mIRC?

[Gość: js]

Mam Windows 2000 i ostatnio po uruchomieniu kompa ładuje sie takie okienko z
napisem mIRC - rozumiem, że jest to wirus? (przeskanowałem antywirusem i
usunąłem wszystkie patogeny, jak ten syf usunąć jeśli antywirus nie pomaga?).
Dodam tu jeszcze, że czasami ładują się dziwne
strony (bez mojej ingerencji).

[Gość: Kolobos]

forum.gazeta.pl/forum/72,2.html?f=430&w=66002983

[Gość: js]

Hijack
wklej.org/id/25bf4794edCombofix
www.wklej.org/id/4d8af67eb4
Do tego tworzy się za każdym razem folder bside w folderze system32, a w tym
folderze:folder download, logs, sounds i plik txt mirc.Przy skanowaniu
antywirusem pojawia się ciągle wirus, którego nie mogę się pozbyć tzn.
plik:iL.dbx. Generalnie to ostatnio folder WINNT, system32 są dla mnie
niewidoczne i muszę wchodzić do nich przez uruchom. Jak się tego pozbyć?

[Gość: Kolobos]

Jak mozna doprowadzic system do takiego stanu?

W hijackthis usun:
O2 - BHO: Thunder Browser Helper - {63B2D652-EAD9-4D6E-93ED-2CC51D22CF02} - C:\WINNT\system32\XunLeiBHO_001.dll (file missing)
O4 - HKLM\..\Run: [Microsoft Security Management Service] SMMS.exe
O4 - HKLM\..\Run: [Win2KService] C:\winnt\system32\bside\system32.exe
O4 - HKLM\..\RunServices: [Microsoft Security Management Service] SMMS.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

Zrob skan przy pomocy SuperAntiSpyware.

Wklej do notatnika to:

Driver::
AppToService_Dx-ErrorFix
netservice
qiandu
System

File::
C:\WINNT\system32\directx\Dinput\dxunis.exe
C:\Documents and Settings\All Users\Ulubione\netservice.exe
C:\Program Files\Messenger\qiandu.exe
C:\WINNT\system32\System.dat
C:\WINNT\system32\SysDown.vxd
C:\Program Files\desktop.ini
C:\Program Files\folder.htt
C:\WINNT\system32\kbdpli.dll
C:\WINNT\run2.vbs
C:\WINNT\system32\ddt.exe
C:\WINNT\system32\start.bat
C:\WINNT\system32\KAHOL.bat
C:\WINNT\system32\protect.bat
C:\WINNT\system32\osql.exe
C:\WINNT\system32\bot.dll
C:\WINNT\system32\devcon.exe
C:\WINNT\system32\SVKP.sys
C:\WINNT\run.vbs
C:\WINNT\system32\drivers\oreans32.sys
C:\WINNT\system32\dbug.sys
C:\WINNT\system32\wget.exe
C:\nc8.exe
C:\piaoyao.exe
C:\WINNT\system32\bugreport.dll
C:\WINNT\system32\ssms.exe
C:\WINNT\system32\dxinfo.exe
C:\WINNT\system32\dxfix.exe
C:\WINNT\system32\dxunis.exe
C:\WINNT\system32\Net-DDE.exe

Folder::
C:\WINNT\system32\bside

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Security Management Service"=-
"Win2KService"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microsoft Security Management Service"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=-

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{A47BE134-9ACE-2457-ABD0-3AE14579BDE1}"=

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2bf41072-b2b1-21c1-b5c1-0305f4155515}]

Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ). Po wszystkim daj log na wklej i podaj link + nowy log z hijackthis (uzyj najnowszej wersji).

[Gość: js]

ComboFix

wklej.org/id/cc875f8b76Hijack
wklej.org/id/0e47e3f8b7

[Gość: js]

Combofix

wklej.org/id/cc875f8b76

Hijack

wklej.org/id/0e47e3f8b7

[Gość: js]

"Jak mozna doprowadzic system do takiego stanu?"

No niby miałem Kasperskiego i potem AVG, także nie wiem dlaczego taki syf mam.

[Gość: Kolobos]

Zainstaluj aktualizacje z www.windowsupdate.com do systemu i do IE. Zamknij tez porty przy pomocy wwdc.exe, nie zaszkodzi tez jak zainstalujesz firewall np. Kerio lub Comodo, do tego nie uzywaj IE oraz OE.

Usun z dysku jeszcze:
C:\WINNT\UNINSTAL.BAT
C:\WINNT\comsysapp.pif

Uruchom regedit, przedz do:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
usun tam: "{A47BE134-9ACE-2457-ABD0-3AE14579BDE1}"

Reszta wyglada ok.

[Gość: js]

Dzieki! Ja używam Firefoxa, a jeśli chodzi o firewalla to mam zainstalowany AVG
Internet Security