdate.com o ile Ci dziala?
            Nortona wywal i zastap go:
            www.kerio.com/kpf_home.html
            www.avast.com/eng/avast_4_home.html
            Poczytaj dokladnie o obu tych trojanach czy co to bylo i zobacz co dokladnie
            zablokowaly bo w tym drugim widzialem liste uslug i plikow, ktore blokowal
            dlatego napisalem Ci w poprzednim poscie zebys sprawdzil.
            • Gość: Tomek Re: Wirus ??? log IP: *.neoplus.adsl.tpnet.pl 04.07.05, 12:15
              Wywaliłem Nortona i zainstalowałem Avasta....A co do Update Własnie ręcznie tez
              sie nie da zrobić :/ nic nie pisze aby te wirusy blokowały update :/ nie wiem
              gdzie to jeszcze moge poszperać aby odblokować update bo w panelu sterowania
              pisze ze jest na automatycznie a dymek cały czas wyskakuje ze są wyłączone :|
              • Gość: Kolobos Re: Wirus ??? log IP: *.warszawa.sdi.tpnet.pl 04.07.05, 12:35
                No jak nie jak tak, dostales nawet link...

                www.sophos.com/virusinfo/analyses/w32dedlerb.html
                W32/Dedler-B will attempt to disable and delete the following security related
                services:
                wuauserv <- aktualizacje automatyczne

                Wiec pewnie usunal Ci ta usluge, zobacz czy masz ta usluge i zobacz czy jest
                wlaczona.

                Sporbuj tez Start->Uruchom->cmd i tam wpisz:
                net stop wuauserv
                regsvr32 wups.dll
                regsvr32 wuapi.dll
                regsvr32 wuaueng.dll
                net start wuauserv

                I zobacz czy zadziala jak nie to bede musial poszukac jak to naprawic ;-)
                • Gość: Tomek Re: Wirus ??? log IP: *.neoplus.adsl.tpnet.pl 04.07.05, 13:16
                  Jestem Ci dozgonnie wdzięczny Kolobos, zadziałało i teraz wszystko jest lux w
                  systemie :D Dzięki
Pełna wersja