Proszę o spr. loga z hijack - WIRUSY

[Gość: głąb]

Witam proszę o sprawdzenie loga. Wczoraj złapałem coś, avast co chwilke
wyświetlał komunikat o wykryciu. Próbowałem skanować S&D, ale pod koniec
program sam się wyłącza, więc wywaliłem jedynie kilka trojanów które
wyświetlił mi przed wyłączeniem. Podobnie z Ad Aware też do końca nie skanuje
bo się wyłącza. Poza tym wirus chyba "zjadł" mi Mozillę bo nie mogłem jej
uruchomic, avast zresztą wykrywał wirusa w pliku firefox.exe. Dziś jest
trochę spokojniej nie ma już tylu komunikatów ale problem pozostał i nie
bardzo wiem co robić.

Logfile of HijackThis v1.99.1
Scan saved at 11:06:06, on 2006-11-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Ahead\InCD\InCD.exe
C:\PROGRA~1\NEOSTR~1\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Neostrada TP\taskbaricon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINDOWS\system32\qttask.exe
C:\WINDOWS\system32\adirss.exe
C:\WINDOWS\system32\wservice.exe
C:\Program Files\Gadu-Gadu\gg.exe
D:\Piotruś - Dokumenty\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.neostrada.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1
\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Neostrada
TP\taskbaricon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06
\bin\jusched.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32
\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42
Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [adir] C:\WINDOWS\system32\adirss.exe
O4 - HKLM\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
O4 - HKCU\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32
\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /A "C:\WINDOWS\system32\E_SC3.tmp"
O4 - HKCU\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .mpeg: C:\Program Files\Internet
Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Program Files\Internet
Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Program Files\Internet
Explorer\Plugins\NPDocBox.dll
O16 - DPF: RaptisoftGameLoader -
www.miniclip.com/haphazard/raptisoftgameloader.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) -
www.miniclip.com/puzzlepirates/miniclipGameLoader.dll
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} -
toolbar.google.com/data/pl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
www.bph.pl/pi/components/SignActivX.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} -
a532.g.akamai.net/f/532/6712/5m/virtools.download.akamai.com/6712/player/install3.5/installer.exe
O16 - DPF: {CT id=e codeBase=www.www2.p0rt2.com/files/epl30bf2.cab
classid=clsid:33331111-1111-1111-1111-615111193427} -
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON
CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program
Files\Ahead\InCD\InCDsrv.exe

[Gość: Kolobos]

Z przyklejonego:
- usuwanie aplikacji od neostrady
- skan ewido

W menadzerze zadan zakoncz:
C:\WINDOWS\system32\adirss.exe
C:\WINDOWS\system32\wservice.exe
Oba pliki usun z dysku.

W hjt usun:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.neostrada.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
TP
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O4 - HKLM\..\Run: [adir] C:\WINDOWS\system32\adirss.exe
O4 - HKLM\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
O4 - HKCU\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {CT id=e codeBase=www.www2.p0rt2.com/files/epl30bf2.cabclassid=clsid:33331111-1111-1111-1111-615111193427} -

Firefox'a przeinstaluj. Jezeli po tym co napisalem antyvirus dalej bedzie cos wykrywal to napisz co dokladnie, w jakim pliku i gdzie jest ten plik.

[Gość: głąb]

Witam

Zrobiłem wszystko. Przeskanowałem Ewido - sporo rzeczy znalazło się. Wyrzuciłem
HIjackiem co kazałeś.
Niestety potem znowu Avast zaalarmował (co ciekawe zawsze alarmuje gdy skanuje
Spybotem S&D, a zaraz potem program się wyłacza w połowie skanowania):
Win32:Luder-F C:\WINDOWS\system32\java.exe
Win32:Luder-F C:\WINDOWS\system32\javaw.exe
Win32:Luder-F C:\WINDOWS\system32\pxhpinst.exe

[Gość: głąb]

POPRAWKA: teraz już się program sam nie wyłącza podczas skanowania. Więc już
jakiś sukces!!

[Gość: Kolobos]

Wirus Luder-F infekuje pliki exe, wiec jak sie go szybko nie pozbedziesz to bedziesz mial problem. Przeskanuj Avast'em caly system (wszystkie dyski) i sprobuj usunac tego virusa (naprawic zainfekowane pliki). Nie zaszkodzi tez skan przy pomocy:
www.bitdefender.com/scan8/

[Gość: głąb]

Avast chyba wywalił tego wirusa, niestety razem z całą masą plików .exe.
Właściwie większość programów teraz nie da się uruchomić z powodu braku pliku,
zastanawiam się nad powtórnym przeinstalowaniem Windowsa.

[Gość: Kolobos]

Pliki windows'a naprawiasz tak:
Start->Uruchom->sfc /scannow
Programy przeinstaluj, tak bedzie szybciej i prosciej niz instalowac na nowo caly system.

[Gość: głąb]

Może i szybciej i prościej, jednak pojawiło się pełno dziwnych śmieci: pliki o
rozszerzeniu ".t", których program Odkurzacz nie usuwa, resztki po programach,
które były zainfekowane. System wydaje się jakby chodził wolniej.

[Gość: Kolobos]

Wiec rob jak uwazasz, tylko postaraj sie po ponownej instalacji nie zawirusowac od nowa ;-)

[Gość: głąb]

Wiem wiem

Miałem swój komputer za dobrze zabezpieczony, miesiące spokoju uśpiły mą
czujność, niestety niezdrowe rządze jednak mnie pokonały i poniosłem zasłużoną
karę.

Tak czy siak DZIĘKI za pomoc na polu walki!!!

[Gość: głąb]

Jeszcze trochę pomarudzę.

Postanowiłem jednak nie formatować wszystkiego, tylko postarać się odinstalować
programy, zrobić gruntowne czyszczenie i zainstalować jeszcze raz. Pojawił się
problem, bo wirus "zjadł" pliki .exe odpowiedzialne również za
odinstalowywanie. Póki co wywalam to po prostu do kosza, ale wiem że w ten
sposób zostanie mi pełno śmieci i niepotrzebnych plików, a z tego co widzę to
znajduje resztki po programach w najdziwniejszych folderach i miejscach. Czy
istnieje jakiś program który mógłby mi jakoś pomóc?? Na razie mam "Odkurzacz",
ale nie radzi sobie z wszystkim.

[Gość: Kolobos]

Zainstaluj dany program jeszcze raz i dopiero odinstaluj, wtedy nie powinno byc problemow, a co do smieci to zawsze cos zostanie i raczej nie ma snesu sie tym przejmowac.

[Gość: głąb]

Jeszcze jedno spostrzeżenie - wygląda na to że wirus zadomowił się w Javie i
programie Nero. Przynajmniej o tylu wiem póki co. Przy próbie uruchomienia nero
Avast alarmuje, tak samo próbowałem odinstalować Jave znowu Avast alarmuje i
nie mogę dokonczyć odinstalowywania. Podbnie wcześniej miałem z Mozillą, ale ją
jakoś udało odinstalować.