x-kom hosting

Problem z usunięciem wirusa

Flappy
utworzono
utworzono (edytowane)

Witam wszystkich serdecznie,
Od rana bezskutecznie walczę z wirusem na moim Windowsie XP.
Oto logi:

[log]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:20:03, on 2010-08-31
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Program Files\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\atwtusb.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\Program Files\Common Files\Java\Java Update\jusched.exe
D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
D:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
D:\Program Files\Orbitdownloader\orbitdm.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Orbitdownloader\orbitnet.exe
D:\WINDOWS\system32\TBLMOUSE.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\taskmgr.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - D:\Program Files\Styler\TB\StylerTB.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - D:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe
O4 - HKLM\..\Run: [nwiz] D:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [amd_dc_opt] D:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "D:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
O4 - HKLM\..\Run: [SwitchBoard] D:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5ServiceManager] "D:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "D:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe
O4 - HKLM\..\Run: [WinUpdate] D:\Documents and Settings\Krzysiu\Dane aplikacji\Winupdate.exe
O4 - HKLM\..\Run: [Windows Installer] d:\windows\Windows Installer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AQQ] D:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe
O4 - HKCU\..\Run: [WinUpdate] D:\Documents and Settings\Krzysiu\Dane aplikacji\Winupdate.exe
O4 - HKCU\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe
O4 - HKLM\..\Policies\Explorer\Run: [WinUpdate] D:\Documents and Settings\Krzysiu\Dane aplikacji\Winupdate.exe
O4 - HKUS\S-1-5-18\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe (User 'Default user')
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O4 - Global Startup: Orbit.lnk = D:\Program Files\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{06BC29E3-DBD6-4187-BC4B-7480933DA156}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{209992D6-5565-46C6-9198-0769B67D16CE}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{06BC29E3-DBD6-4187-BC4B-7480933DA156}: NameServer = 192.168.1.1
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - D:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - D:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

--
End of file - 6479 bytes
[/log]

Niepokoją mnie te linijki
[code]O4 - HKCU\..\Run: [WinUpdate] D:\Documents and Settings\Krzysiu\Dane aplikacji\Winupdate.exe
O4 - HKCU\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe
O4 - HKLM\..\Policies\Explorer\Run: [WinUpdate] D:\Documents and Settings\Krzysiu\Dane aplikacji\Winupdate.exe
O4 - HKUS\S-1-5-18\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Developer Operations Network] D:\windows\Windows Installer.exe (User 'Default user')[/code]
I jeszcze kilka takich pokrewnych. Usunięcie tego nie byłoby problemem, gdyby nie fakt że próba zabicia procesu Winupdate.exe kończy się restartem kompa, a tryb awaryjny(ani zwykły, ani z obsługą sieci, ani z wierszem poleceń) najzwyczajniej w świecie nie chce się uruchomić... Tzn. migają te takie białe napisy jakby się wszystko ładowało, a po chwili komp się restartuje. Próba uruchomienia combofixa też niewiele daje, ponieważ przy uruchomieniu zabija on proces Winupdate.exe co skutkuje restartem. przy starcie systemu włącza się jeszcze jeden proces zillusion56.exe ale ten mogę spokojnie zabić.
Będę bardzo wdzięczny za każdą pomoc.
Pozdrawiam.

Tomek01
komentarz
komentarz

Wrzuć logi RSIT i OTL wklejając je w TAGI ! (regulamin).

Jest tu dość poważna infekcja, dlatego potrzebuję zobaczyć również rejestr. HiJackThis jest za słabym narzędziem, zbyt mało widać.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.