Backdoor.Win32.Plimus.21

IP: 80.72.37.* 30.07.05, 19:11
Witam, pojawia mi się co jakiś (coraz krótszy) czas okno AntiVirenKit - Alarm
Wirusowy, z nastepującymi informacjami:
Próba dostępu do zarażonego pliku
Plik: USERINIT.EXE
Katalog: C:\Windows\System32
Skaner: Sakner KAV
Wirus: Backdoor.Win32.Plimus.21

Potem jest możliwość wyboru jednej z akcji:
- zablokuj dostęp do pliku
- dezynfekuj
- przesuń plik do kwarantanny
- usuń zainfekowany plik

Potem jeszcze oczko do zaznaczenia 'na wszystkie' (sorry, ze przepisuję
wszystko jak małpa, ale nie mam o tym pojęcia).

Z wszystkich opcji działa tylko 'zablokuj dostęp...'. czyściłem dysk przy
pomocy AdAwara (no ale on chyba jest na trojany), próbowałem też mks_vir, ale
mam wrażenie, że się zacina (zwiesza) właśnie kiedy trafia na ten plik. Nie
wiem czy to też przez to, ale czasami komputer zawiesza się w czasie pracy
lub wygasza się monitor (pomaga resetowanie).
Bedę wdzięczny za jakies iformacje jak to cholerstwo załatwić.
Pozdrawiam


    • Gość: Kolobos Re: Backdoor.Win32.Plimus.21 IP: *.warszawa.sdi.tpnet.pl 30.07.05, 19:33
      Skan i usuwanie wszystkiego tym:
      download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
      download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
      przeskanowaniu odinstaluj.

      Nastepnie wklej na forum log z hiajckthis, jak nie wiesz jak to tutaj masz
      instrukcje:
      www.mgregor.republika.pl/
      Sprawdz tez plik userinit.exe tym:
      virusscan.jotti.org/
      I wklej to co wykrylo jak jest zavirusowany to bedziesz musial uruchomic
      konsole odzyskiwania z plyty instalacyjnej XP i wypakowac ten plik na dysk
      podmieniajac ten zakarzony.
      • Gość: L.A.U. Re: Backdoor.Win32.Plimus.21 IP: 80.72.37.* 30.07.05, 20:41
        Wię zafundowałem sobie download.microsoft.com/download/8/1/5/815d2d60-49b5-
        44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
        > download.ewido.net/ewido-setup.exe, zrobiłem update i ... kurcze, nie wiem
        jak to uruchomić:/. na pulpicie mam ikonę tego, ale po kliknieciu na nią
        otwiera mi sie okno z pytaniem czy chcę upadatetować czy kasować? Mam jeszcze
        folder Microsoft/AntiSpyware, ale w środku jest mnóstwo plików, hmmm...
        Moze jakaś podpowiedź?
        • Gość: Kolobos Re: Backdoor.Win32.Plimus.21 IP: *.warszawa.sdi.tpnet.pl 30.07.05, 23:25
          eh uruchom i przeskanuj, co mam Ci wiecej napisac? przeciez nie bede instalowal
          obu programow zeby Ci napisac co masz naciskac :(
          Najpierw robisz update, a pozniej skanujesz, odszukaj stosowny przycisk i go
          nacisnij zapewne z napisane Scan lub podobnie.
    • Gość: L.A.U. Backdoor.Win32.Plimus.21 log z HiJAckThis IP: 80.72.37.* 30.07.05, 21:44
      Logfile of HijackThis v1.99.1
      Scan saved at 21:41:37, on 2005-07-30
      Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\userinit.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE
      C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Gadu-Gadu\gg.exe
      C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
      C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
      C:\Program Files\AntiVirenKit\AVKService.exe
      C:\Program Files\AntiVirenKit\AVKWCtl.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\wdfmgr.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\Olafo\Pulpit\hijackthis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
      Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [websx] C:\Program Files\websx\int113777.exe -auto
      O4 - HKLM\..\Run: [RemoteControl] "C:\Program
      Files\CyberLink\PowerDVD\PDVDServ.exe"
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\userinit.exe
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
      atboottime
      O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\Common Files\G
      DATA\AVKMail\AVKPOP.EXE"
      O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
      AntiSpyware\gcasServ.exe"
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
      Office\Office\OSA9.EXE
      O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program
      Files\Microsoft Office\Office\1045\OLFSNT40.EXE
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
      C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
      00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -
      www.cult3d.com/download/cult.cab
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program
      Files\AntiVirenKit\AVKService.exe
      O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program
      Files\AntiVirenKit\AVKWCtl.exe
      • Gość: Kolobos Re: Backdoor.Win32.Plimus.21 log z HiJAckThis IP: *.warszawa.sdi.tpnet.pl 30.07.05, 23:33
        Musisz uruchomic konsole odzyskiwania z plyty z XP i wpisac tam:
        expand X:\i386\userinit.ex_ C:\Windows\system32\userinit.exe
        Za X wstaw swoja litere cdromu.
        Albo wypakuj sobie np. na C:
        expand X:\i386\userinit.ex_ C:\userinit.exe
        Nastepnie uzyj tego:
        www3.telus.net/_/replacer/
        I przy uzyciu replacer'a podmien plik.

        W hijackthis kasujesz:
        O4 - HKLM\..\Run: [websx] C:\Program Files\websx\int113777.exe -auto <- usuwasz
        w hijackthis, a po resecie kasujesz caly katalog websx
        O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\userinit.exe
Pełna wersja