Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    Bardzo prosze osprawdzenie loga

    09.07.07, 08:45
    Obserwuj wątek
      • zaneta.maslo Re: Bardzo prosze osprawdzenie loga c.d. 09.07.07, 08:55
        O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) -
        h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
        O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
        update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120460391593
        O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} -
        www.mks.com.pl/skaner/SkanerOnline.cab
        O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) -
        h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        skaner.mks.com.pl/SkanerOnline.cab
        O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
        C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
        O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} -
        C:\WINDOWS\system32\btxppanel.dll
        O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
        C:\WINDOWS\system32\Ati2evxx.exe
        O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program
        Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
        O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil
        Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashMaiSv.exe" /service (file missing)
        O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashWebSv.exe" /service (file missing)
        O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - c:\Program
        Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
        O23 - Service: C-DillaCdaC11BA - Macrovision -
        C:\WINDOWS\system32\drivers\CDAC11BA.EXE
        O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
        O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company,
        L.P. - C:\Program Files\HPQ\SHARED\HPQWMI.exe
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
        - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
        O23 - Service: iPodService - Apple Computer, Inc. - C:\Program
        Files\iPod\bin\iPodService.exe
        O23 - Service: LightScribeService Direct Disc Labeling Service
        (LightScribeService) - Unknown owner - C:\Program Files\Common
        Files\LightScribe\LSSrvc.exe
        O23 - Service: Viz 0000 - Macrovision Corporation - C:\Program Files\Autodesk
        Network License Manager\lmgrd.exe

        • Gość: Kolobos Re: Bardzo prosze osprawdzenie loga c.d. IP: *.escom.net.pl 09.07.07, 14:09
          > automatyczne sprawdzanie daje sprzeczne wyniki, pokazuje ze wpis:
          > C:\WINDOWS\system32\explorer.exe jest "Extremely nasty" i
          > jednoczesnie ze jest bezpieczny.

          To jakis trojan, prawdziwy plik jest tutaj:
          C:\WINDOWS\Explorer.EXE

          W hjt usun:
          F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,explorer.exe

          Plik C:\WINDOWS\system32\explorer.exe usun z dysku.

          Zrob log z combofix oraz z nowej wersji hijackthis, oba wklej na wklej.org i daj link.
          • zaneta.maslo Re: Bardzo prosze osprawdzenie loga c.d. 10.07.07, 08:35
            Dziekuje bardzo za pomoc, tutaj link do loga z najnowszego Combofixa:
            wklej.org/id/29f0f7c2b9
            a tutaj log z najnowszego HijackThis: wklej.org/id/26825e1dbb

            Udalo mi sie usunac plik "explorer.exe", ale pojawil sie jeden problem: kiedy
            dwukrotnie klikam na dysk F (zewnetrzny dysk podlaczany przez usb) zamiast niego
            otwera sie folder "moje dokumenty" na dysku C. F mozna otworzyc tylko przez
            "exploruj".

            Pozdrawiam i z gory dziekuje za pomc
            • Gość: Kolobos Re: Bardzo prosze osprawdzenie loga c.d. IP: *.escom.net.pl 10.07.07, 11:44
              Usun z dysku ten plik:
              C:\WINDOWS\system32\hh.exe

              Wklej do notatnika to:

              Windows Registry Editor Version 5.00

              [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AntyVirK]

              [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2e981bd-2ece-11dc-a9b0-0010c682167d}\Shell\Auto\command]

              [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2e981bd-2ece-11dc-a9b0-0010c682167d}\Shell\AutoRun\command]

              [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2e981c2-2ece-11dc-a9b0-0010c682167d}\Shell\AutoRun\command]

              [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c421dbb5-3d2d-11db-a918-0010c682167d}\Shell\Auto\command]

              [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c421dbb5-3d2d-11db-a918-0010c682167d}\Shell\AutoRun\command]

              [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c421dbb6-3d2d-11db-a918-0010c682167d}\Shell\Auto\command]

              [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c421dbb6-3d2d-11db-a918-0010c682167d}\Shell\AutoRun\command]

              [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f066a98e-ecd2-11d9-a87c-000fe20454ca}\Shell\Auto\command]

              [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f066a98e-ecd2-11d9-a87c-000fe20454ca}\Shell\AutoRun\command]

              Zapisz jako fix.reg i uruchom. Po wszystkim daj nowy log z combofix.

              Na przyszlosc uwazaj gdzie podlaczasz pendrive albo ustaw go w tryb tylko do odczytu.
              • zaneta.maslo Re: Bardzo prosze osprawdzenie loga c.d. 16.07.07, 07:52
                Bardzo dziekuje za pomoc, pomoglo, ale chwile pozniej wirus wrocil, okazalo sie
                ze byl na karcie w aparacie cyfrowym. Powtorzylam wszystko jeszcze raz, mam
                nadzieje ze skutecznie, ale na w razie czego tutaj nowy skan z HijackThis:
                wklej.org/id/37f2d404fc
                Pracuje na uczelni i tutaj jest cala siec tym swinstwem zakazona, czy jest jakis
                sposob zeby sie na to "uodpornic"?

                Pozdrawiam serdeczne
                Sabina
                • Gość: Kolobos Re: Bardzo prosze osprawdzenie loga c.d. IP: *.escom.net.pl 16.07.07, 11:20
                  Daj jeszcze link do log'a z combofix.

                  > Pracuje na uczelni i tutaj jest cala siec tym swinstwem zakazona, czy jest
                  > jakis sposob zeby sie na to "uodpornic"?

                  Siebie czy cala siec?

                  Jezeli siebie to:
                  - o ile nie musisz nic zapisac na pendriv'ie to ustaw go w tryb tylko do odczytu (czesc ma stosowny przelacznik)
                  - jak juz gdzies go podlaczysz i cos sie na niego nagra to w domu nie klikaj lewym przyciskiem na ikone pendrive'a tylko prawym i wybierz z menu Eksploruj nastepnie sprawdz czy utworzyl sie na nim plik autorun.inf + inne zarobaczone pliki (sa to pliki ukryte, a wiec wczesniej nalezy w opcjach folderow ustawic pokazywanie plikow ukrytych oraz chronionych)
                  - wylacz autoodtwarzanie:
                  Start -> Uruchom wpisz tam: gpedit.msc
                  Nastepnie "Konfiguracja komputera" -> "Szablony administracyjne" -> "System" -> "Wyłącz funkcję Autoodtwarzanie" <- prawoklik mysza na tym i wlasciwosci, tam zaznaczasz "Włączone".

                  Co do sieci to uzyj download.sergiwa.com/security/PRT.exe (ten program powinien usunac plik autorun.inf oraz wylaczyc autorun).
                  • zaneta.maslo Re: Bardzo prosze osprawdzenie loga c.d. 17.07.07, 04:09
                    Link do loga z Combofix: wklej.org/id/2a71416d78

                    Dziekuje ogromnie za pomoc, sieci nie probuje na nic uodpornic, bo chyba i tak
                    nic juz jej nie pomoze, to szkolna siec w Chinach, nie ja sie nia zajmuje, ale
                    czasem musze przenosic cos ze szkolnych komputerow albo pendrivow studentow na
                    swoj komputer. Wirusa zlapalam kiedy podlaczylam swoj zewnetrzny dysk do
                    szkolnego komputera (jeszcze nie wiedzac ze to taka zaraza, juz tego bledu nie
                    powtorze).

                    dziekuje i pozdrawiam serdecznie
                    Sabina
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.
    Wybrane treści z serwisu Sport.pl są dostępne po wykupieniu płatnej subskrypcji