hijackthis, gdzies jest wirus

IP: *.neoplus.adsl.tpnet.pl 22.01.06, 17:00
Kaspersky, ewido, spybot search & destroy znajduja i usuwaja a to cos ciagle
jest! jakis trojan potwor, czy ktos moze pomoc?

Logfile of HijackThis v1.99.1
Scan saved at 16:56:04, on 2006-01-22
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky
Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus
Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program
Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Word System] sysword.exe
O4 - HKLM\..\RunServices: [Microsoft Word System] sysword.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search &
Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
/minimized
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program
Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
800-840\dslmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program
Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121105608737
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program
Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service
(file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner -
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe"
/service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)

    • Gość: mpsi Re: hijackthis, gdzies jest wirus IP: *.neoplus.adsl.tpnet.pl 22.01.06, 17:10
      przeczytalam inne wpisy i weszlam na strone hijacka, przy pieciu cosiach napisal
      mi Unknown service, ale ja jestem kobieta (choc nie blondynka) i nie wiem, czy
      tzn, ze mam to usunac. oto, co mi zaznaczyl:
      O4 - HKLM\..\Run: [Microsoft Word System] sysword.exe
      O4 - HKLM\..\RunServices: [Microsoft Word System] sysword.exe
      O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program
      Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file
      missing)
      O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner -
      C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe"
      /service (file missing)
      O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)
      • neder Re: hijackthis, gdzies jest wirus 22.01.06, 17:26
        > O4 - HKLM\..\Run: [Microsoft Word System] sysword.exe
        > O4 - HKLM\..\RunServices: [Microsoft Word System] sysword.exe

        plik sysword.exe usuń z dysku,

        > > O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing

        start > uruchom > services.msc -> usługę wyłączasz


        > O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program
        > Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file
        > missing)
        > O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner -
        > C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe"
        > /service (file missing)

        co do tego nie jestem pewna, musisz poczekać na jakiegoś speca ;)

        pzdr
        • Gość: mpsi Re: hijackthis, gdzies jest wirus IP: *.neoplus.adsl.tpnet.pl 22.01.06, 17:48
          usunelam, wylaczylam, a kaspersky mowi, ze nadal komp jest zainfekowany takim czyms:
          Trojan.Win32.Small.ev
          co robic, co robic???
          • neder Re: hijackthis, gdzies jest wirus 22.01.06, 17:56
            a gdzie dokładnie go wykrywa (podaj ścieżkę)?
            • Gość: tata1959 Re: hijackthis, gdzies jest wirus IP: *.neoplus.adsl.tpnet.pl 22.01.06, 18:35
              witam
              to zostawiacie:
              > O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program
              > Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file
              > missing)
              > O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner -
              > C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe"
              > /service (file missing)

              jako że były robaki zastosować WWDC i zamknąć porty robakom.
              to jest problem na teraz:
              O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)
              tryb awaryjny

              Start >>> Uruchom >>> cmd i w linii komend wklepać takie oto komendy:
              sc stop win32sr
              sc delete win32sr
              del C:\WINDOWS\win32ssr.exe
              exit

              pozdrawiam
              .
              • Gość: mpsi Re: hijackthis, gdzies jest wirus IP: *.neoplus.adsl.tpnet.pl 22.01.06, 21:59
                tak zrobilam, teraz mam komunikat, ze komp zainfekowany wirusem
                Backdoor.Win32.Rbot.anh
                a z tym co mam zrobic?????
                • Gość: k Re: hijackthis, gdzies jest wirus IP: *.warszawa.sdi.tpnet.pl 22.01.06, 22:28
                  Napisz o jaki plik chodzi!
                • Gość: mpsi Re: hijackthis, gdzies jest wirus IP: *.neoplus.adsl.tpnet.pl 22.01.06, 22:32
                  i dwa porty nie chca mi sie zamknac, a mianowicie NetBios i UPNP, byc moze
                  powinnam pogrzebac gdzies w rejestrze, ale to juz przekracza moje mozliwosci.
                  moze jest jakis sposob dla niepelnosprawnej komputerowo?
                  • Gość: k Re: hijackthis, gdzies jest wirus IP: *.warszawa.sdi.tpnet.pl 22.01.06, 22:35
                    Tutaj masz napisane co zrobic:
                    forum.gazeta.pl/forum/72,2.html?f=430&w=34352864&a=34352864
                    • Gość: mpsi Re: hijackthis, gdzies jest wirus IP: *.neoplus.adsl.tpnet.pl 22.01.06, 22:40
                      bardzo chce odpowiedziec na pytanie o jaki plik chodzi, ale nei wiem, gdzie tego
                      szukac. mialam tylko kompunikat z kasperskiego, ze komp zainfekowany. szukam w
                      tym kasperskim, gdzie on to ma i znalezc nie moge. chyba jednak jestem
                      uposledzona....
                      • Gość: k Re: hijackthis, gdzies jest wirus IP: *.warszawa.sdi.tpnet.pl 22.01.06, 22:44
                        Sam nie uzywam kaspersky'iego wiec Ci nie pomoge.

                        Najlepiej przeskanuj system tym:
                        ftp://download.hirekmedia.hu/ssfsetup1_0.exe <- zrob update przed skanowaniem,
                        po przeskanowaniu odinstaluj.
                        download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
                        przeskanowaniu odinstaluj.

                        To powinno znalezc tego trojana.
                        • Gość: mpsi Re: hijackthis, gdzies jest wirus IP: *.neoplus.adsl.tpnet.pl 22.01.06, 23:10
                          chyba sie udalo. BARDZO dziekuje wszystkim za pomoc. obawiam sie, ze predzej czy
                          pozniej zglosze sie znowu, ale mam nadzieje, ze pozniej....
                          • Gość: jk Re: hijackthis, gdzies jest wirus IP: *.neoplus.adsl.tpnet.pl 23.01.06, 00:54
                            Jesli to nie klopot - napisz: co sie udalo, czym sie udalo...?
                            Ot, tak... w celach edukacyjnych: moze kto bedzie mial kiedys podobny klopot i Twoje doswiadczenia mu sie przydadza?
                            • Gość: mpsi Re: hijackthis, gdzies jest wirus IP: *.neoplus.adsl.tpnet.pl 23.01.06, 18:02
                              juz odpisuje. WIRUSA MAM NADAL. POMOCY!!!!!!!!!
                              caly czas ten sam, znaczy trojan.win32
                              • neder Re: hijackthis, gdzies jest wirus 23.01.06, 18:28
                                czy Kaspersky naprawdę nie wksazuje ścieżki do zainfekowanego pliku??? Nie usuwa
                                go? (sorry ale pogubiłam się już w tych wpisach i nie mogłam znaleźć tej info)
                                Przeskanuj jeszcze raz w trybie awaryjnym.
                                pzdr
                                • Gość: mpsi Re: hijackthis, gdzies jest wirus IP: *.neoplus.adsl.tpnet.pl 23.01.06, 21:18
                                  Juz mowie, problem jest nastepujacy. mam dwa trojany, moze nawet to jeden o
                                  roznych twarzach:
                                  Backdoor.Win32.SdBot.als
                                  Trojan.Win32.Small.ev
                                  Kaspersky wykrywa i usuwa tego pierwszego, ewdio tego drugiego, ale efekt jest
                                  zaden. caly czas mam komunikat z kasperskiego, ze jest, raz mowi, ze pierwszy,
                                  raz ze drugi. gdzies to gowno siedzi, nic go usunac nie potrafi. robilam
                                  wszystko, co tu ludzie doradzali, usuwalam w service, skanowalam ssf i ciagle
                                  jest. czy ktos ma jeszcze jakis pomysl? skan hijacka w pierwszej mojej
                                  wiadomosci jest.
                                  • Gość: mpsi Re: hijackthis, gdzies jest wirus IP: *.neoplus.adsl.tpnet.pl 23.01.06, 22:18
                                    udalo mi sie znalezc w kazsperskim raport z ostatniego skanowania. oto
                                    zainfekowane pliki:
                                    C:\WINODOWS\system32\a.exe
                                    C:\WINODOWS\system32\config\systemprofile\Ustawienia Lokalne\Temporary Internet
                                    Files\Content.IE5\12J4VEQW\rp5[1].exe
                                    czy to to, o co pytalas neder? ja jestem dosc uposledzona komputerowo....
                                    • neder Re: hijackthis, gdzies jest wirus 23.01.06, 22:24
                                      dokładnie o to mi chodziło ;)

                                      usuń pliki killboxem (link do ściągnięcia znajdziesz na forum albo w google), w
                                      okienko wklejasz całą ścieżkę (czyli to o co pytałam ;)), 'delete on reboot',
                                      restart dopiero po wywaleniu obu. Do tego czyścisz cache przeglądarki ->
                                      Narzedzia > opcje internetowe > pliki tymczasowe (ten drugi tam teraz siedzi).
                                      Zaktualizuj może system? Albo conajmniej pomyśl o innej przeglądarce.
                                      • Gość: mpsi Re: hijackthis, gdzies jest wirus IP: *.neoplus.adsl.tpnet.pl 23.01.06, 22:37
                                        dobra jutro nad tym spokojnie posiedze (u mnie kazda czynnosc zwiazana z
                                        komputerem trwa cale wieki). przegladarke mam mozille firefoxa, myslalam, ze
                                        jest bardziej bezpieczna od explorera...
                                        jeszcze raz dziekuje za pomoc
                                        mam nadzieje, ze jakis czas bede cicho
                                        pzdr
Inne wątki na temat:
Pełna wersja