prosze o spr. loga od kumpla - syfu w cholere i jakies wirus

[RufuS*]

Witam ! ponizej jest log mojego kumpla - juz widze ze ma smiecie...i wirusow... log:

Kod: Zaznacz wszystko

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\acs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\lsasrv.exe
C:\WINDOWS\System32\winldra.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\System32\Services\{BF48C999-5D0D-470C-9F8F-6E3EE9923AF2}\SVCHOST.EXE
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\Drivers\svchost.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\System32\combo.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\paytime.exe
C:\winstall.exe
C:\WINDOWS\tool2.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00017.exe
C:\WINDOWS\tool2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\A\Moje dokumenty\Mari\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clicksearchclick.com/index.php?aff=19
R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\lsasrv.exe
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - D:\Wiola\iMeshBHO.dll
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Program Files\iMeshBar\bar\4.bin\IMESHBAR.DLL
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Program Files\iMeshBar\bar\4.bin\IMESHBAR.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\System32\lsasrv.exe
O4 - HKLM\..\Run: [_Cat4] C:\WINDOWS\msmsgr2.exe
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\System32\lsasrv.exe
O4 - HKLM\..\Run: [_Cat4] C:\WINDOWS\msmsgr2.exe
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{BF48C999-5D0D-470C-9F8F-6E3EE9923AF2}\SVCHOST.EXE
O4 - HKLM\..\Run: [qmbqjajt] C:\WINDOWS\System32\qmbqjajt.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [KxmWO] C:\WINDOWS\nrulpfst.exe
O4 - HKLM\..\Run: [Generic Host Process for Win32 Services] C:\WINDOWS\System32\Drivers\svchost.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [MouseDrv] C:\DOCUME~1\A\USTAWI~1\Temp\link.txt
O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
[combo.exe] combo.exe
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{BF48C999-5D0D-470C-9F8F-6E3EE9923AF2}\SECURITY.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\symcsvc.exe
O4 - HKCU\..\Run: [MouseDrv] C:\DOCUME~1\A\USTAWI~1\Temp\link.txt
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00017.exe"
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm537YYPL
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q4266544.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O21 - SSODL: Web Event Logger - {7CFBACFF-EE01-1231-ABDD-416592E5D639} - C:\WINDOWS\System32\Eedjnb32.dll
O21 - SSODL: System - {951D9ECC-8FBF-45D6-9DB7-F6329D3A482D} - vr_sys.dll (file missing)
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
O20 - Winlogon Notify: style2 - C:\WINDOWS\q4266544.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O21 - SSODL: Web Event Logger - {7CFBACFF-EE01-1231-ABDD-416592E5D639} - C:\WINDOWS\System32\Eedjnb32.dll
O21 - SSODL: System - {951D9ECC-8FBF-45D6-9DB7-F6329D3A482D} - vr_sys.dll (file missing)
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe
O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE


i on sie dziwil ze mu komp wolno chodzil... log moze byc troche niekomplenty bo dostalem go w czesciach przez gadu...

[Magik]

Witam

Kod: Zaznacz wszystko

C:\WINDOWS\System32\lsasrv.exe

worm

Kod: Zaznacz wszystko

winldra.exe

Troj/Dumaru-AT

Kod: Zaznacz wszystko

C:\WINDOWS\System32\paytime.exe

syfek

Kod: Zaznacz wszystko

tool2.exe

Trojanek

Kod: Zaznacz wszystko

C:\windows\system32\mdms.exe

NO COMMENT

Kod: Zaznacz wszystko

C:\winstall.exe

SPYBOT-CY Worm

Kod: Zaznacz wszystko

   R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
      F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\lsasrv.exe
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - D:\Wiola\iMeshBHO.dll
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\System32\lsasrv.exe
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
   O4 - HKLM\..\Run: [lsass] C:\WINDOWS\System32\lsasrv.exe
   O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
   O4 - HKLM\..\Run: [qmbqjajt] C:\WINDOWS\System32\qmbqjajt.exe
O4 - HKLM\..\Run: [Generic Host Process for Win32 Services] C:\WINDOWS\System32\Drivers\svchost.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
   O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O21 - SSODL: Web Event Logger - {7CFBACFF-EE01-1231-ABDD-416592E5D639} - C:\WINDOWS\System32\Eedjnb32.dll
O21 - SSODL: Web Event Logger - {7CFBACFF-EE01-1231-ABDD-416592E5D639} - C:\WINDOWS\System32\Eedjnb32.dll
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm537YYPL
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

Jest tego troche.........cos moglem ominac ale zcerowny lub 600V zaraz cosi kdorzuca

[jeff]

startujesz do trybu awaryjnego. Nie wiem czy możesz wyłączyć przywracanie systemu bo nie widze nagłówka ale to twój problem . Kasujesz ręcznie pogrubione pliki/foldery:

C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\lsasrv.exe
C:\WINDOWS\System32\winldra.exe
C:\WINDOWS\tool2.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\System32\combo.exe
C:\winstall.exe
C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00017.exe
C:\Program Files\MyWebSearch
D:\Wiola\iMeshBHO.dll
C:\WINDOWS\msmsgr2.exe
C:\WINDOWS\System32\qmbqjajt.exe
C:\WINDOWS\System32\Drivers\svchost.exe
C:\Program Files\winupdates\winupdates.exe
C:\WINDOWS\System32\symcsvc.exe
C:\WINDOWS\SYSTEM32\drct16.dll
C:\WINDOWS\q4266544.dll
C:\WINDOWS\SYSTEM32\tcpG4T.dll
C:\WINDOWS\System32\Eedjnb32.dll

potem kasujesz wpisy w Hijacku:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clicksearchclick.com/index.php?aff=19
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\lsasrv.exe
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - D:\Wiola\iMeshBHO.dll
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Program Files\iMeshBar\bar\4.bin\IMESHBAR.DLL
O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Program Files\iMeshBar\bar\4.bin\IMESHBAR.DLL
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\System32\lsasrv.exe
O4 - HKLM\..\Run: [_Cat4] C:\WINDOWS\msmsgr2.exe
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\System32\lsasrv.exe
O4 - HKLM\..\Run: [_Cat4] C:\WINDOWS\msmsgr2.exe
O4 - HKLM\..\Run: [load32] C:\WINDOWS\System32\winldra.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{BF48C999-5D0D-470C-9F8F-6E3EE9923AF2}\SVCHOST.EXE
O4 - HKLM\..\Run: [qmbqjajt] C:\WINDOWS\System32\qmbqjajt.exe
O4 - HKLM\..\Run: [KxmWO] C:\WINDOWS\nrulpfst.exe
O4 - HKLM\..\Run: [Generic Host Process for Win32 Services] C:\WINDOWS\System32\Drivers\svchost.exe
O4 - HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
[combo.exe] combo.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [wupd] C:\WINDOWS\System32\symcsvc.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00017.exe
O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZCxdm537YYPL
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {B7E76C25-791F-432E-BDB7-748D01A93FC2} (VacPro.int_ver30) - http://advnt01.com/dialer/int_ver30.CAB
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O20 - Winlogon Notify: style2 - C:\WINDOWS\q4266544.dll
O20 - Winlogon Notify: tcpG4T - C:\WINDOWS\SYSTEM32\tcpG4T.dll
O21 - SSODL: Web Event Logger - {7CFBACFF-EE01-1231-ABDD-416592E5D639} - C:\WINDOWS\System32\Eedjnb32.dll
O21 - SSODL: System - {951D9ECC-8FBF-45D6-9DB7-F6329D3A482D} - vr_sys.dll (file missing)

R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)

Ten wpis z kreseczką "_" usuniesz edytorem rejestru Registrar Lite

http://www.resplendence.com/reglite

Uruchom edytor w pole Address wklej ścieżke
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{08C06D61-F1F3-4799-86F8-BE1A89362C85} wszystkie inne wpisy z taką samą kreseczką także kasujesz i z prawokliku kasujesz wpisy.

O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing)

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz proces Loading Outpost Connections nastepnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz KDE => Ok i zresetuj komputer.

Backdoor Haxdoor AG - opis http://www.searchengines.pl/phpbb203/index.php?showtopic=43082&st=0&p=194000?entry194000

Nie tak łatwo to Usuwanie Trojan.Repsamo, jak jego usunąć masz opisane http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&hl=mdms&st=30

[MUTOPOMPKA]

Po pierwsze: Niech zainstaluje lub zeskanuje system w trybie awaryjnym z obsługą sieci jakimś skanerem online....

Po drugie: Niech ten koleś zainstaluje sobie jakiegoś antywira i firewalla

Po trzecie: Niech ten koleś nie klika we wszystko, co się pojawia na ekranie

Po trzecie: Niech nie wchodzi na strony crackersko/pornosowe

Po czwarte: Niech poczyta sobie o bezpieczeństwie w sieci.

Po piąte: niech zapuści formata (będzie lepiej)

Po szóste: wróc do punktu 2.

[RufuS*]

osz w twarz ...cos tak czulem ze bedzie duzo syfu ale nie myslalem ze trzbea bedzie przez rejestr wywwalac...chcialm kumplowi przez gg napisac co ma zrobic ale widze ze bede musial sie do niego przjesc...co do firewlla instalne mu kerio a co do antywira to ma dosc slaby komp i taki Norton to odpada co byscie proponowali na 128mb ramu i durona 1200 (czy jakos tyle) ??

Po pierwsze: Niech zainstaluje lub zeskanuje system w trybie awaryjnym z obsługą sieci jakimś skanerem online....

z tym raczje bedzie probelm poniewaz net mu choci slabo....

Po piąte: niech zapuści formata (będzie lepiej)

czyli ostatecznosc...ja tez bym tak zrobil tylko kumpel mial z jekies pol roku temu formata i przerzocil sie z 98 na XP dlatego moze ja sie do niego jednak przejde i troche pomecze