• Ogłoszenie:

Wirus blokujący dostęp do internetu

Bezpieczeństwo systemów, usuwanie wirusów, dobieranie programów antywirusowych. Obowiązkowe logi w tym dziale: trzy z FRST + Gmer.

Wirus blokujący dostęp do internetu

Postprzez Brawo 02 Lis 2008, 22:48

reklama
Witam, piszę w imieniu brata, bo przez tego wirusa nie może nic uruchomić i nie ma dostępu do netu.

Kiedy zapala komputer zamiast planszy z Windows XP wyświetla się takie coś:
http://img83.imageshack.us/my.php?image=dsc2246cx8.jpg
http://img83.imageshack.us/my.php?image=dsc2249dg7.jpg

nie da się też nic otworzyć, ani uruchomić trybu awaryjnego.
co robić?
Awatar użytkownika
Brawo
~user
 
Posty: 128
Dołączenie: 01 Mar 2006, 23:22



Wirus

Postprzez Magik 02 Lis 2008, 23:50

postap wg instrukcji ponizej, sciagnij te programy, nagraj na plyte, wlej logi

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będšc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. ZatwierdŸ czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje



Potem wejdz do folderu C:\SDFix wrzuc zawartoœć pliku Report.txt + log z combofixa oraz daj loga z hijacka
Image Image
Awatar użytkownika
Magik
~user
 
Posty: 7956
Dołączenie: 08 Maj 2004, 09:17
Miejscowość: Głogów
Pochwały: 886



Re: wirus blokujący dostęp do internetu

Postprzez Brawo 03 Lis 2008, 18:50

Magik, ale widziałeś tamte okna, które się wyświetlają. Tam jest, że żeby ochronić dane z dysku przed skasowaniem należy zrestartować komputer, czyt. nie otwierać Windowsa (te okna są jeszcze przed załadowaniem się Windy). Brat mówi, że tryb awaryjny nie działa i znowu pojawiają się okna.
Czy da się coś zrobić, żeby nie utracić danych, a jednocześnie pozbyć się tego czegoś?
Awatar użytkownika
Brawo
~user
 
Posty: 128
Dołączenie: 01 Mar 2006, 23:22



Wirus blokujący dostęp do internetu

Postprzez Magik 03 Lis 2008, 19:05

Wirus bootsectora-->zdolnego masz brata

wylacz w BIOS'ie opcje: daj na DISABLE
Kod: Zaznacz wszystko
VIRUS PROTECTED ENABLE


Kod: Zaznacz wszystko
Boot Sector Virus Protection

lub podobnie brzmiaca

dyskietka startowa od win98 i komenda

Kod: Zaznacz wszystko
fdisk /mbr


posypie sie mbr wiec dane poleca w eter//trudno........MBR tzreba wyzerowac//
Image Image
Awatar użytkownika
Magik
~user
 
Posty: 7956
Dołączenie: 08 Maj 2004, 09:17
Miejscowość: Głogów
Pochwały: 886



Re: wirus blokujący dostęp do internetu

Postprzez Brawo 03 Lis 2008, 23:21

pierwsza część zrobiona, włącza się Windows, w normalnym trybie pojawia się pulpit bez ikon, po czym komp się resetuje, a w trybie awaryjnym loguje na profil administratora, ale nic nie da się uruchomić. brat się zastanawia co do drugiej części, czy naprawdę nie obejdzie się bez utraty danych?
Awatar użytkownika
Brawo
~user
 
Posty: 128
Dołączenie: 01 Mar 2006, 23:22



Wirus blokujący dostęp do internetu

Postprzez Magik 03 Lis 2008, 23:24

Brawo napisał(a):pierwsza część zrobiona, włącza się Windows,


i o to chodzilo bys mogl wlozyc dyskietke i wyzerowac mbr//ten wirek wymaga wyzerowania dysku, takiego sflashowania by go usunac

to podepnij dysk pod inny komp//zgraj te dany a tamten dysk wyzeruj lacznie z mbr
Image Image
Awatar użytkownika
Magik
~user
 
Posty: 7956
Dołączenie: 08 Maj 2004, 09:17
Miejscowość: Głogów
Pochwały: 886



Re: wirus blokujący dostęp do internetu

Postprzez Brawo 04 Lis 2008, 21:31

wczoraj po włączeniu był napis "system po poważnej awarii" i wyświetlał się kod: 1073741819
a mbr jeszcze nie wyzerowane, bo udało się zrobić logi!


SDFix:
Kod: Zaznacz wszystko
[b]SDFix: Version 1.239 [/b]
Run by Administrator on 2008-11-04 at 19:13

Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:

[b]Name [/b]:
{DEF85C80-216A-43ab-AF70-1665EDBE2780}

[b]Path [/b]:
\??\C:\WINDOWS\TEMP\12.tmp

{DEF85C80-216A-43ab-AF70-1665EDBE2780} - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting



Combofix:
Kod: Zaznacz wszystko
ComboFix 08-11-03.06 - Administrator 2008-11-04 20:11:24.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.167 [GMT 1:00]
* Utworzono nowy punkt przywracania
.

(((((((((((((((((((((((((   Pliki utworzone od 2008-10-04 do 2008-11-04  )))))))))))))))))))))))))))))))
.

2008-11-04 19:09 . 2008-11-04 19:09   <DIR>   d--------   c:\windows\ERUNT
2008-11-04 19:01 . 2008-11-04 19:24   <DIR>   d--------   C:\SDFix
2008-11-04 16:46 . 2008-03-25 05:52   621,344   --a------   c:\windows\system32\mswstr10.dll
2008-11-04 16:46 . 2004-08-03 23:44   25,088   --a------   c:\windows\system32\userinit.exe
2008-11-04 16:37 . 2008-11-04 16:38   <DIR>   d--------   c:\windows\pliki z awarii
2008-11-01 23:37 . 2008-11-01 23:37   54,156   --ah-----   c:\windows\QTFont.qfn
2008-11-01 23:37 . 2008-11-01 23:37   1,409   --a------   c:\windows\QTFont.for
2008-10-29 06:50 . 2008-10-29 06:50   <DIR>   d--hs----   C:\found.000
2008-10-26 11:00 . 2008-10-26 11:00   1,606   --a------   c:\windows\system32\PerfStringBackup.TMP
2008-10-08 20:38 . 2008-10-08 20:39   <DIR>   d--------   c:\documents and settings\Administrator\dwhelper
2008-10-07 19:40 . 2008-11-04 18:34   <DIR>   d--------   c:\documents and settings\Administrator\Dane aplikacji\DMCache
2008-10-07 19:39 . 2008-10-07 19:39   <DIR>   d--------   c:\program files\CCleaner

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-04 18:30   ---------   d-----w   c:\documents and settings\Administrator\Dane aplikacji\Tlen.pl
2008-11-04 18:24   44,032   ----a-w   c:\windows\Internet Logs\xDB6.tmp
2008-11-03 20:44   14,336   ----a-w   c:\windows\Internet Logs\xDB5.tmp
2008-11-03 20:32   73,216   ----a-w   c:\windows\Internet Logs\xDB3.tmp
2008-11-03 20:32   1,569,280   ----a-w   c:\windows\Internet Logs\xDB4.tmp
2008-10-30 20:06   ---------   d-----w   c:\program files\WinTV
2008-10-29 18:41   872,960   ----a-w   c:\windows\Internet Logs\xDB2.tmp
2008-09-27 19:01   ---------   d-----w   c:\program files\NAPI-PROJEKT
2008-09-27 19:01   ---------   d-----w   c:\program files\ALLPlayer
2008-09-27 18:46   ---------   d-----w   c:\program files\Haali
2008-09-24 17:39   ---------   d-----w   c:\program files\Grupa IMAGE
2008-09-22 20:43   ---------   d-----w   c:\program files\Free WMA to MP3 Converter
2008-09-21 12:10   ---------   d-----w   c:\program files\Spybot - Search & Destroy
2008-09-19 21:09   ---------   d-----w   c:\program files\Google
2008-09-19 19:26   ---------   d--h--w   c:\program files\InstallShield Installation Information
2008-09-17 18:26   ---------   d-----w   c:\program files\Common Files\ArcSoft
2008-09-17 18:26   ---------   d-----w   c:\program files\ArcSoft
2008-09-17 18:26   ---------   d-----w   c:\documents and settings\Administrator\Dane aplikacji\ArcSoft
2008-09-17 05:32   3,056,128   ----a-w   c:\windows\Internet Logs\xDB1.tmp
2007-07-04 17:11   36   ----a-w   c:\documents and settings\Administrator\klextlock.dat
2001-11-23 04:08   712,704   ----a-w   c:\windows\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\lib\NMBgMonitor.exe" [2005-09-08 94208]
"Komunikator"="c:\program files\Tlen.pl\tlen.exe" [2006-10-11 1118720]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-01-12 68856]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"DriverUpdaterPro"="c:\program files\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe" [2008-06-26 2294308]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Zone Labs Client"="c:\program files\ZoneLabs\ZoneAlarm\zlclient.exe" [2006-08-23 968696]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 32881]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-16 86016]
"ArcSoft Connection Service"="c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-07-17 64000]
"QuickTime Task"="c:\windows\system32\qttask.exe" [2006-10-15 98304]
"SDFix"="c:\sdfix\RunThis.bat" [2008-11-03 963266]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 c:\windows\system32\bthprops.cpl]
"nwiz"="nwiz.exe" [2008-05-16 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm
"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL
"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll
"msacm.msaudio1"= c:\progra~1\ACEMEG~1\SystemS\MICROS~1\msaud32.acm
"msacm.iac2"= c:\progra~1\ACEMEG~1\SystemS\Intel\iac25_32.ax
"SENTINEL"= snti386.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\rundisabled]
"NVCLOCK"=Rundll32 nvclock.dll,fnNvclock
"C-Media Mixer"=Mixer.exe /startup
"NWEReboot"=
"QuickTime Task"="c:\windows\system32\qttask.exe" -atboottime
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"NvCplDaemon"=RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup
"nwiz"=nwiz.exe /install
"WhenUSearch"="c:\program files\DAEMON Tools SearchBar\Search.exe"
"WhenUSearchWHSE"="c:\program files\DAEMON Tools SearchBar\whse.exe"
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\securitycenter\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Tlen.pl\\tlen.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 HCW88AUD;Hauppauge WinTV 88x Audio Capture;c:\windows\system32\drivers\hcw88aud.sys [2008-04-18 12928]
R2 COSIDS_TB;COSIDS_TB;c:\progra~1\COSIDS\BIN\TbMux32.exe [2001-11-20 165376]
R2 pqeauto.database.dbmonitor.GMG;pqeauto.database.dbmonitor.GMG;d:\program files\BHPS\Gmg\bin\DBMonService.exe -snpqeauto.database.dbmonitor.GMG [ ]
R2 pqeauto.energy.mappermonitor;pqeauto.energy.mappermonitor;d:\program files\BHPS\Pmap1\bin\MapperMonService.exe [2007-11-29 69632]
R2 pqeauto.engine.tomcatmonitor.GMG;pqeauto.engine.tomcatmonitor.GMG;d:\program files\BHPS\Gmg\bin\TomcatMonService.exe [2007-11-29 69632]
R3 HCW88BDA;Hauppauge WinTV 88x DVB Tuner/Demod;c:\windows\system32\drivers\hcw88bda.sys [2008-04-18 182400]
R3 HCW88TSE;Hauppauge WinTV 88x MPEG/TS Capture;c:\windows\system32\drivers\hcw88tse.sys [2008-04-18 320256]
R3 HCW88TUNE;Hauppauge WinTV 88x Tuner;c:\windows\system32\drivers\hcw88tun.sys [2008-04-18 74624]
R3 hcw88vid;Hauppauge WinTV 88x Video;c:\windows\system32\drivers\hcw88vid.sys [2008-04-18 394880]
R3 HCW88XBAR;Hauppauge WinTV 88x Crossbar;c:\windows\system32\drivers\HCW88BAR.sys [2008-17280]
S3 VGAUTI;VGAUTI;c:\windows\system32\DRIVERS\VGAUTI.sys [2003-05-22 36644]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);c:\windows\system32\DRIVERS\w300bus.sys [2006-03-13 60800]
S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;c:\windows\system32\DRIVERS\w300mdfl.sys [2006-03-13 9264]
S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;c:\windows\system32\DRIVERS\w300mdm.sys [2006-03-13 96352]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\w300mgmt.sys [2006-03-13 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\w300obex.sys [2006-03-13 85696]
S3 WEBNTACCESS;WEBNTACCESS;c:\windows\system32\NTACCESS.SYS [ ]

*Newly Created Service* - PROCEXP90
.
- - - - USUNIĘTO PUSTE WPISY - - - -

HKLM-Run-CmPCIaudio - CMICNFG3.cpl


.
------- Skan uzupełniający -------
.
FireFox -: Profile - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\5leu8iiq.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.onet.pl
FF -: plugin - c:\program files\ACE Mega CoDecS Pack\SystemS\RealMedia\Browser\plugins\nppl3260.dll
FF -: plugin - c:\program files\ACE Mega CoDecS Pack\SystemS\RealMedia\Browser\plugins\nprpjplug.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava11.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava12.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava13.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava14.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJava32.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPJPI142_03.dll
FF -: plugin - c:\program files\Java\j2re1.4.2_03\bin\NPOJI610.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
FF -: plugin - c:\program files\MozillaFirefox\plugins\npImgrPlg.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-04 20:14:53
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

PROCES: c:\windows\explorer.exe
-> ?:\windows\system32\ATL.DLL
-> ?:\windows\system32\ATL.DLL
-> ?:\windows\system32\ATL.DLL
-> ?:\windows\system32\ATL.DLL
.
Czas ukończenia: 2008-11-04 20:18:29
ComboFix-quarantined-files.txt  2008-11-04 19:18:20

Przed: 9,271,939,072 bajtów wolnych
Po: 9,258,299,392 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

170   --- E O F ---   2008-07-28 21:48:45



Hijackthis:
Kod: Zaznacz wszystko
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:26:47, on 2008-11-04
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\PROGRA~1\COSIDS\BIN\TbMux32.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Program Files\BHPS\Pmap1\bin\MapperMonService.exe
C:\Program Files\BHPS\JRE142\bin\javaw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spnsrvnt.exe
C:\PROGRA~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe
C:\PROGRA~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe
C:\PROGRA~1\JAVA\J2RE14~1.0_0\bin\java.exe
D:\Program Files\BHPS\Gmg\bin\DBMonService.exe
D:\Program Files\BHPS\Gmg\bin\TomcatMonService.exe
D:\Program Files\BHPS\Gmg\bin\tbmux32.exe
C:\Program Files\BHPS\JRE142\bin\java.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\WINDOWS\system32\qttask.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe
D:\Program Files\BHPS\Gmg\bin\tbkern32.exe
D:\Program Files\BHPS\Gmg\bin\tbkern32.exe
D:\Program Files\BHPS\Gmg\bin\tbkern32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Spybot - Search &Destroy\TeaTimer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.1121.2472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Ru[NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SDFix] C:\SDFix\RunThis.bat /second
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Program Files\XPC Tools\Driver Updater Pro\DriverUpdaterPro.exe -t
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration -{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F1A4D7FB-6120-4852-9774-2CA1FAEFC028}: NameServer = 194.204.159.1,217.98.63.164
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: COSIDS_TB - TransAction Software, D 81737 Munich - C:\PROGRA~1\COSIDS\BIN\TbMux32.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Google - (no file)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: pqeauto.database.dbmonitor.GMG - ProQuest Business Solutions - D:\Program Files\BHPS\Gmg\bin\DBMonService.exe
O23 - Service: pqeauto.energy.mappermonitor - ProQuest Business Solutions - D:\Program Files\BHPS\Pmap1\bin\MapperMonService.exe
O23 - Service: pqeauto.engine.tomcatmonitor.GMG - ProQuest Business Solutions - D:\Program Files\BHPS\Gmg\bin\TomcatMonService.exe
O23 - Service: SentinelSuperProNet Server (SuperProServer) - Rainbow Technologies - C:\WINDOWS\system32\spnsrvnt.exe
O23 - Service: TIS 2000 Apache Web SUnknown owner - C:\PROGRA~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8153 bytes
Awatar użytkownika
Brawo
~user
 
Posty: 128
Dołączenie: 01 Mar 2006, 23:22



Wirus blokujący dostęp do internetu

Postprzez Magik 04 Lis 2008, 22:30

sciagnij
http://www2.gmer.net/mbr/mbr.exe

Zapisujemy koniecznie na dysku C:\


W zależności czy narzędzie coś wykryje czy nie pokaże log i zapisze go na dysku C:\ ( głownie będzie tam gdzie jest zapisane MBR.exe ) mbr.log

W celu wyczyszczenia naszego Głównego Rekordu Rozruchowego (MBR) dysku twardego , należy wejść w tryb awaryjny z obsługą lini komend i wpisać komende ( pamietamy że nasz MBR.exe ma byc zapisany na dysku C:\ inaczej komenda nie zadziała)

C:\mbr.exe -f

i teraz zrob to
Image Image
Awatar użytkownika
Magik
~user
 
Posty: 7956
Dołączenie: 08 Maj 2004, 09:17
Miejscowość: Głogów
Pochwały: 886




Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 19 gości