Fałszywy explorer.exe mi sie zainstalował z MP4.

IP: *.tpnet.pl 08.03.07, 11:23
Witajcie.

Mam dziwny przypadek. Kupiłem odtwarzacz mp4 i po podłaczeniu do usb na jego
pamięci flash ukazał mi sie plik EXPLORER.EXE i autorun, oraz jakis katalog z
.dll. Wzbudziło to mija podejrzliwosć wiec zeskanowałem cały flash AVG.
Wyskoczył komunikat ze wykryto zagrożenie, niebezpieczne programy, ale nie
wirus. Skasowałem zawartość flasha MP4. Wyjałem z USB i za jakiś czas włozyłem
z powrotem do usb i pliki znów sie pojawiły, ale ponownie skanowane przez AVG
juz nie były zagrożeniem. Olałem więc sprawe.

Dzisiaj rano odpalam kompa a ten mi stoi 15 minut na ładowaniu windy. W koncu
załapał, probuje robic aktualizacje AVG i nie da rady. Odpalam Ad-Aware tam
kilka spywarów, usuwam i nic to nie dało. Skanuje kompa AVG(bez aktualizacji )
2 trojany usuniete. Registry Mechanic robie, tez kilka błedów. Resetuje kompa
i dalej 15 minut wstaje :/ Po kilkunastu minutach pracy na kompie pojawił mi
sie komunikat ze windows musi zamknąć EXPLORER.EXE gdyz nie moze wykonac
szkodliwych operacji czy cos w tym stylu.

Wyszukałem na c: pliki EXPLORER.EXE. Znalazło mi 2. expoler.exe utworzoony
dawno temu i EXPLORER.EXE utworzony w momencie włozenia mp4 do usb :/
Skasowałem tego drugiego. Resetuje kompa i juz wszysttko gra. No moze poza tym
ze przy uruchamianiu dwukrotni otwieraja mi sie okienka "moje dokumenty". Za
kazdym restartem. Chwilowo nie moge sobie z tym poradzic, ale nie jest to
uciazliwe.

Moze mi ktos podpowiedziec co sie wogole stalo? Jakis wirus, trojan?
    • Gość: Kolobos Re: Fałszywy explorer.exe mi sie zainstalował z M IP: *.escom.net.pl 08.03.07, 11:52
      Wklej moze log z hijackthis na poczatek.
      • Gość: Stasiu Re: Fałszywy explorer.exe mi sie zainstalował z M IP: *.tpnet.pl 08.03.07, 12:15
        Logfile of HijackThis v1.99.1
        Scan saved at 12:10:37, on 2007-03-08
        Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\EXPLORER.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
        C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
        C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
        C:\Program Files\VeriSign\NAVI\naviagent.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\DAEMON Tools\daemon.exe
        C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
        C:\WINDOWS\SOUNDMAN.EXE
        C:\Program Files\Winamp\winampa.exe
        C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
        C:\WINDOWS\system32\ctfmon.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\Program Files\OpenOffice.ux.pl 2.1.0\program\soffice.exe
        C:\Program Files\OpenOffice.ux.pl 2.1.0\program\soffice.BIN
        C:\WINDOWS\system32\wuauclt.exe
        C:\Program Files\Outlook Express\msimn.exe
        C:\Program Files\Przelewy\Przelewy.exe
        C:\Program Files\Mozilla Firefox\firefox.exe
        C:\Documents and Settings\arek\Pulpit\hijackthis\hijackthis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
        R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
        Settings,ProxyServer = 193.91.10.14:8080
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        R3 - URLSearchHook: i-Nav IDN SearchHook -
        {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Program
        Files\VeriSign\i-Nav\i-nav_4_2_1.dll
        F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
        O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
        Files\Java\jre1.5.0_09\bin\ssv.dll
        O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} -
        C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
        O4 - HKLM\..\Run: [ISUSPM Startup]
        C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
        O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe"
        -lang 1033
        O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common
        Files\InstallShield\UpdateService\issch.exe" -start
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
        O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
        O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
        O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program
        Files\Common Files\Ahead\lib\NMBgMonitor.exe"
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
        O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
        O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
        O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program
        Files\eMule.v0.47.a.-.MorphXTv8.5.[Webcache.Configurado].Por.WwW.eMuCanariaS.Tk\emule.exe
        -AutoStart
        O4 - Startup: OpenOffice.ux.pl 2.1.0.lnk = C:\Program Files\OpenOffice.ux.pl
        2.1.0\program\quickstart.exe
        O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
        Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3
        Player Utilities 4.03\AMVConverter\grab.html
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
        O8 - Extra context menu item: MediaManager tool grab multimedia file -
        C:\Program Files\MP3 Player Utilities 4.03\MediaManager\grab.html
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console -
        {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
        Files\Java\jre1.5.0_09\bin\ssv.dll
        O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
        C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
        O9 - Extra button: i-Nav Pomoc - {CE000992-A58C-4441-8938-744CD72AB27F} -
        idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
        O9 - Extra 'Tools' menuitem: i-Nav Pomoc -
        {CE000992-A58C-4441-8938-744CD72AB27F} -
        idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
        O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} -
        C:\Program Files\VeriSign\i-Nav\i-nav_4_2_1.dll
        O9 - Extra 'Tools' menuitem: i-Nav Ustawienia -
        {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Program
        Files\VeriSign\i-Nav\i-nav_4_2_1.dll
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
        C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger -
        {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
        C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
        O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -
        C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
        O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. -
        C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
        O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner -
        C:\WINDOWS\system32\msasvc.exe (file missing)
        O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Program
        Files\VeriSign\NAVI\naviagent.exe

        • Gość: Kolobos Re: Fałszywy explorer.exe mi sie zainstalował z M IP: *.escom.net.pl 08.03.07, 12:23
          Tutaj masz opis:
          www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_VB.CBY&VSect=T
          W hjt usun:
          F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
          O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe <- plik usun z dysku.
          O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE

          Usluga do kasacji:
          O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner -
          C:\WINDOWS\system32\msasvc.exe (file missing)

          Start->Uruchom->sc stop MsaSvc
          oraz: sc delete MsaSvc
          • Gość: Stasiu Re: Fałszywy explorer.exe mi sie zainstalował z M IP: *.tpnet.pl 08.03.07, 12:49
            Dziękuje dobry człowieku. Wyglada na to ze juz jest ok i nawet okienka Mooje
            dokumenty sie same nie otwieraja.
            Pozdrawiam
Pełna wersja