PossibleThreat!03071 - co to takiego?

26.03.06, 19:35
Witam Szanownych Państwa

Coś mi sia zalęgło w systemie :( Pojawia mi się takie śmieszne małe okienko
wyskakujące z Systraya "Your computer is infected", a na systrayu miga mi
ikonka tak jakaś "Virus Alert", czasami antyvir wywalał okienko o znalezieniu
wirusa o nazwie "PossibleThreat!03071" ale obecnie przestał. Nie mogę się
jednak tego pozbyć, mam zainstalowany firmowy AV i firewall z Fortinetu, ale
on nic nie wykrywa teraz już - a okienko wciąż wyskakuje. Nic nie wykrywa
również Ad-aware, a skanera on-line z mks-vir czy pandasoftware nie mogę
odpalić, bo mi się IE nie uruchamia - swoją drogą ciekawe dlaczego. Ktoś ma
jakiś pomysł, jak się za to zabrać?

Pozdrawiam
Robert
    • barracuda7110 Re: PossibleThreat!03071 - co to takiego? 26.03.06, 19:53
      Wklej loga z hijackthis. Instrukcja jak to zrobić jest w przyklejonym wątku.
    • Gość: k Re: PossibleThreat!03071 - co to takiego? IP: *.warszawa.sdi.tpnet.pl 26.03.06, 20:26
      Poczytaj odrazu o usuwaniu spyaxe bo zapewne to wlasnie sobie zainstalowales:
      www.searchengines.pl/phpbb203/lofiversion/index.php/t31936.html
    • kolobos Re: PossibleThreat!03071 - co to takiego? 26.03.06, 22:33
      Ja tego poradnika nie pisalem, jak prosze o log to chyba logiczne, ze chce go w
      tym watku, a nie w nowym.

      Zastosuj sie do opisu usuwania spyaxe, to powinno usunac ten syf.
      Do tego zrob skan tym co wszyscy, a jak juz to zrobisz to wklej log, w tym
      watku ;-)
      • rob30 Re: PossibleThreat!03071 - co to takiego? 26.03.06, 22:51
        Tyle lat na sieci, i nawet nie potrafię się zachować na forum :(
        To może ja się teraz upewnię, czy dobrze zrozumiałem:
        - mam usunąć spyaxe zgodnie z opisem
        - zrobić skan tym co wszyscy czyli HiJackiem (?)
        - wkleić log w "tym" wątku czyli w tamtym
        Taaaaaak? :)

        Pozdr.
        Rob
        • neder Re: PossibleThreat!03071 - co to takiego? 26.03.06, 22:53
          > - mam usunąć spyaxe zgodnie z opisem

          tak

          > - zrobić skan tym co wszyscy czyli HiJackiem (?)

          nie. W przyklejonym nzjadziesz programy do skanowania w poście zatytułowanym 'to
          co zwykle poleca kolobos'


          > - wkleić log w "tym" wątku czyli w tamtym

          a czy 'ten' znaczy 'tamten'? ;) Tamtego wątku już z resztą chyba nie ma. jest
          tylko ten, a więc wklej log z HJ TU

          pzdr
          • kolobos Re: PossibleThreat!03071 - co to takiego? 26.03.06, 22:59
            Link do Spysweepr'a z przyklejnego juz nie dziala :( Bedzie trzeba wrzucic
            instalke na jakies www i dac nowy link.

          • rob30 Re: PossibleThreat!03071 - co to takiego? 26.03.06, 23:37
            No to jest 1 problem:
            jeden z programów do skanowania niestety się nie znajduje, nie łączy się strona
            linorg.ciagri.usp.br/ftp/pub/windows/anti-spyware/ssfsetup1_0.exe
            Czy wystarczy ten pierwszy?

            Rob
          • rob30 Raport z próby usunięcia spyaxe :( 27.03.06, 00:19
            Ściągnąłem sobie polecone narzędzie czyli smitrem, ale o dziwo mój AV wykrywa to
            jako wirusa. Po odpaleniu w trybie awaryjnym dłużej trwało przechodzenie przez
            wszsytkie ekrany startowe niż samo scanowanie i usuwanie. No i oczywiście bez
            efektów. Ikonka w systrayu jest, okienko wyskakuje :(
            No, ale IE się uruchomił przynajmniej ;-)
            Zastanawia mnie jedno: W raporcie z HJ nie znalazłem w O4 wpisu o treści spyaxe.
            Czy to znaczy , że diagnoza była błędna?

            Rob
            • kolobos Re: Raport z próby usunięcia spyaxe :( 27.03.06, 00:41
              Te wszystkie programy to klony, dlatego opis usuwania powinien byc podobny.

              Usun pliki podane tutaj:
              www.searchengines.pl/phpbb203/index.php?showtopic=31936&st=15&p=211473&#entry211473

              Jak czegos nie ma to nie usuwaj, ale np to masz:
              C:\WINDOWS\system32\nvctrl.exe

              Wiec postaraj sie bardziej.
              • rob30 Nieznany spyware - kolejne podejście nieudane :( 28.03.06, 00:11
                Puściłem spysweepera, poznajdował trochę rzeczy, ale ich nie usunął i nie
                wypuścił raportu, twierdzi że muszę wykupić subskrypcję :(
                ewido antimalware dzielnie przeskanował i usunął coś ponad 200 wpisów, raport na
                końcu maila. I jaki efekt? Ano taki, że ikonka w systrayu siedzi jak siedziała,
                okienko z niej wyskakuje jak wyskakiwało. W raporcie z HiJackThis nie widzę
                podejrzanych wpisów ani na dysku nie mam podejrzanych plików ze spyaxe, więc
                wygląda na to, że mój problem jest inny :(
                Raport ze HiJackThis wygląda tak:
                Logfile of HijackThis v1.99.1
                Scan saved at 20:46:42, on 2006-03-27
                Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\system32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\svchost.exe
                C:\Program Files\Fortinet\FortiClient\scheduler.exe
                C:\Program Files\Fortinet\FortiClient\fmon.exe
                C:\Program Files\Fortinet\FortiClient\fortifw.exe
                C:\Program Files\Fortinet\FortiClient\fortiwf.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\System32\setrysvc.exe
                C:\WINDOWS\System32\semwltry.exe
                C:\WINDOWS\system32\spoolsv.exe
                C:\Program Files\Firebird\bin\ibguard.exe
                C:\Program Files\Firebird\bin\ibserver.exe
                C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
                C:\WINDOWS\System32\svchost.exe
                C:\Program Files\Wavelink\StudioCOM\Bin\WLServer.exe
                C:\Program Files\Wavelink\StudioCOM\Bin\WLStartUp.exe
                C:\WINDOWS\Explorer.EXE
                C:\WINDOWS\Hcontrol.exe
                C:\WINDOWS\System32\khooker.exe
                C:\WINDOWS\system32\pctspk.exe
                C:\Program Files\Ahead\InCD\InCD.exe
                C:\Program Files\Fortinet\FortiClient\FortiTray.exe
                C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
                C:\Program Files\MSN Apps\Updater\01.02.3000.1001\pl-pl\msnappau.exe
                C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
                C:\WINDOWS\system32\semwltray.exe
                C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
                C:\WINDOWS\system32\ctfmon.exe
                C:\WINDOWS\ATKOSD.exe
                C:\Program Files\Gadu-Gadu\gg.exe
                C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
                C:\WINDOWS\system32\CH_Utility.exe
                C:\WINDOWS\system32\PDFSaver.exe
                C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
                C:\Program Files\Mozilla Firefox\firefox.exe
                C:\Documents and Settings\RBajorek\Pulpit\HiJackThis\hijackthis.exe

                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program
                Files\MSN Apps\MSN Toolbar\01.02.5000.1021\pl-pl\msntb.dll (file missing)
                O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -
                C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
                O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\Hcontrol.exe
                O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
                O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\sisUSBrg.exe
                O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
                O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
                O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
                O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program
                Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
                O4 - HKLM\..\Run: [msnappau] "C:\Program Files\MSN
                Apps\Updater\01.02.3000.1001\pl-pl\msnappau.exe"
                O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
                Files\Java\jre1.5.0_01\bin\jusched.exe
                O4 - HKLM\..\Run: [GCXX-Manager-Class] "C:\Program Files\Sony Ericsson\Wireless
                Manager\GCXXManager.exe" -startup
                O4 - HKLM\..\Run: [Sony Ericsson Wireless Manager UI] C:\WINDOWS\system32\semwltray
                O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
                O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
                O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
                O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft
                ActiveSync\WCESCOMM.EXE"
                O4 - Startup: Skrót do rbajorek.lnk = ?
                O4 - Global Startup: Chrontel TV.lnk = C:\WINDOWS\system32\CH_Utility.exe
                O4 - Global Startup: Symfonia® PDF.lnk = C:\WINDOWS\system32\PDFSaver.exe
                O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
                800-840\dslmon.exe
                O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
                O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
                C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
                O9 - Extra 'Tools' menuitem: Sun Java Console -
                {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
                Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
                O9 - Extra button: Create Mobile Favorite -
                {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft
                ActiveSync\inetrepl.dll
                O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} -
                C:\Program Files\Microsoft ActiveSync\inetrepl.dll
                O9 - Extra 'Tools' menuitem: Create Mobile Favorite... -
                {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft
                ActiveSync\inetrepl.dll
                O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
                C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
                O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                C:\Program Files\Messenger\msmsgs.exe
                O9 - Extra 'Tools' menuitem: Windows Messenger -
                {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                O10 - Unknown file in Winsock LSP: c:\program
                files\fortinet\forticlient\fortilsp.dll
                O10 - Unknown file in Winsock LSP: c:\program
                files\fortinet\forticlient\fortilsp.dll
                O10 - Unknown file in Winsock LSP: c:\program
                files\fortinet\forticlient\fortilsp.dll
                O10 - Unknown file in Winsock LSP: c:\program
                files\fortinet\forticlient\fortilsp.dll
                O15 - Trusted Zone: www.mks.com.pl
                O17 - HKLM\System\CCS\Services\Tcpip\..\{DFCEC78C-9EFE-48F5-ABEB-CB447AE057AE}:
                NameServer = 194.9.223.79,194.204.159.1
                O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
                O23 - Service: Fortinet Service Scheduler (FA_Scheduler) - Fortinet Inc. -
                C:\Program Files\Fortinet\FortiClient\scheduler.exe
                O23 - Service: Firebird Guardian Service (InterBaseGuardian) - Unknown owner -
                C:\Program.exe (file missing)
                O23 - Service: Firebird Server (InterBaseServer) - Unknown owner -
                C:\Program.exe (file missing)
                O23 - Service: Sony Ericsson Wireless LAN Tray Service (setrysvc) - Unknown
                owner - C:\WINDOWS\System32\setrysvc.exe
                O23 - Service: WavelinkServer - Wavelink Corporation - C:\Program
                Files\Wavelink\StudioCOM\Bin\WLServer.exe
                O23 - Service: WavelinkStartupSrvc - Wavelink, Corp. - C:\Program
                Files\Wavelink\StudioCOM\Bin\WLStartUp.exe

                Czy w powyższej sytuacji :
                a) jest dla mniejeszcze jakiś ratunek?
                b) powinienem już dać na mszę?

                Pozdrawiam
                Rob
                • Gość: k Re: Nieznany spyware - kolejne podejście nieudane IP: *.warszawa.sdi.tpnet.pl 28.03.06, 00:32
                  Tutaj masz opis usuwania:
                  malwareremoval.com/plog/index.php?op=ViewArticle&articleId=85&blogId=3
                • Gość: k Re: Nieznany spyware - kolejne podejście nieudane IP: *.warszawa.sdi.tpnet.pl 28.03.06, 00:33
                  Lub tutaj:
                  www.bleepingcomputer.com/forums/topic47826.html
Inne wątki na temat:
Pełna wersja