Ješte vir?

Sekce věnovaná virům a jiným škodlivým kódům, rovněž ale nástrojům, kterým se lze proti nim bránit…

Moderátoři: Mods_senior, Security team

seitec
Level 3
Level 3
Příspěvky: 512
Registrován: březen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Ješte vir?

Příspěvekod seitec » 22 bře 2006 08:39

ahoj odvirovalal sem kamosovi kompa a mwav nasel par viru ktery sem smazal. nainstaloval sem ad aware te tam taky par smejdu nasel a odstranil. ale kamese to porad odpojuje od site a hlasi mu ze ma zavirovanej kompak nevitet co s tim? posilam vypis s hijacku
Logfile of HijackThis v1.99.1
Scan saved at 8:22:25, on 22.3.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSI\PC Alert III\alert.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\win32ssr.exe
C:\Program Files\Winamp\winamp.exe
C:\Documents and Settings\Vít\Plocha\hijack1\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe Reader6.0CE\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [RunAlert] C:\Program Files\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: PC Alert III.lnk = C:\Program Files\MSI\PC Alert III\alert.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2806905346
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe

Reklama
Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 22 bře 2006 09:05

Tohle už je horší.

Nabootuj do nouzového režimu, odpoj se od internetu a nespouštěj žádný prohlížeč, v Taskmanageru (CTRL+ALT+DEL) dej zastavit proces
C:\WINDOWS\win32ssr.exe

Potom klikni na Start -> Spustit -> napiš SERVICES.MSC, stiskni ENTER, V seznamu služeb vyhledej následující tučně označené služby O23, zastav je (ne vždy je to možné) a typ spouštění nastav nejdříve na "Ručně", dej Enter a pozom znovu na "Zakázáno":
O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe

Otevři v tomtéž (Start -> Spustit -> napiš ) regedit a vyhledej tento klíč:
HKLM\SYSTEM\CurrentControlSet\Services\Win32Sr a vymaž jej. Potom projeď komp antivirem a CCleanerem a restartuj do normálu. Potom pošli nový log na kontrolu.

seitec
Level 3
Level 3
Příspěvky: 512
Registrován: březen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod seitec » 22 bře 2006 20:26

tak sem to udelal ale ten proces se spousti jenom v normalnim rezimu ve stavu nouze sem ho nenasel.
posilam log na kontrolu.
moc diky

Logfile of HijackThis v1.99.1
Scan saved at 20:22:38, on 22.3.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSI\PC Alert III\alert.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Documents and Settings\Vít\Plocha\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Adobe Reader6.0CE\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [RunAlert] C:\Program Files\MSI\PC Alert III\AService.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: PC Alert III.lnk = C:\Program Files\MSI\PC Alert III\alert.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 2806905346
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 22 bře 2006 20:51

Fajn, tohle je čisté. Ještě zkontroluj na Jottiscanu tenhle plugin:

C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll - to jen tak pro jistotu.

Na začátku jsi mluvil o MWAVu - jaké viry tam našel?

seitec
Level 3
Level 3
Příspěvky: 512
Registrován: březen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod seitec » 22 bře 2006 20:54

jmena si bouzel nepamatuju ale byly akorat jmena souboru byl to "lup.exe" a "smr...." diky moc zkontroluju to

Uživatelský avatar
Spirit
Level 2
Level 2
Příspěvky: 174
Registrován: březen 06
Bydliště: Under The Rainbow
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod Spirit » 22 bře 2006 20:57

No podle toho vypisu co jsem videl jako první............
Doufam že nejsi k netu pripojenej pomocí telefonu! :o

Uživatelský avatar
Spirit
Level 2
Level 2
Příspěvky: 174
Registrován: březen 06
Bydliště: Under The Rainbow
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod Spirit » 22 bře 2006 21:00

Jo ješte lidi (sorry za spam)
Dávejte si bacha na Trojan Wild 3d, todle není vir, todle je počítačovej zabijak!
Zapíše se vám do registru , tak aby nesel smazat zadnym antivirem nebo antispiwarem a stahuje vam další a další viry......
Proste jestli ho dostanete tak se formatu harddisku proste nevihnete :smile:

seitec
Level 3
Level 3
Příspěvky: 512
Registrován: březen 06
Pohlaví: Nespecifikováno
Stav:
Offline

Příspěvekod seitec » 22 bře 2006 21:01

ne ne sem pres kolej net. v jotti scanu nic nenaslo. diky moc.
copak bby to delalo s pripojenim telefonu?

Uživatelský avatar
Spirit
Level 2
Level 2
Příspěvky: 174
Registrován: březen 06
Bydliště: Under The Rainbow
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod Spirit » 23 bře 2006 20:39

No podle vypisu by to mohlo volat na cisla.... no znas takovy ty porno linky a stranky kde platis treba 60 kc za min..... :|


Uživatelský avatar
Spirit
Level 2
Level 2
Příspěvky: 174
Registrován: březen 06
Bydliště: Under The Rainbow
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod Spirit » 23 bře 2006 21:11

Nemyslím zadná čísla se vetšinou dopisují až kdyz se vytačí ale podle procesu se dá odhadnout jak se danej vir, spiware nebo nejaky dalsí svinctvo bude chovat až se plne spustí v kompu..... samozřejmne to nikdy není jisty tydle veci jsou nevispitatelny.... :P

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 23 bře 2006 21:36

Tak tos mě dostal. :D A já už hodinu a půl pátrám, ten log už umím nazpaměť a furt nevím, co jsem tam přehlédl.


Zpět na “Viry, antiviry, firewally…”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host