wirus !!!!

[mollx]

prosze pomozcie !! mam wirusa

nie znam nazwy

objawy sa dosyc dziwne, nic mi nie dziala oprocz neta, jak chce wlaczyc jakis program to pojawia sie blad ze system windows nie moze odnalezc pliku c:\steam\steam.exe np. i tak wszytkie programy, jak probuje antywirusami dzialac to wyszukalo pare wirusow i usunelo ale dochodzi to gdzies polowy i sie komp resetuje pomocie !!!

[@Marcin]

Zeskanuj komputer programem Ad-aware, Spybot Search & Destroy, wstaw loga z hijackthisa i przeskanuj skanerem AV http://skaner.mks.com.pl/skaner.html

PZDR

[mollx]

holera !!!!!!!!!!!!!!!!!
chyba mowie ze ZADNE PLIKI .exe MI SIE NIE CHCA WLACZYC !!! WIEC JAK CI WLACZE AD-AWARE, REGEDIT MI NIE DZIALA (.exe), A JAK SKANUJE MKS VIREM TO MI RESETUJE KOMPA (((((
hijackthis tez jest .exe wiec jak !!!!

edit Tomaszek
Ostrożnie ze słowami. Widzę, że Martin nie doczytał, ale delikatniej. I nie pisz dużą czcionką.

[MUTOPOMPKA]

holera !!!!!!!!!!!!!!!!!
chyba mowie ze ZADNE PLIKI .exe MI SIE NIE CHCA WLACZYC !!! WIEC JAK CI WLACZE AD-AWARE, REGEDIT MI NIE DZIALA (.exe), A JAK SKANUJE MKS VIREM TO MI RESETUJE KOMPA (((((
hijackthis tez jest .exe wiec jak !!!!

to sobie formata zapuść... Najprościej! A po drugie. Źle sprecyzowałeś pytanko, bo

nie moze odnalezc pliku c:\steam\steam.exe np. i tak wszytkie programy

Trzeba było napisać, że nie działają żadne pliki z rozszerzeniem *.exe . Już byłoby jaśniej i przejrzyściej.
A co do formatu -> to już ostateczność. Może weź odpal kompa w trybie awaryjnym z obsługą sieci (jeśli masz XP) i spróbuj przeskanować kompa skanerem, jaki podał @ Martin. Jeśli masz win98 to potrzebujesz dyskietki startowej z dos-owym MKS-em. Dyskietkę zabezpieczasz przed zapisem i tak odpalasz kompa i dosowego antywirucha. Może coś znajdzie.

[AiK]

Może coś więcej. Jaki system operacyjny, system plików FAT16/32/NTFS. Jeżeli masz FAT to uruchom kompa ze zdrowej dyskietki startowej i przeskanuj programem antywirusowym pod DOSem może się uda może a jak masz NTFS to spróbuj uruchomić z CD instalacyjnego (opcja naprawy "R") systemu potem uruchom program antywirusowy DOSowy (wiem że MKS dział sam tak robiłem). Może się uda jeszcze coś zrobić. Można pod Linuxem ale to chyba by było za trudne dla ciebie.

[mollx]

mam XP

probowalem w awaryjnym i to samo jest .. ani do logow wejsc jak nic, a jak skanuje avastem (bo mialem na kompie i prawym i skanuj na folderze) to w polowie mi sie resetuje komp, tak samo jak online mks virem, a jak wlaczam kompa , wchodzi moj profil pojawia sie komunikat ze nie moze wyszukac init32m.exe //

[zbigi1983]

Miałem to samo. HijackThis z rozszerzeniem com możesz pobrać z http://mezo.dyndns.biz z działu filez, hasło w newsach na stronie. Nie powinienes mieć problemu żeby go włączyć.Wrzuć potem loga to ktoś na pewno go obejrzy. Napisz czy czasem nie zmieniła Ci sie tapeta,na jakąś z error lub coś podobnego.

[@Marcin]

probowalem w awaryjnym i to samo jest .. ani do logow wejsc jak nic, a jak skanuje avastem (bo mialem na kompie i prawym i skanuj na folderze) to w polowie mi sie resetuje komp, tak samo jak online mks virem, a jak wlaczam kompa , wchodzi moj profil pojawia sie komunikat ze nie moze wyszukac init32m.exe //

Jak dla mnie to FORMAT, nic innego bo jak nie możesz właczyć komputera ani nic z rozszeżeniem *exe to nie jesteś wstanie jego nawet naprawić programem...

PZDR

[mollx]

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 20:58:03, on 2005-06-22
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
E:\Avast4\aswUpdSv.exe
E:\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\Avast4\ashMaiSv.exe
E:\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\hijackthis.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 195.95.218.173 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118656505671
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{87277E96-2DBA-4C75-83A3-BA49AAB25E91}: NameServer = 194.204.159.1,194.204.152.35
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

takie cos mi wyskoczylo powiedzcie co i jak mam usunac !!! plz

[Tom@szek]

Usuń w awaryjnym i odłącz net-a.

Kod: Zaznacz wszystko


      F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 195.95.218.173 (HKLM)
O23 - Service: avast! Mail Scanner - Unknown owner - E:\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - E:\Avast4\ashWebSv.exe" /service (file missing)


Wyłącz przywracanie systemu.
Uruchom hijackthis w awaryjnym - zaznacz te procesy V i daj fix checked.

[mollx]

pomoglo po czesci ale dalej jak chce wlaczyc jaki plik .exe. to mi blad wyskakuje a jak chce moj komputer- wlasicwisci to sie pojawia ze nie moze znalezc pliku rundlll32.exe

teraz moje logi:

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 21:29:26, on 2005-06-22
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
E:\Avast4\aswUpdSv.exe
E:\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\hijackthis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] E:\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O15 - Trusted IP range: 195.95.218.173 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118656505671
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{87277E96-2DBA-4C75-83A3-BA49AAB25E91}: NameServer = 194.204.159.1,194.204.152.35
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - E:\Avast4\ashServ.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

[@Marcin]

Dla mnie logo masz czyste...
ale zobaczymy co powie szpec od logów Tomaszek

PZDR

[mollx]

co z tego ze mam loga czyste jak nie moge uruchomic zadnego pliku .exe

jak skanuje to mi sie resetuje komp ale wiem chociaz ktory folder jest zarazony: C:\Documents and Settings\mollx^\Ustawienia lokalne\Temporary Internet Files\Content.IE5\XDG9MQAQ <--- jak w niego wejde, dam wlasciwosci albo sprobuje usunac to sie restart robi !

[Tom@szek]

Przede wszystkim - aktualizacja IE na stronie www.windowsupdate.com

Usuń jeszcze to:

Kod: Zaznacz wszystko

O15 - Trusted IP range: 195.95.218.173 (HKLM)
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

Przed wywaleniem pliku C:/WINDOWS/SYSTEM32/drct16.dll musisz go wyrejestrować:
w start-->uruchom wpisujesz:
regsvr32 /u %windir%/system32/drct16.dll
dopiero poźniej wywalasz go i fixujesz.

O20 - Winlogon Notify: drct16 - C:/WINDOWS/SYSTEM32/drct16.dll

oznacza że komputer jest zainfekowany trojanem Backdoor.Haxdoor D.

Pierwszą rzeczą jaką trzeba wykonać,to wywalić pliki tego badziewia.

Dokładna instrukcja usuwania jest tu:
http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&#entry132561

[mollx]

nie da sie tego wyrejestrowac system windows nie moze odnalezc pliku. .... tak mi pisze ...

i ta www tez nie dziala

[Tom@szek]

Zrób to tym sposobem - tylko wczytaj się dokładnie.

Dokładna instrukcja usuwania jest tu:
http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&#entry132561

[mollx]

nie mozna wyswietlic strony ...

[Tom@szek]

Uwaga: na dysku zapewne będzie jeszcze bardzo gruby plik klo5.sys To plik nagrywający wasze akcje i oczywiście też musi zostać skasowany!

Usuwanie dla Windows 2000/XP/2003:

1. Na początek należy przygotować plik naprawczy rejestru. Stosownie do wersji rootkita będzie on wyglądał inaczej. Proszę otworzyć Notatnik i wkleić do niego:

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_WINLOW]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"secboot"=-

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Disable TrayIcon"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"StackSize"=-
"Impersonate"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"hws"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management]
"EnforceWriteProtect"=-
"hws"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"EnforceWriteProtect"=-
"hws"=-

Plik >>> Zapisz jako >>> Wszystkie pliki *.* >>> jako nazwa wprowadź FIX.REG.

2. Następnie zastartować do trybu awaryjnego i uruchomić zrobiony przez siebie plik = podwójny klik na FIX.REG i potwierdzenie wprowadzenia informacji do rejestru.

3. Na koniec wyszukać na dysku pliki, które wymieniłam wcześniej i je skasować. Pliki mogą być "pomieszane z różnych wersji" więc wyszukiwanie musi być przeprowadzone na każdy z nich. Resztki doczyszczą skanery antywirusowe.

[mollx]

wiec tak: nie moge znalezc pliku klo5.sys

zroblem jak napisales, pozniej zeskanowalem antywirem (3x ) i mi wyszukalo 60 wirusow, wszystko usunalem ale pliki .exe nadal mi nie dzialaja

C:\Documents and Settings\mollx^\Ustawienia lokalne\Temporary Internet Files\Content.IE5\XDG9MQAQ udalo sie usunac juz sie nie resetuje

regsvr32 /u %windir%/system32/drct16.dll
dopiero poźniej wywalasz go i fixujesz.

O20 - Winlogon Notify: drct16 - C:/WINDOWS/SYSTEM32/drct16.dll

regsvr32 /u %windir%/system32/drct16.dll nie dziala
w logach nie mam juz tego drct16.dll
ale jest w system32

[Tom@szek]

Daj jeszcze raz log-a. To mnie niepokoi.
Jak jest w system32, to usuń go w awaryjnym.