Gaelicum :-(

[Gość: taki jeden]

Witajcie,

zła rzecz się stała - pojawił się alert o wirusie w exe w jednym z folderów na
pulpicie. Wykasowałem. (w ten sposób wykasowałem wszystkie exeki z tego folderu)

Przeskanowałem cały komputer AVG - taki jest wynik części skanowania:
img456.imageshack.us/img456/4345/zrzutbz4.jpg

przeszukałem system w kierunku tych plików:
- dl.exe
- CBACK.EXE
- GAELICUM.EXE

nie znalazłem, komputery sieciowe - czyste.


Co z tym dalej zrobić?
Na format, reinstalację, czy chociażby utratę dostępu do niektórych programów
- nie mogę sobie pozwolić.

Proszę pomóżcie - co to znaczy i co mam teraz z tym zrobić.

pozdrawiam

log z hijacka

[Gość: taki_jeden]

Logfile of HijackThis v1.99.1
Scan saved at 22:59:42, on 2006-10-07
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\LAN Voice Chat\Speechs.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Program Files\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Documents and Settings\MatMc\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
- C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD
Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] "C:\Program Files\Musicmatch\Musicmatch
Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mmtask] "C:\Program Files\Musicmatch\Musicmatch
Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - Startup: Neo.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program
Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9BE145C-763D-4208-AC0D-BD5E14A90FE4}:
NameServer = 194.204.152.34,194.204.159.1
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program
Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -
Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f
"%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Glasovne poruke (Speechsrv) - Unknown owner - C:\Program
Files\LAN Voice Chat\Speechs.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp
Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe

[Gość: Kolobos]

Usunales wiec po problemie, log jest ok. Skoro nie mozesz sobie pozwolic na utrate danych to dlaczego nie robisz kopi danych na cd/dvd?!

[Gość: taki_jeden]

Dzięki za błyskawiczną reakcję.

jestem już spokojny :-)

kopie danych robię - aż tak lekkomyślny nie jestem - ale już sama wizja
reinstalacji/konfiguracji tych komputerów powodowała mój, delikatnie mówiąc -
niesmak.


pięknie dziękuję i pozdrawiam serdecznie

[Gość: taki_jeden]

Jednak coś nie tak :-(

Kilka razy dziennie dostaję powiadomienie o kolejnym zarażonym pliku :-(

co robić?

[Gość: Kolobos]

Jaka nazwe ma ten plik?

[Gość: taki_jeden]

Szczerze mówiąc to nie wiem - przeniosłem do virus vault - na zasadzie -
zobaczymy, co będzie dalej.

Nie wiem, czy AVG nie zmienił nazwy tych plików - ale chyba nie - nie widzę
takiej informacji - teraz są tam 4 pliki (niedawno oczyszczałem) o nazwie:
A0038333.exe (inne - różnią się 4 ostatnimi cyferkami) [to coś oznacza?]

jest również informacja, że pliki są niewyleczalne.
Skanowałem system - czysty


Może w rejestrze coś nie tak? Coś otwiera system wirusowi - i od czasu do czasu
wchodzi i infekuje pliki?

Boję się, że całkiem padnie mi system



pozdrawiam

[Gość: Kolobos]

Jak znowu sie cos pojawi to zapisz nazwe oraz nazwe pliku.
Wirusow żadnych nie masz i nie miales, trojan to nie wirus.
Zapewne wchodzisz na zainfekowane strony lub sciagasz trojany i efekty tego sa widoczne.

[Gość: taki_jeden]

Gość portalu: Kolobos napisał(a):

> Jak znowu sie cos pojawi to zapisz nazwe oraz nazwe pliku.
Ok - mam nadzieję jednak, że nie będę musiał :-)

> Wirusow żadnych nie masz i nie miales, trojan to nie wirus.
Aaa...- bo to trojan jest.

> Zapewne wchodzisz na zainfekowane strony lub sciagasz trojany i efekty tego sa
> widoczne.
to raczej nie to - nie odwiedzam stron "podwyższonego ryzyka" ;-)
może pocztą. Nie ważne - na razie - spokój.


Pozdrawiam i serdeczne dzięki :-)

[Gość: taki_jeden]

Witam,

Ostatnio był spokój - teraz kolejny atak. Zrobiłem zrzut alertu programu
antywirusowego:
tinyurl.com/u5ezt

Teraz kilka faktów:
- wczoraj skanowałem system system - był czysty
- zazwyczaj tak jest - również dzisiaj - przy komputerze byłem tylko ja
- jak już pisałem - tzw. stron podwyższonego ryzyka nie odwiedzam.
- co ciekawe - nie mam takiego folderu na dysku C, jak "System Volume Information"

[Gość: Kolobos]

Wylacz przywracanie systemu (tam wlasnie masz tego smiecia).

[Gość: taki_jeden]

Ok - tak zrobiłem

nie jestem w stanie sprawdzić czy pomogło, ale czuję, że masz rację :-)


pozdrawiam i pięknie dziękuję :-)