slawcool 19.11.05, 14:56 Monitor ArcaVir - znaleziono wirusa C:\WINDOWS\SYSTEM32\WINLOGON.EXE zawiera wzorzec wirusa : W32.Inject.LogonSMDB Wirusa nie da się usunąć Czy ktoś wie jak się tego pozbyć ? taki monit wyświetla ,się z programu ArcaVir Odpowiedz Link Zgłoś czytaj wygodnie posty
login_niedostepny Re: wirus, jak go usunąć ? 19.11.05, 15:04 predzej czy pozniej ktos poprosi cie o wklejenie loga z hijackthis, wiec zrob to lepiej predzej niz pozniej:D Odpowiedz Link Zgłoś
Gość: Kolobos Re: wirus, jak go usunąć ? IP: *.warszawa.sdi.tpnet.pl 19.11.05, 16:13 Musisz wlaczyc konsole odzyskiwania z plyty instalcyjnej i przywrocic plik z plyty instalacyjnej. www.searchengines.pl/phpbb203/index.php?showtopic=14270 Na stronie masz podane jak wypakowac plik itd. Log z hijackthis oczywiscie tez wklej ;-) Odpowiedz Link Zgłoś
slawcool Re: wirus, jak go usunąć ? 19.11.05, 19:26 log Logfile of HijackThis v1.99.1 Scan saved at 17:18:33, on 2005-11-19 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ArcaVir\Bin\NetMonSv.exe C:\Program Files\ArcaVir\Bin\avmonsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\ArcaVir\Bin\arcascan.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Winamp\winampa.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Program Files\ArcaVir\Bin\ABmenu.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\ArcaVir\Bin\ABregmon.exe C:\Program Files\BySoft FreeRAM\FreeRAM.exe C:\Documents and Settings\Sławek\Moje dokumenty\Sławek\Tlen.pl\tlen.exe D:\Programy\eMule\emule.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe C:\PROGRA~1\NEOSTR~1\ComComp.exe C:\PROGRA~1\NEOSTR~1\Watch.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Sławek\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.pl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32 \NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32 \NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32 \spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [ABmenu] C:\Program Files\ArcaVir\Bin\ABmenu.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" - lang 1045 O4 - HKLM\..\Run: [ABREGMON] C:\Program Files\ArcaVir\Bin\ABregmon.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [adiras] adiras.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe O4 - HKCU\..\Run: [Komunikator] C:\Documents and Settings\Sławek\Moje dokumenty\Sławek\Tlen.pl\tlen.exe O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programy\eMule\emule.exe -AutoStart O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840 \dslmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - static.zangocash.com/cab/Zango/ie/bridge-c11.cab O16 - DPF: {AFD8ED36-EA54-11D6-AC3F-00105ADCF632} (Ntw4 Control) - www.supermakler.pkobp.pl/res/ntw4.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{10AEAEB0-C8AC-48D8-87C9-7ACABE76D759}: NameServer = 194.204.152.34 217.98.63.164 O17 - HKLM\System\CS1\Services\Tcpip\..\{10AEAEB0-C8AC-48D8-87C9-7ACABE76D759}: NameServer = 194.204.152.34 217.98.63.164 O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing) O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - C:\Program Files\ArcaVir\Bin\NetMonSv.exe O23 - Service: ArcaVir Monitor (ArcaMonSvc) - ArcaBit - C:\Program Files\ArcaVir\Bin\avmonsv.exe O23 - Service: ArcaScan - ArcaBit - C:\Program Files\ArcaVir\Bin\arcascan.exe O23 - Service: arcaserv - ArcaBit Sp. z o. o. - C:\Program Files\ArcaVir\bin\arcaserv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Odpowiedz Link Zgłoś
Gość: Kolobos Re: wirus, jak go usunąć ? IP: *.warszawa.sdi.tpnet.pl 19.11.05, 19:43 Wywal aplikacje od neostrady: forum.gazeta.pl/forum/72,2.html?f=34&w=15679891&a=15680440 W hijackthis usun: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab <- usun plik O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab <- usun plik O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - static.zangocash.com/cab/Zango/ie/bridge-c11.cab O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing) I skan tym: download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po przeskanowaniu odinstaluj. Odpowiedz Link Zgłoś
slawcool Re: wirus, jak go usunąć ? 21.11.05, 18:36 Kolobos dzięki bardzo chociaż wirek nadal nie usunięty ale za to nabyłem trochę wiedzy na ten temat Przeleciałem też wszystko mks_vir- Skaner On-Line i też nie usunął mi tego Włączyłem skanowanie Antivirem i też wykrył ale coś takiego : is the Trojan horse TR/Agent . HA , czego też nie dało się usunąć podałem log do sprawdzenia , usunąłem to co podałeś ale nadal mam ten monit . Acha tym też przeleciałem download.ewido.net/ewido-setup.exe Podaję jeszcze raz log Logfile of HijackThis v1.99.1 Scan saved at 18:04:40, on 2005-11-21 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ArcaVir\Bin\NetMonSv.exe C:\Program Files\ArcaVir\Bin\avmonsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\ArcaVir\Bin\arcascan.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Winamp\winampa.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\RunDll32.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Program Files\ArcaVir\Bin\ABmenu.exe C:\Program Files\D-Tools\daemon.exe C:\Program Files\ArcaVir\Bin\ABregmon.exe C:\Program Files\BySoft FreeRAM\FreeRAM.exe C:\Documents and Settings\Sławek\Moje dokumenty\Sławek\Tlen.pl\tlen.exe C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe D:\Programy\eMule\emule.exe C:\PROGRA~1\NEOSTR~1\ComComp.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe C:\PROGRA~1\NEOSTR~1\Watch.exe D:\Programy\DC++STRONG\StrongDC.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Sławek\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.pl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32 \NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32 \NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32 \spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [ABmenu] C:\Program Files\ArcaVir\Bin\ABmenu.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" - lang 1045 O4 - HKLM\..\Run: [ABREGMON] C:\Program Files\ArcaVir\Bin\ABregmon.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [adiras] adiras.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Program Files\BySoft FreeRAM\FreeRAM.exe O4 - HKCU\..\Run: [Komunikator] C:\Documents and Settings\Sławek\Moje dokumenty\Sławek\Tlen.pl\tlen.exe O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programy\eMule\emule.exe -AutoStart O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840 \dslmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {AFD8ED36-EA54-11D6-AC3F-00105ADCF632} (Ntw4 Control) - www.supermakler.pkobp.pl/res/ntw4.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{10AEAEB0-C8AC-48D8-87C9-7ACABE76D759}: NameServer = 194.204.152.34 217.98.63.164 O17 - HKLM\System\CS1\Services\Tcpip\..\{10AEAEB0-C8AC-48D8-87C9-7ACABE76D759}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - C:\Program Files\ArcaVir\Bin\NetMonSv.exe O23 - Service: ArcaVir Monitor (ArcaMonSvc) - ArcaBit - C:\Program Files\ArcaVir\Bin\avmonsv.exe O23 - Service: ArcaScan - ArcaBit - C:\Program Files\ArcaVir\Bin\arcascan.exe O23 - Service: arcaserv - ArcaBit Sp. z o. o. - C:\Program Files\ArcaVir\bin\arcaserv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Sprawdzałem i nie znalazłem nigdzie co to może być za wirus/y Może ręcznie można jakoś to pousuwać tylko co to jest i jak to znaleźć. Pozdrawiam . Odpowiedz Link Zgłoś
Gość: k Re: wirus, jak go usunąć ? IP: *.icm.edu.pl / *.icm.edu.pl 21.11.05, 19:03 Przeciez miales podmienic winlogon.exe na czysty z plyty instalacyjnej XP, czemu tego nie zrobiles?! Log z hijackthis jest ok. Odpowiedz Link Zgłoś
slawcool Re: wirus, jak go usunąć ? 21.11.05, 22:31 Próbowałem podmienić winlogon.exe ale nie wychodzi mi to a wpisałem tak : expand e:\i386\winlogon.ex_ c:\windows\system32\winlogon.exe Nie można utworzyć pliku winlogon.exe. zdekompresowano 0 plik(ów) a taki komunikat pojawia sie po wpisaniu polecenia , widocznie coś zrobiłem nie tak chociaż kilka razy próbowałem . Co z tym zrobić ? Odpowiedz Link Zgłoś
Gość: Kolobos Re: wirus, jak go usunąć ? IP: *.warszawa.sdi.tpnet.pl 21.11.05, 22:48 Oczywiscie robisz to z konsoli odzyskiwania? Zanim wypakujesz plik to usun c:\windows\system32\winlogon.exe del c:\windows\system32\winlogon.exe i dopier: expand e:\i386\winlogon.ex_ c:\windows\system32\winlogon.exe Odpowiedz Link Zgłoś
slawcool Re: wirus, jak go usunąć ? 21.11.05, 23:53 oczywiście wszystko z konsoli ale po wpisaniu del c:\windows\system32\winlogon.exe i wcisnięciu enter żadna komenda się nie pojawiła Odpowiedz Link Zgłoś
Gość: Kolobos Re: wirus, jak go usunąć ? IP: *.warszawa.sdi.tpnet.pl 21.11.05, 23:59 attrib -R -S -H c:\windows\system32\winlogon.exe ren c:\windows\system32\winlogon.exe c:\windows\system32\winlogon.old i dopiero expand najlepiej przejdz do C:\Windows\system32 i tam wpisuj juz bez sciezek. Odpowiedz Link Zgłoś
slawcool Re: wirus, jak go usunąć ? 22.11.05, 00:14 to znaczy jak bez ścieżek ? jestem lewy z tego Odpowiedz Link Zgłoś
slawcool Re: wirus, jak go usunąć ? 22.11.05, 00:03 a następnie to samo czyli : expand e:\i386\winlogon.ex_ c:\windows\system32\winlogon.exe Nie można utworzyć pliku winlogon.exe. zdekompresowano 0 plik(ów) No i w tym momencie po wyjściu z konsoli komp już nie odpalił musiałem uruchomić naprawę z płyty . A wirek zaraz przed zalogowaniem do konta na dzień dobry dał znać , a kuku ja tu sobie jestem Odpowiedz Link Zgłoś
Gość: k Re: wirus, jak go usunąć ? IP: *.warszawa.sdi.tpnet.pl 22.11.05, 00:20 Wiec wypakuj do innego katalogu i uzyj: www3.telus.net/_/replacer/ do podmiany plikow. Odpowiedz Link Zgłoś
slawcool Re: wirus, jak go usunąć ? 23.11.05, 16:38 Wypakować z poziomu konsoli czy też replacerem ? Nie wiem jakie komendy użyć do podmiany tych plików sorry ale naprawdę jestem lewy z tego Odpowiedz Link Zgłoś
Gość: k Re: wirus, jak go usunąć ? IP: *.warszawa.sdi.tpnet.pl 23.11.05, 19:19 eh i Ty mi piszesz, zebym nie pisal bzdur... Mozesz podmienic albo tak albo tak! Replacerem latwiej i szybciej, wybierasz plik do podmiany i na co ma byc podmieniony (czyli na rozpakowany expandem winlogon.exe o ile dobrze pamietam ;- )). Odpowiedz Link Zgłoś
slawcool Re: wirus, jak go usunąć ? 23.11.05, 21:49 Przepraszam nie wiedziałem że to Ty .Browca masz u mnie !! Dięki za wszystkie porady do tej pory chociaż męcze się z tym i nic mi nie wychodzi oprucz włosów z głowy Odpowiedz Link Zgłoś
Gość: gosc Re: wirus, jak go usunąć ? IP: *.neoplus.adsl.tpnet.pl 24.11.05, 17:14 Witam!Dostałam przesyłke.... Francis zip nie otworzyłam jeszcze jej,mam podejrzenia,że to wirus,jak mam dalej postępować? liczę na Waszą pomoc,dzięki... Odpowiedz Link Zgłoś
Gość: k Re: wirus, jak go usunąć ? IP: *.warszawa.sdi.tpnet.pl 24.11.05, 22:39 Nie lepiej odrazu wywalic? Spam z virusami sie wywala bez patrzenia co to. Odpowiedz Link Zgłoś