Skocz do zawartości
oldskul

Bifrose - Trojan

Rekomendowane odpowiedzi

NOD 32 pokazuje coś takiego...

Dołączona grafika

 

Log z hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 20:45:28, on 2007-07-27

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Eset\nod32krn.exeC:\WINDOWS\system32\nvsvc32.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Eset\nod32kui.exeC:\Program Files\Ad Muncher\AdMunch.exeC:\Program Files\DAEMON Tools\daemon.exeC:\Program Files\AutoConnect\AutoConnect.exeE:\Inne\speedx\speedx.exeC:\WINDOWS\system32\ctfmon.exeC:\WINDOWS\system32\schost.exeC:\Program Files\Stardock\ObjectDock\ObjectDock.exeC:\Program Files\Opera\Opera.exeE:\Fraps\fraps.exeC:\Program Files\Eset\nod32.exeE:\Inne\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url="http://www.google.pl/"]http://www.google.pl/[/url]R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dllO2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll (file missing)O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICEO4 - HKLM\..\Run: [Ad Muncher] C:\Program Files\Ad Muncher\AdMunch.exe /btO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [Microsoft] schost.exeO4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.02\RivaTuner.exe" /SO4 - HKLM\..\RunServices: [Microsoft] schost.exeO4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exeO4 - HKCU\..\Run: [SpeedX] E:\Inne\speedx\speedx.exeO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - Startup: Stardock ObjectDock.lnk = C:\Program Files\Stardock\ObjectDock\ObjectDock.exeO8 - Extra context menu item: Block frame with Ad Muncher - [url="http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=0H014923&id=menu_ie_frame"]http://www.admuncher.com/request_will_be_i...d=menu_ie_frame[/url]O8 - Extra context menu item: Block image with Ad Muncher - [url="http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=0H014923&id=menu_ie_image"]http://www.admuncher.com/request_will_be_i...d=menu_ie_image[/url]O8 - Extra context menu item: Block link with Ad Muncher - [url="http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=0H014923&id=menu_ie_link"]http://www.admuncher.com/request_will_be_i...id=menu_ie_link[/url]O8 - Extra context menu item: Don't filter page with Ad Muncher - [url="http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=0H014923&id=menu_ie_exclude"]http://www.admuncher.com/request_will_be_i...menu_ie_exclude[/url]O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Report page to the Ad Muncher developers - [url="http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=0.4&pass=0H014923&id=menu_ie_report"]http://www.admuncher.com/request_will_be_i...=menu_ie_report[/url]O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO16 - DPF: {0F733F27-5BBB-4D03-8D6B-19E2143880BF} (SkillGround Game Manager) - [url="http://www1.skillground.com/cab1787/SkillGround.cab"]http://www1.skillground.com/cab1787/SkillGround.cab[/url]O17 - HKLM\System\CCS\Services\Tcpip\..\{8092D5B8-646B-4B16-9079-A4B3099508F1}: NameServer = 83.238.255.76 213.241.79.37O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLLO21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dllO23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Unknown owner - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe (file missing)O23 - Service: Microsoft System Management - Unknown owner - C:\WINDOWS\system32\system.exe (file missing)O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Na stronce hijackthis jak sprawdzalem loga pokazywalo na schost.exe - nieznany proces, wiem, ze to jest dokladnie ten plik, tylko jak go usunac, zeby wirus rzeczywiscie został usunięty.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jezeli nie idzie go usunąć normalnie to w awaryjnym lub z konsoli odzyskiwania. Poza tym masz go w autostarcie skad powinien zostać usunięty w pierwszej kolejności.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Już go usunąłem, szybkim mykiem, skrót na pulpicie do system32, zaraz po załadowaniu sysa usunąłem plik bezboleśnie, przeskanowalem Nodem, wykrył jeszcze inne syfy, zrobiłem ponowny skan hijackthis, pousuwałem niepotrzebne śmieci, teraz full skan wszystkich dysków leci w tle. Tak to jest, jak podczas nieobecności ktoś wejdzie na kompa i ogląda panienki i inne syfne www :/. A przez 14 miechów nie miałem żadnego śmiecia, aż do dzisiaj. BTW jakiego firewalla możecie polecić, miałem Kerio, ale im nowsza wersja, tym większy syf. Może coś darmowego, by chodził bezboleśnie.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Syf:

C:\WINDOWS\system32\schost.exe

O4 - HKLM\..\Run: [Microsoft] schost.exe

O4 - HKLM\..\RunServices: [Microsoft] schost.exe

O16 - DPF: {0F733F27-5BBB-4D03-8D6B-19E2143880BF} (SkillGround Game Manager) - http://www1.skillground.com/cab1787/SkillGround.cab

O23 - Service: Microsoft System Management - Unknown owner - C:\WINDOWS\system32\system.exe (file missing)

Zablokuj porty programami WWDC i Seconfig XP

 

Użyj: http://stopwirusom.pl/index.php?option=com...47&Itemid=4

 

- Następnie wklej nowy log z HijackThis i ComboFix.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.


×
×
  • Dodaj nową pozycję...