Zawirusowany Xp-ek

[Ghazi]

Panowie, pomocy! 8O

 

Jestem totalnie załamany. Przypałętało mi się jakieś dziadostwo 8O

 

Objawy:

1. Na pulpicie zawsze pojawiają sie 3 dodatkowe ikony: Security, Privacy i coś tam jeszcze, jakoś się z tym uporałem

2. Zamiast tapety włącza mi się jakieś interaktywne dziadostwo (w formie linka prowadzącego do http://yourprivacyguard.com/privacy) (patrz screeny)

3. Zmulało okrutnie system, w pasku zadań wyskakiwał czerwony krzyżyk, z którym nie dało się nic zrobić

4. IE (na szczescie z niego nie korzystam) zasyfiony do granic mozliwosci

5. Co chwile wyskakują najróżniejsze maści okienka, po nich zawsze otwiera się IE np. ze stroną http://scanner.adwareremover2007.com/2/scan.php?id=1216 , ale bywają też inne, zawsze tematyka Antyvir

 

Czego próbowałem:

 

1. Ad-Aware z aktualną bazą. Znajduje Win32.TrojanDownloader.NewMEdia zawsze w C:\Windows\privacy_dengerous. Katalog ten tworzy się zawsze po odpaleniu Windowsa...

 

2. Windows Defender (uważa, że komp jest w rewelacyjnym stanie i w ogóle nic nie zauważa)

 

3. MKS Antyviry (znalazł raz jednego wirusa, a potem nic)

 

4. RegCleaner (nic)

 

5. Włączony Windows Firewall (ha,ha)

 

6. avast! antyvir. Znajduje Win32: Trojan-gen {Other} zawsze w katalogu C:\DOCUME~1\Dawid\LOCALS~1\Temp\ac8zt2\main_uninstaller.exe oraz Win32:Agent-LTS [Trj] w plikach msmdev.dll i sduo.dll

 

Plików tych nie ma na początku pracy w Windowsie, tworzą się w trakcie pracy :) Niestety, nie potrafię znaleźć przyczyny :/ CTR+ALT+DEL - wyłączyłem wszystkie procesy, które się dało, dalej wyskakują dziadostwa. Nie pomaga odpalanie się antyvirusów oraz Ad-Awere przed uruchomieniem Windy i w trybie awaryjnym. Nawet jak coś znajdą, usuną i to przez 15 minut jest spokój, a potem znowu się instalują jakieś g...

 

Załączam zrzuty ekranu i listę procesów z HijackThis. Ozłocę, jeśli ktoś mi pomoże.

 

 

Logfile of HijackThis v1.99.1

Scan saved at 16:13:32, on 2007-10-20

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

d:\Alwil Software\Avast4\aswUpdSv.exe

d:\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\system32\kxmixer.exe

D:\S2kCtl.exe

C:\WINDOWS\system32\regsvr32.exe

C:\Program Files\Windows Defender\MSASCui.exe

D:\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\nvsvc32.exe

d:\Alwil Software\Avast4\ashMaiSv.exe

d:\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\cidaemon.exe

D:\Firefox\Mozilla Firefox\firefox.exe

C:\WINDOWS\explorer.exe

D:\HijackThis\HijackThis.exe

 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

O2 - BHO: (no name) - {325745DE-15A7-1C50-2632-0A54B7FB2C46} - C:\Program Files\sepwzcvj\ecsovwzp.dll

O2 - BHO: MSVPS System - {480598DD-AE28-48B7-82F7-6ADDA1AA6B66} - C:\WINDOWS\ntspkmxl.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O3 - Toolbar: The optnet - {B02534D7-8D91-49BE-A864-97DFB8E0BAB4} - C:\WINDOWS\optnet.dll (file missing)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [kX Mixer] C:\WINDOWS\system32\kxmixer.exe --startup

O4 - HKLM\..\Run: [s2kCtl] D:\S2kCtl.exe

O4 - HKLM\..\Run: [avyxmbex] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\avyxmbex.dll"

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [avast!] d:\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [Komunikator] "D:\Tlen.pl\tlen.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Download All by FlashGet - D:\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - D:\FlashGet\jc_link.htm

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://D:\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: hostctrl - {E88C0153-FFE1-4CAB-9DEB-82544C85B5F9} - C:\WINDOWS\hostctrl.dll

O21 - SSODL: msmhost - {23FAB55B-A48E-4EF5-BCD0-58F15E432EB9} - C:\WINDOWS\msmhost.dll

O21 - SSODL: msmdev - {8CCE8281-398D-4DEF-894D-E225A69576AE} - C:\WINDOWS\msmdev.dll (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - d:\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - d:\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - d:\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Edytowane 20 Października 2007 przez Ghazi

[Camis]

kumpel mial to samo:

 

uzyj SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe i po sprawie

 

 

uzyj :

 

 

1. Search

 

pozniej w trybie awaryjnym :

 

2. Clean (safe mode recommended)

 

 

 

Pozatym problem opisany na google

Edytowane 20 Października 2007 przez Cmx

[Ghazi]

Lipa! SmitfraudFix usuwa wirusy z Temp'a (czyli robi to samo, co avast!), ale wirus nadal się samoczynnie namnaża, po 5 minutach znów tam jest :/

[reyden]

Zrób skanowanie innymi AV ( Kaspersky , Bitdefender itp. ) .

 

Kaspersky ( na pewno wersje Internet Security ) ma opcję tworzenia ratunkowego CD ( wymaga zainstalowanego PE Builder oraz CD z XP ) .

 

Stwórz taki dysk u kogoś kto ma zainstalowanego KIS ( wersja 6 lub 7 ) i odpal kompa z tego CD .

 

Wtedy spróbuj zrobić skanowanie AV .

 

AV Nortona ( lub wersja IS ) chyba miał możliwość odpalania kompa z CD instalacyjnego .

[Kolobos]

Zrob skan przy pomocy SuperAntiSypware.

 

W hjt usun:

O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)

O2 - BHO: (no name) - {325745DE-15A7-1C50-2632-0A54B7FB2C46} - C:\Program Files\sepwzcvj\ecsovwzp.dll

O2 - BHO: MSVPS System - {480598DD-AE28-48B7-82F7-6ADDA1AA6B66} - C:\WINDOWS\ntspkmxl.dll

O3 - Toolbar: The optnet - {B02534D7-8D91-49BE-A864-97DFB8E0BAB4} - C:\WINDOWS\optnet.dll (file missing)

O4 - HKLM\..\Run: [avyxmbex] regsvr32 /u "C:\Documents and Settings\All Users\Application Data\avyxmbex.dll"

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide <- odinstaluj.

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: hostctrl - {E88C0153-FFE1-4CAB-9DEB-82544C85B5F9} - C:\WINDOWS\hostctrl.dll

O21 - SSODL: msmhost - {23FAB55B-A48E-4EF5-BCD0-58F15E432EB9} - C:\WINDOWS\msmhost.dll

O21 - SSODL: msmdev - {8CCE8281-398D-4DEF-894D-E225A69576AE} - C:\WINDOWS\msmdev.dll (file missing)

 

Daj log z combofix + nowy log z hjt ale tym razem z nowej wersji 2.x oba logi wklej na http://wklej.org i daj link na forum.

 

 

Ps. Dlaczego piszesz w tym dziale forum? Forum dotyczace odrobaczania to:

PurePC.pl - Forum Dyskusyjne > Oprogramowanie > Centrum Bezpieczeństwa

[kenobi]

Kolobos a może sprawdzić moje logi

 

http://wklej.org/id/bc7ae9b52c - Combofix

 

http://wklej.org/id/b0da7991df - HiJackThis

 

Z góry dziękuję

[Kolobos]

8O kenobi

 

Zrob skan przy pomocy SuperAntiSpyware.

 

W hijackthis usun:

O21 - SSODL: sapnet - {DA643C03-8590-4A13-8437-46DE370834A3} - C:\WINDOWS\sapnet.dll

O21 - SSODL: rmvgor - {8DFF6D24-30F9-4A35-AE94-DA041C826F20} - C:\WINDOWS\rmvgor.dll

 

Wklej do notatnika to:

 

File::

C:\WINDOWS\sapnet.dll

C:\WINDOWS\rmvgor.dll

C:\WINDOWS\nethop.exe

 

Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"sapnet"=

"rmvgor"=

 

Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ).