Malware

01.12.05, 16:52
Przy skanowaniu avastem znajduje mi wirusa o nazwie: vbs: malware [gen], jak
skanuje ad-awarem znajduje mi kilka Malware w kluczach rejestru. Jak sie tego
pozbyc?
    • konfi1 Re: Malware 01.12.05, 16:53
      + co powoduje ten wirus?!
    • neder Re: Malware 01.12.05, 16:56
      jak się pozbyć? np usunąć?
      www.google.pl/search?hl=pl&q=vbs%3A+malware+%5Bgen%5D&btnG=Szukaj&lr=
      bodajże drugi link.
      pzdr
      • konfi1 Re: Malware 01.12.05, 17:35
        chyba jednak nic tam nie znalazłam :/
        • neder Re: Malware 01.12.05, 18:12
          chciałaś wiedzieć co to i 'cp powoduje ten wirus', no i opis tam masz, prawda?
          wklej log z HijackThis.
          • konfi1 Re: Malware 01.12.05, 19:02
            tak, o tym przeczytalam, ale nie znalazlam instrukcji usuwania tego :/

            log:

            Logfile of HijackThis v1.99.1
            Scan saved at 19:00:04, on 2005-12-01
            Platform: Windows XP (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 (6.00.2600.0000)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\WINDOWS\Explorer.EXE
            C:\Program Files\Winamp\winampa.exe
            C:\WINDOWS\System32\RunDll32.exe
            C:\Program Files\QuickTime\qttask.exe
            C:\Program Files\Logitech\iTouch\iTouch.exe
            C:\Program Files\DAP\DAP.EXE
            C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
            C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
            C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
            C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
            C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
            C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
            C:\WINDOWS\System32\ctfmon.exe
            C:\Program Files\Messenger\msmsgs.exe
            C:\Program Files\WinZip\WZQKPICK.EXE
            C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
            C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
            C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            C:\Program Files\Alwil Software\Avast4\ashServ.exe
            D:\Web\Webshots\webshots.scr
            C:\WINDOWS\system32\drivers\KodakCCS.exe
            C:\WINDOWS\System32\nvsvc32.exe
            C:\WINDOWS\System32\ScsiAccess.EXE
            C:\WINDOWS\system32\ZONELABS\vsmon.exe
            C:\PROGRA~1\INCRED~1\bin\IMApp.exe
            C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
            C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
            C:\Program Files\Mozilla Firefox\firefox.exe
            C:\Documents and Settings\Paula\Pulpit\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            www.interia.pl/
            R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
            Settings,ProxyOverride = localhost
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program
            Files\DAP\DAPBHO.dll
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
            C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWS\System32\msdxm.ocx
            O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
            O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
            O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
            O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
            O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
            -atboottime
            O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
            O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
            O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
            O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
            Files\Java\jre1.5.0_04\bin\jusched.exe
            O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
            Shared\Security Center\UsrPrmpt.exe
            O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
            C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
            O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
            Files\HP\hpcoretech\hpcmpmgr.exe"
            O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP
            Software Update\HPWuSchd2.exe"
            O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
            O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
            O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
            O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
            O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\PowerGG.exe"
            O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
            O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
            O4 - Startup: Webshots.lnk = D:\Web\Webshots\Launcher.exe
            O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
            O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak
            EasyShare software\bin\EasyShare.exe
            O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK
            Software Updater\7288971\Program\backWeb-7288971.exe
            O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program
            Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
            O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone
            Labs\ZoneAlarm\zonealarm.exe
            O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
            Files\Adobe\Calibration\Adobe Gamma Loader.exe
            O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
            C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
            O8 - Extra context menu item: &Download with &DAP - C:\Program
            Files\DAP\dapextie.htm
            O8 - Extra context menu item: Download &all with DAP - C:\Program
            Files\DAP\dapextie2.htm
            O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
            res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
            C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
            O9 - Extra 'Tools' menuitem: Sun Java Console -
            {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
            Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
            O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} -
            C:\PROGRA~1\DAP\DAP.EXE
            O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
            C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
            O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
            C:\WINDOWS\web\related.htm
            O9 - Extra 'Tools' menuitem: Show &Related Links -
            {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
            O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
            C:\Program Files\Messenger\MSMSGS.EXE
            O9 - Extra 'Tools' menuitem: Windows Messenger -
            {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
            O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
            static.windupdates.com/cab/MusicUnlimited/ie/Bridge-c106.cab
            O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
            static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
            O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11)
            - advnt01.com/dialer/internazionale_ver11.CAB
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
            O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) -
            www5.incredimail.com/contents/setup/downloader/imloader.cab
            O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashServ.exe
            O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashMaiSv.exe" /service (file missing)
            O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashWebSv.exe" /service (file missing)
            O23 - Service: Kodak Camera Connection Software (KodakCCS)
            • Gość: k Re: Malware IP: *.icm.edu.pl / *.icm.edu.pl 01.12.05, 20:16
              Odinstaluj Logitech Desktop Messenger
              Usun:
              O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
              static.windupdates.com/cab/MusicUnlimited/ie/Bridge-c106.cab
              O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -
              static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
              O16 - DPF: {D19781C5-2051-44F8-8445-DDC82933C191} (VacPro.internazionale_ver11)
              - advnt01.com/dialer/internazionale_ver11.CAB

              Tego vbs costam tez usun.

              Przeskanuj tez tym:
              download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
              przeskanowaniu odinstaluj.
              Zamknij porty tym:
              www.firewallleaktester.com/tools/wwdc.exe
              • konfi1 Re: Malware 01.12.05, 22:28
                troche mi to zajelo, ale zrobiłam wszystko tak jak napisales:)

                nowy log:

                Logfile of HijackThis v1.99.1
                Scan saved at 22:24:42, on 2005-12-01
                Platform: Windows XP (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\system32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
                C:\WINDOWS\system32\spoolsv.exe
                C:\WINDOWS\Explorer.EXE
                C:\Program Files\Winamp\winampa.exe
                C:\WINDOWS\System32\RunDll32.exe
                C:\Program Files\QuickTime\qttask.exe
                C:\Program Files\Logitech\iTouch\iTouch.exe
                C:\Program Files\DAP\DAP.EXE
                C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
                C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
                C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
                C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
                C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
                C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                C:\WINDOWS\System32\ctfmon.exe
                C:\Program Files\Messenger\msmsgs.exe
                C:\Program Files\WinZip\WZQKPICK.EXE
                C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
                C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
                C:\Program Files\Zone Labs\ZoneAlarm\zonealarm.exe
                D:\Web\Webshots\webshots.scr
                C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                C:\Program Files\Alwil Software\Avast4\ashServ.exe
                C:\WINDOWS\system32\drivers\KodakCCS.exe
                C:\WINDOWS\System32\nvsvc32.exe
                C:\PROGRA~1\INCRED~1\bin\IMApp.exe
                C:\WINDOWS\System32\ScsiAccess.EXE
                C:\WINDOWS\system32\ZONELABS\vsmon.exe
                C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
                C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
                C:\WINDOWS\System32\wuauclt.exe
                C:\Program Files\Mozilla Firefox\firefox.exe
                C:\Documents and Settings\Paula\Pulpit\HijackThis.exe

                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                www.interia.pl/
                R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
                Settings,ProxyOverride = localhost
                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program
                Files\DAP\DAPBHO.dll
                O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
                O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                C:\WINDOWS\System32\msdxm.ocx
                O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
                O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
                O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
                O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
                -atboottime
                O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
                O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
                O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program Files\DAP\DAP.EXE" /STARTUP
                O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
                Files\Java\jre1.5.0_04\bin\jusched.exe
                O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
                Shared\Security Center\UsrPrmpt.exe
                O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
                C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
                O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
                Files\HP\hpcoretech\hpcmpmgr.exe"
                O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP
                Software Update\HPWuSchd2.exe"
                O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
                O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
                O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\PowerGG.exe"
                O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
                O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
                O4 - Startup: Webshots.lnk = D:\Web\Webshots\Launcher.exe
                O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
                O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak
                EasyShare software\bin\EasyShare.exe
                O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK
                Software Updater\7288971\Program\backWeb-7288971.exe
                O4 - Global Startup: ZoneAlarm.lnk = C:\Program Files\Zone
                Labs\ZoneAlarm\zonealarm.exe
                O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
                Files\Adobe\Calibration\Adobe Gamma Loader.exe
                O8 - Extra context menu item: &Add animation to IncrediMail Style Box -
                C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
                O8 - Extra context menu item: &Download with &DAP - C:\Program
                Files\DAP\dapextie.htm
                O8 - Extra context menu item: Download &all with DAP - C:\Program
                Files\DAP\dapextie2.htm
                O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
                O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
                C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
                O9 - Extra 'Tools' menuitem: Sun Java Console -
                {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
                Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
                O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
                C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                C:\Program Files\Messenger\MSMSGS.EXE
                O9 - Extra 'Tools' menuitem: Windows Messenger -
                {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
                O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
                O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) -
                www5.incredimail.com/contents/setup/downloader/imloader.cab
                O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
                C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
                Software\Avast4\ashServ.exe
                O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
                Software\Avast4\ashMaiSv.exe" /service (file missing)
                O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
                Software\Avast4\ashWebSv.exe" /service (file missing)
                O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak
                Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
                O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
                C:\WINDOWS\System32\nvsvc32.exe
                O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
                O23 - Service: StyleXPService - Unknown owner - C:\Program
                Files\TGTSoft\StyleXP\StyleXPService.exe
                O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Program Files\Common
                Files\Symantec Shared\Security Center\SymWSC.exe (file missing)
                O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. -
                C:\WINDOWS\system32\ZONELABS\vsmon.exe


                czy teraz juz wszystko w porzadku?
                a powiedz mi jeszcze, dlaczego musialam tamten program? znalazl mi troche
                spyware'ow, mysle, ze jest całkiem dobry. nie mozna go miec na stale?

                pozdrawiam i dziekuje:)
                • neder Re: Malware 01.12.05, 22:36
                  ewido nie może być na stałe bo ta wersja to tylko trial, za pełną trzeba by było
                  zapłacić. jeśli czujesz że komp Ci troche muli to pomyśl o wywaleniu paru rzeczy
                  z autostartu. masz tam kilka procesów zupełnie zbędnych.
                  pzdr
                  • konfi1 Re: Malware 01.12.05, 23:38
                    no troche muli.. ale co moge wywalic? bo ja kompletnie nie wiem.
                    • neder Re: Malware 02.12.05, 12:14
                      > O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                      > O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
                      > O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
                      -atboottime
                      > O4 - HKLM\..\Run: [DownloadAccelerator] "C:\Program
                      Files\DAP\DAP.EXE" /STARTUP
                      > O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
                      Files\Java\jre1.5.0_04\bin\jusched.exe
                      > O4 - HKLM\..\Run: [HPDJ Taskbar Utility]
                      C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
                      > O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
                      Files\HP\hpcoretech\hpcmpmgr.exe"
                      > O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP
                      Software Update\HPWuSchd2.exe"
                      > O4 - HKLM\..\Run: [RemoteControl] "C:\Program
                      Files\CyberLink\PowerDVD\PDVDServ.exe"
                      > O4 - Startup: Webshots.lnk = D:\Web\Webshots\Launcher.exe
                      > O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program
                      Files\WinZip\WZQKPICK.EXE
                      > O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program
                      Files\Kodak\Kodak
                      EasyShare software\bin\EasyShare.exe
                      > O4 - Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK
                      Software Updater\7288971\Program\backWeb-7288971.exe
                      > O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
                      Files\Adobe\Calibration\Adobe Gamma Loader.exe

                      To jak dl amnie minimum ale parę innych by sie jeszcze znalazło ;)



                      wywaliłabym też to:
                      O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
                      Shared\Security Center\UsrPrmpt.exe -> to cos od Nortona. Masz go jeszcze? bo
                      oprócz tego masz avasta. powinien być zainstalowany tylko jeden antywirus.


                      pzdr
                      • konfi1 Re: Malware 03.12.05, 00:10
                        nortona juz dawno wywalilam, jednak widac zostaly po nim jakies szczatki..
                        a mam to wywalic z autostartu w msconfig?
                        • neder Re: Malware 03.12.05, 10:53
                          tak w msconfig.
                          pzdr
                          • Gość: Tom Re: Malware IP: *.resetnet.pl 21.02.06, 18:47
                            Problem ten sam wklejam więc loga liczę na Twoją pomoc nader :)(ewido na razie
                            nie stosowałem a porty swego czasu zamykałem o dziwo wwwdc)
                            Logfile of HijackThis v1.99.1
                            Scan saved at 18:35:18, on 2006-02-21
                            Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                            MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                            Running processes:
                            C:\WINDOWS\System32\smss.exe
                            C:\WINDOWS\system32\winlogon.exe
                            C:\WINDOWS\system32\services.exe
                            C:\WINDOWS\system32\lsass.exe
                            C:\WINDOWS\system32\svchost.exe
                            C:\WINDOWS\System32\svchost.exe
                            C:\WINDOWS\Explorer.EXE
                            C:\WINDOWS\system32\spoolsv.exe
                            C:\Program Files\Creative\ShareDLL\CtNotify.exe
                            C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                            C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
                            C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
                            C:\Program Files\DU Meter\DUMeter.exe
                            C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
                            C:\WINDOWS\system32\rundll32.exe
                            C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
                            C:\Program Files\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE
                            C:\Program Files\AVerTV\QuickTV.exe
                            C:\Program Files\The Bat!\thebat.exe
                            C:\Program Files\Creative\ShareDLL\MediaDet.Exe
                            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                            C:\Program Files\Alwil Software\Avast4\ashServ.exe
                            C:\WINDOWS\system32\CTsvcCDA.EXE
                            C:\WINDOWS\system32\nvsvc32.exe
                            C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
                            C:\Program Files\Creative\SBAudigy\RemoteCenter\Rc\OSDMenu.EXE
                            C:\Program Files\Creative\SBAudigy\RemoteCenter\Rc\EAX.exe
                            C:\Program Files\Creative\SBAudigy\RemoteCenter\Center\RCenter.exe
                            C:\WINDOWS\system32\MsPMSPSv.exe
                            C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
                            C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
                            C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
                            C:\Program Files\Mozilla Firefox\firefox.exe
                            F:\Ś C I Ą G I\HijackThis.exe

                            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                            start.mozilla.org/firefox?client=firefox-a&rls=org.mozilla:pl-PL:official
                            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft
                            Internet Explorer
                            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                            O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} -
                            C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
                            O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
                            D:\PROGRA~1\SPYBOT~1\SDHelper.dll
                            O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
                            Files\Java\jre1.5.0_06\bin\ssv.dll
                            O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00}
                            - c:\program files\steganos internet anonym pro 7\siapro7iep.dll
                            O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} -
                            C:\PROGRA~1\FRESHD~1\FRESHD~1\fdiebar.dll
                            O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
                            O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
                            O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash
                            Screen\CTEaxSpl.EXE /run
                            O4 - HKLM\..\Run: [Jet Detection] C:\Program
                            Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
                            O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                            O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
                            Files\Java\jre1.5.0_06\bin\jusched.exe
                            O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
                            O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                            O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
                            C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
                            O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                            O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
                            O4 - HKLM\..\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost
                            Firewall\outpost.exe /waitservice
                            O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
                            O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
                            O4 - HKCU\..\Run: [TaskTray] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
                            O4 - HKCU\..\Run: [Taskbar] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
                            O4 - HKCU\..\Run: [RemoteCenter] C:\Program
                            Files\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE
                            O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
                            O4 - Global Startup: QuickTV.exe.lnk = C:\Program Files\AVerTV\QuickTV.exe
                            O4 - Global Startup: Skrót do thebat.exe.lnk = C:\Program Files\The Bat!\thebat.exe
                            O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                            res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
                            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
                            C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
                            O9 - Extra 'Tools' menuitem: Sun Java Console -
                            {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
                            Files\Java\jre1.5.0_06\bin\ssv.dll
                            O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
                            C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
                            O9 - Extra button: FreshDownload - {9E658F02-926E-4CFF-BD3D-6D94EBC5D108} -
                            C:\Program Files\FreshDevices\FreshDownload\fd.exe
                            O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} -
                            C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
                            O9 - Extra 'Tools' menuitem: Show Trashcan -
                            {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE
                            (HKCU)
                            O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program
                            Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll
                            O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
                            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                            O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
                            Software\Avast4\ashServ.exe
                            O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
                            Software\Avast4\ashMaiSv.exe" /service (file missing)
                            O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
                            Software\Avast4\ashWebSv.exe" /service (file missing)
                            O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -
                            C:\WINDOWS\system32\CTsvcCDA.EXE
                            O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
                            - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
                            O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
                            C:\WINDOWS\system32\nvsvc32.exe
                            O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum -
                            C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

                            pozdrawiam
                            • neder Re: Malware 21.02.06, 19:19
                              nic w logu nie widzę (oprócz zbędnych rzeczy w autostarcie ;P)
                              pzdr
                              • neder Re: Malware 21.02.06, 19:19
                                avast Ci coś znajduje? Nie mozesz nim usunąć?
                                • Gość: Tom Re: Malware IP: *.resetnet.pl 21.02.06, 19:57
                                  Dzięki za odzew i sorry za przekręcenie nicku :)
                                  Więc sytuacja jest podobna jak u koleżanki. Podczas skanowania ad-adware pojawia
                                  się Avast i wykrywa zwykle 2 takie syfki. Próbowałem usuwać je Avastem oraz
                                  ręcznie poprzez ścieżkę, którą podaje Avast. Sytuacja jednak się powtarza przy
                                  każdym ponownym skanowaniu Ad-awarem.
                                  oto one:
                                  C:\DOCUME~1\user\USTAWI~1\Temp\AAWTMP\C3385317\17A06\javainstaller\InstallerApplet.class
                                  C:\DOCUME~1\user\USTAWI~1\Temp\AAWTMP\C3385317\1D794E\javainstaller\InstallerApplet.class
                                  • neder Re: Malware 21.02.06, 20:00
                                    czyścisz tempy:
                                    start > uruchom > %temp% -> i wywalasz wszystko jak leci (najlepiej w awaryjnym,
                                    bo cos moze być w running poressess).

                                    Nawet nie zauważyłam, ze przekręciłes nicka;)
                                  • Gość: Tom Re: Malware IP: *.resetnet.pl 21.02.06, 20:02
                                    A co byś mógł zaproponować do usunięcia z autostartu?
                                    Kiedyś słyszałem, że Ad-aware czasem się kłóci ze Spaybotem, którego też mam
                                    zainstalowanego, jednak w tym przypadku nie widzę raczej związku z zaistniałą
                                    sytuacją.
                                    • Gość: Tom Re: Malware IP: *.resetnet.pl 21.02.06, 20:06
                                      :)) a ja że mam przyjemność rozmawiać z kobietą. Oczywiście Spybotem, ach to
                                      roztrzepanie.
                                      • neder Re: Malware 21.02.06, 20:10
                                        spybot z ad-aware się 'nie gryzą'.
                                        • Gość: Tom Re: Malware IP: *.resetnet.pl 21.02.06, 21:03
                                          niestety... zastosowałem się do Twoich porad i wywaliłem wszystko wpierw
                                          normalnie później również w trybie awaryjnym i kiszka :(
                                          Dziękuję za pomoc, jaky Ci jeszcze miała jakiś pomysł to byłbym wdzięczny.
                                          Pobawię się ewentualnie jutro bo muszę się uczyć na egzamin :)

                                          Pozdrawiam
Pełna wersja