Walka z wirusami

Walka z wirusami

---

KreeM - 27 Gru 2005 15:07
Windows ... no co zrobić , nie da sie z nim wlaczyć Najchętniej bym zainstalował sobie linuxa , ale potrzebuje windy do pracy. Zaraz po sfomatowaniu dysku i zainstalowaniu na świeżo Windowsa XP Professional , zainstalowała mi sie masa trojanów i spywere'ów. Z niektórymi dałem sobie rade jak spy sheriff i tego typu , natomiast denerwuje mnie jeszcze , to , że firefox mi sie otwiera z jakimiś stronami i kerio mi wyrzuca próbe ataku przez winlogon.exe [wogóle do czego on jest ?] ...
Tutaj log z HijackThis:



Logfile of HijackThis v1.99.1
Scan saved at 14:01:25, on 2005-12-27
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\marek\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe
O4 - HKCU\..\Run: [WinFixer2005] "C:\Program Files\WinFixer 2005\uwfx5.exe" /min
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\mv64l9jq1.dll
O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

---

---

kacz2n - 27 Gru 2005 15:41
Usuń:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html -> plik usuń z dysku
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx (file missing)
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe ->plik usuń z dysku
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe" -> usuń plik
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe -> usuń plik
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe -> usuń plik
O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe -> usuń plik
O4 - HKCU\..\Run: [WinFixer2005] "C:\Program Files\WinFixer 2005\uwfx5.exe" /min -> usuń katalog WinFixer2005
O20 - Winlogon Notify: H323TSP - C:\WINDOWS\system32\mv64l9jq1.dll -> usuń plik
O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll -> usuń plik

Poza tym złapałeś Look2Me i użyj np.Look2me remover lub look2mefix (poszukaj w google)

Dodano po 10 [minuty]:

Przeskanuj też tym:
http://download.ewido.net/ewido-setup.exe przed skanowaniem zaktualizuj,
po skanowaniu odinstaluj

---

jankolo - 27 Gru 2005 15:42
Na przyszłość proponowałbym następującą procedurę instalowania systemu:
1. ODŁĄCZAMY kabel sieci komputerowej;
2. Instalujemy system;
3. Uaktywniamy zaporę systemową lub instalujemy firewalla;
4. Instalujemy program antywirusowy;
5. Aktualizujemy bazę danych programu antywirusowego;
6. Instalujemy program blokujący malware;
7. PODŁĄCZAMY kabel sieci komputerowej;
8. Aktualizujemy system;

---

KreeM - 27 Gru 2005 16:00
a powiedzcie mi jescze , co z tym winlogon.exe
bo dalej mi wyskakuje próba ataku

---

---

Kolobos - 27 Gru 2005 18:06
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx (file missing) <- czemu to popsules? nie bedziesz mial dzwieku na stronach www.

To jest od Nero:
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
Nie trzeba go usuwac, wystarczy wylaczyc w msconfig

Sprawdz plik winlogo.exe tym skanerem:
http://virusscan.jotti.org/ i napisz czy cos znalazl, ale pliku narazie nie ruszaj.

Look2me sprobuj usunac tym:
http://www.simplytech.it/L2MRemover/index_e.htm
http://www.look2me.com/cgi-bin/UnInstaller
http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=30&p=109496&#entry114917

Zainstaluj tez antyvirus:
http://www.avast.com/eng/avast_4_home.html

Zamknij porty przy pomocy:
http://www.firewallleaktester.com/tools/wwdc.exe

Jak juz zrobisz to wszystko to wklej nowy log.