jeśli nie wirus ani spy to co to??

**Posty:** 236 · przez **mopserdak** 24 Lis 2006, 22:04

Witam.
Od jakiegoś czasu na moim kompie tworzą się dziwne programiki które chcą dostępu do internetu, zawsze je blokuje i usuwam (ręcznie) ale cały czas powracają.Zaden antywirus ani anty spy ich nie wygrywa jako złych ale najprawdopodobniej przez nie net mi sie strasznie muli. Ich nazwy wyglądają mniej więcej tak

Zauwarzyłem, że cyfry na początku plików mają przedział od 0-99.
Daje też loga z HiJack jeśli to coś pomoże.
Co zrobić żeby te pliki się nie tworzyły? Prosze o pomoc.

Kod: Zaznacz wszystko: C:\MOPS_XP\System32\smss.exe C:\MOPS_XP\system32\winlogon.exe C:\MOPS_XP\system32\services.exe C:\MOPS_XP\system32\lsass.exe C:\MOPS_XP\system32\Ati2evxx.exe C:\MOPS_XP\system32\svchost.exe C:\MOPS_XP\System32\svchost.exe C:\MOPS_XP\system32\Ati2evxx.exe C:\MOPS_XP\Explorer.EXE C:\MOPS_XP\system32\LEXBCES.EXE C:\MOPS_XP\system32\spoolsv.exe C:\MOPS_XP\system32\LEXPPS.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\MOPS_XP\system32\oodag.exe C:\Program Files\DAEMON Tools\daemon.exe C:\MOPS_XP\system32\nvraidservice.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\MOPS_XP\System32\svchost.exe C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe C:\MOPS_XP\system32\ZoneLabs\vsmon.exe C:\Program Files\Copy Handler\ch.exe C:\MOPS_XP\system32\svchost.exe C:\Program Files\AutoConnect\AutoConnect.exe C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe C:\MOPS_XP\system32\ctfmon.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\MOPS_XP\System32\wbem\unsecapp.exe C:\MOPS_XP\system32\svchost.exe C:\MOPS_XP\system32\svchost.exe C:\DOCUME~1\MOPSER~1\USTAWI~1\Temp\18exinjs.q.exe C:\Program Files\Opera\Opera.exe C:\Documents and Settings\MOPSERDAK\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\MOPS_XP\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\MOPS_XP\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\MOPS_XP\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NVRaidService] C:\MOPS_XP\system32\nvraidservice.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe" O4 - HKLM\..\Run: [Copy Handler] C:\Program Files\Copy Handler\ch.exe O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] Gothic 3 O4 - HKLM\..\Run: [.nvsvc] C:\MOPS_XP\system\smss.exe /w O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\MOPS_XP\system32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Pobierz wszystko z Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm O8 - Extra context menu item: Pobierz z Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm O8 - Extra context menu item: Pobierz zaznaczenie z Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{F3206E8E-AE36-4CCE-B4A4-86CC1A82DF77}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\MOPS_XP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\MOPS_XP\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\MOPS_XP\system32\LEXBCES.EXE O23 - Service: O&O Defrag - O&O Software GmbH - C:\MOPS_XP\system32\oodag.exe O23 - Service: Virtual CD v8 Management Service (VC8SecS) - Unknown owner - C:\Program Files\Virtual CD v8\System\VC8SecS.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\MOPS_XP\system32\ZoneLabs\vsmon.exe

**Posty:** 18165 · przez **wojtas** 24 Lis 2006, 22:10

daj naglowek loga :wink:

**Posty:** 236 · przez **mopserdak** 24 Lis 2006, 22:17

Kod: Zaznacz wszystko: Logfile of HijackThis v1.99.1 Scan saved at 20:24:50, on 24-11-06 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

**Posty:** 1134 · przez **MISTEJK** 24 Lis 2006, 22:17

Wyłącz przywracanie systemu i wejdź w tryb awaryjny.
Najpierw usuwasz wpisy w Hijackthis, następnie pogrubione pliki ręcznie z dysku:

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] Gothic 3
C:\DOCUME~1\MOPSER~1\USTAWI~1\Temp\18exinjs.q.exe
O4 - HKLM\..\Run: [.nvsvc] C:\MOPS_XP\system\smss.exe /w

+ daj nowy log

Autor postu otrzymał pochwałę

**Posty:** 18165 · przez **wojtas** 24 Lis 2006, 22:18

usuwasz z wylaczonym przywracaniem systemu w trybie awaryjnym

C:\DOCUME~1\MOPSER~1\USTAWI~1\Temp\18exinjs.q.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] Gothic 3
O4 - HKLM\..\Run: [.nvsvc] C:\MOPS_XP\system\smss.exe /w << NIE POMYL LOKALIZACJI
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

najpierw wymienione wpisy w hijacku kasujesz potem pogrubione do kosza po tym zabiegu nowy log

Autor postu otrzymał pochwałę

**Posty:** 236 · przez **mopserdak** 24 Lis 2006, 22:40

To jest nowy log ale mimo usuniecia z systemu smss to dalej siedzi w procesach.

Kod: Zaznacz wszystko: Logfile of HijackThis v1.99.1 Scan saved at 21:13:13, on 24-11-06 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\MOPS_XP\System32\smss.exe C:\MOPS_XP\system32\winlogon.exe C:\MOPS_XP\system32\services.exe C:\MOPS_XP\system32\lsass.exe C:\MOPS_XP\system32\Ati2evxx.exe C:\MOPS_XP\system32\svchost.exe C:\MOPS_XP\System32\svchost.exe C:\MOPS_XP\system32\Ati2evxx.exe C:\MOPS_XP\Explorer.EXE C:\MOPS_XP\system32\LEXBCES.EXE C:\MOPS_XP\system32\spoolsv.exe C:\MOPS_XP\system32\LEXPPS.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\DAEMON Tools\daemon.exe C:\MOPS_XP\system32\nvraidservice.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe C:\Program Files\Copy Handler\ch.exe C:\Program Files\AutoConnect\AutoConnect.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\MOPS_XP\system32\ctfmon.exe C:\MOPS_XP\system32\oodag.exe C:\Program Files\Lexmark 3100 Series\lxbrbmon.exe C:\MOPS_XP\System32\svchost.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\MOPS_XP\system32\ZoneLabs\vsmon.exe C:\MOPS_XP\system32\wscntfy.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\MOPS_XP\System32\wbem\unsecapp.exe C:\Documents and Settings\MOPSERDAK\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdmcks.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\MOPS_XP\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\MOPS_XP\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\MOPS_XP\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NVRaidService] C:\MOPS_XP\system32\nvraidservice.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Program Files\Lexmark 3100 Series\lxbrbmgr.exe" O4 - HKLM\..\Run: [Copy Handler] C:\Program Files\Copy Handler\ch.exe O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [BitTorrent] "C:\Program Files\BitTorrent\bittorrent.exe" --force_start_minimized O4 - HKCU\..\Run: [ctfmon.exe] C:\MOPS_XP\system32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Pobierz wszystko z Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm O8 - Extra context menu item: Pobierz z Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm O8 - Extra context menu item: Pobierz zaznaczenie z Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{F3206E8E-AE36-4CCE-B4A4-86CC1A82DF77}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\MOPS_XP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\MOPS_XP\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\MOPS_XP\system32\LEXBCES.EXE O23 - Service: O&O Defrag - O&O Software GmbH - C:\MOPS_XP\system32\oodag.exe O23 - Service: Virtual CD v8 Management Service (VC8SecS) - Unknown owner - C:\Program Files\Virtual CD v8\System\VC8SecS.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\MOPS_XP\system32\ZoneLabs\vsmon.exe

**Posty:** 1134 · przez **MISTEJK** 24 Lis 2006, 22:46

wszystko jest ok. Ten smss.exe jest w procesach i prawidłowo. Różni sie od wirusa tym iz jest on w innej lokalizacji a zatem potrzebny do pracy windows.

**Posty:** 236 · przez **mopserdak** 24 Lis 2006, 22:51

Aha i mam jeszcze 2 pytanka.

Jak teraz włącze przywracanie systemu to te pliczki wrócą??

Dlaczego w logu pisze,że mam pirata gothica jak ja mam oryginała??

**Posty:** 1134 · przez **MISTEJK** 24 Lis 2006, 22:54

1) nie wrócą ...
2) chrzanić to :pp :papryczka:

(mam nadzieje że warna nie otrzymam - jest kulturalnie)

pozdro

**Posty:** 236 · przez **mopserdak** 24 Lis 2006, 22:58

Wielkie dzięki za pomoc

jeśli nie wirus ani spy to co to??

jeśli nie wirus ani spy to co to??

Kto jest na forum