Świeźo postawiony windows i juź zainfekowany
Przedwczoraj postawiłem na sformatowanej partycji windowsa xp pro i juź po dwóch dniach komp jest prawdopodobnie zaatakowany. nie chce mi się włączyć nero, mam teź problem z jego odinstalowaniem. padł teź install shield. najśmieszniejsze jest to, źe komp nie jest podłączony do sieci. antyvirusem juź skanowałem(bit defender 8 free edition) i nic nie wykrył. nasuwa mi się pytanie : czy to coś groźnego? co to moźe być za wirus/robak, który modyfikuje programy? logi hijacka i cwshredder daję poniźej:
cwshredder
Logfile of HijackThis v1.99.1
Scan saved at 00:42:36, on 2005–08–21
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\nwiz.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Softwin\BitDefender8\bdnews.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\Connection Wizard\ICWCONN1.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Przemcio\USTAWI~1\Temp\Rar$EX00.735\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"
O4 – HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O23 – Service: BitDefender Scan Server (bdss) – Unknown owner – C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: Kerio Personal Firewall (PersFw) – Kerio Technologies – C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 – Service: BitDefender Communicator (XCOMM) – Softwin – C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
cwshredder
**** Run Keys ****
RUN: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
RUN: [nwiz] nwiz.exe /install
RUN: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
RUN: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
RUN: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"
RUN: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
RUN: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
RUN: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
RUN: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
**** Browser Helper Objects ****
**** IE Toolbars ****
TOOLBAR: [&Radio] C:\WINDOWS\System32\msdxm.ocx
**** IE Extensions ****
IEExt: [@shdoclc.dll,–866]
**** Hosts File Entries ****
HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost
**** IE Settings ****
Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default Search: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Local Page: C:\WINDOWS\System32\blank.htm
Search Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
**** IE Context Menu (Right click) ****
**** Layered Service Providers ****
LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0BB9119E–63E3–4791–ACD9–64AA0595DA1B}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0BB9119E–63E3–4791–ACD9–64AA0595DA1B}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A45D7484–9761–431B–A771–29A63E9167A4}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A45D7484–9761–431B–A771–29A63E9167A4}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B6C7C869–2BF0–4B2F–A98E–1E8469729F9A}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{B6C7C869–2BF0–4B2F–A98E–1E8469729F9A}] DATAGRAM 2
**** Blocked Control Panel Items ****
BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No
**** Downloaded Program Files ****
**** Windows Services ****
[Alerter] %SystemRoot%\System32\svchost.exe –k LocalService
[ALG] %SystemRoot%\System32\alg.exe
[AppMgmt] %SystemRoot%\system32\svchost.exe –k netsvcs
[AudioSrv] %SystemRoot%\System32\svchost.exe –k netsvcs
[bdss] C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe /service
[BITS] %SystemRoot%\System32\svchost.exe –k netsvcs
[Browser] %SystemRoot%\System32\svchost.exe –k netsvcs
[cisvc] C:\WINDOWS\System32\cisvc.exe
[ClipSrv] %SystemRoot%\system32\clipsrv.exe
[COMSysApp] C:\WINDOWS\System32\dllhost.exe /Processid:{02D4B3F1–FD88–11D1–960D–00805FC79235}
[CryptSvc] %SystemRoot%\system32\svchost.exe –k netsvcs
[Dhcp] %SystemRoot%\System32\svchost.exe –k netsvcs
[dmadmin] %SystemRoot%\System32\dmadmin.exe /com
[dmserver] %SystemRoot%\System32\svchost.exe –k netsvcs
[Dnscache] %SystemRoot%\System32\svchost.exe –k NetworkService
[ERSvc] %SystemRoot%\System32\svchost.exe –k netsvcs
[Eventlog] %SystemRoot%\system32\services.exe
[EventSystem] C:\WINDOWS\System32\svchost.exe –k netsvcs
[FastUserSwitchingCompatibility] %SystemRoot%\System32\svchost.exe –k netsvcs
[helpsvc] %SystemRoot%\System32\svchost.exe –k netsvcs
[HidServ] %SystemRoot%\System32\svchost.exe –k netsvcs
[ImapiService] C:\WINDOWS\System32\imapi.exe
[lanmanserver] %SystemRoot%\System32\svchost.exe –k netsvcs
[lanmanworkstation] %SystemRoot%\System32\svchost.exe –k netsvcs
[LmHosts] %SystemRoot%\System32\svchost.exe –k LocalService
[Messenger] %SystemRoot%\System32\svchost.exe –k netsvcs
[mnmsrvc] C:\WINDOWS\System32\mnmsrvc.exe
[MSDTC] C:\WINDOWS\System32\msdtc.exe
[MSIServer] C:\WINDOWS\System32\msiexec.exe /V
[NetDDE] %SystemRoot%\system32\netdde.exe
[NetDDEdsdm] %SystemRoot%\system32\netdde.exe
[Netlogon] %SystemRoot%\System32\lsass.exe
[Netman] %SystemRoot%\System32\svchost.exe –k netsvcs
[Nla] %SystemRoot%\System32\svchost.exe –k netsvcs
[NtLmSsp] %SystemRoot%\System32\lsass.exe
[NtmsSvc] %SystemRoot%\system32\svchost.exe –k netsvcs
[NVSvc] %SystemRoot%\System32\nvsvc32.exe
[PersFw] C:\Program Files\Kerio\Personal Firewall\persfw.exe
[PlugPlay] %SystemRoot%\system32\services.exe
[PolicyAgent] %SystemRoot%\System32\lsass.exe
[ProtectedStorage] %SystemRoot%\system32\lsass.exe
[RasAuto] %SystemRoot%\System32\svchost.exe –k netsvcs
[RasMan] %SystemRoot%\System32\svchost.exe –k netsvcs
[RDSessMgr] C:\WINDOWS\system32\sessmgr.exe
[RemoteAccess] %SystemRoot%\System32\svchost.exe –k netsvcs
[RemoteRegistry] %SystemRoot%\system32\svchost.exe –k LocalService
[RpcLocator] %SystemRoot%\System32\locator.exe
[RpcSs] %SystemRoot%\system32\svchost –k rpcss
[RSVP] %SystemRoot%\System32\rsvp.exe
[SamSs] %SystemRoot%\system32\lsass.exe
[SCardDrv] %SystemRoot%\System32\SCardSvr.exe
[SCardSvr] %SystemRoot%\System32\SCardSvr.exe
[Schedule] %SystemRoot%\System32\svchost.exe –k netsvcs
[seclogon] %SystemRoot%\System32\svchost.exe –k netsvcs
[SENS] %SystemRoot%\system32\svchost.exe –k netsvcs
[SharedAccess] %SystemRoot%\System32\svchost.exe –k netsvcs
[ShellHWDetection] %SystemRoot%\System32\svchost.exe –k netsvcs
[Spooler] %SystemRoot%\system32\spoolsv.exe
[srservice] %SystemRoot%\System32\svchost.exe –k netsvcs
[SSDPSRV] %SystemRoot%\System32\svchost.exe –k LocalService
[stisvc] %SystemRoot%\System32\svchost.exe –k imgsvc
[SwPrv] C:\WINDOWS\System32\dllhost.exe /Processid:{CD115442–8EEE–4148–B556–FC1F0B210983}
[SysmonLog] %SystemRoot%\system32\smlogsvc.exe
[TapiSrv] %SystemRoot%\System32\svchost.exe –k netsvcs
[TermService] %SystemRoot%\System32\svchost.exe –k netsvcs
[Themes] %SystemRoot%\System32\svchost.exe –k netsvcs
[TlntSvr] C:\WINDOWS\System32\tlntsvr.exe
[TrkWks] %SystemRoot%\system32\svchost.exe –k netsvcs
[uploadmgr] %SystemRoot%\System32\svchost.exe –k netsvcs
[upnphost] %SystemRoot%\System32\svchost.exe –k LocalService
[UPS] %SystemRoot%\System32\ups.exe
[VSS] %SystemRoot%\System32\vssvc.exe
[W32Time] %SystemRoot%\System32\svchost.exe –k netsvcs
[WebClient] %SystemRoot%\System32\svchost.exe –k LocalService
[winmgmt] %systemroot%\system32\svchost.exe –k netsvcs
[WmdmPmSp] %SystemRoot%\System32\svchost.exe –k netsvcs
[Wmi] %SystemRoot%\System32\svchost.exe –k netsvcs
[WmiApSrv] C:\WINDOWS\System32\wbem\wmiapsrv.exe
[wuauserv] %SystemRoot%\system32\svchost.exe –k netsvcs
[WZCSVC] %SystemRoot%\System32\svchost.exe –k netsvcs
[XCOMM] C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe /service
**** Custom IE Search Items ****
SEARCH: [SearchAssistant] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
**** Complete IE Options ****
IEOPT: [NoUpdateCheck]
IEOPT: [NoJITSetup]
IEOPT: [Disable Script Debugger] yes
IEOPT: [Show_ChannelBand] No
IEOPT: [Anchor Underline] yes
IEOPT: [Cache_Update_Frequency] Once_Per_Session
IEOPT: [Display Inline Images] yes
IEOPT: [Do404Search]
IEOPT: [Local Page] C:\WINDOWS\System32\blank.htm
IEOPT: [Save_Session_History_On_Exit] no
IEOPT: [Show_FullURL] no
IEOPT: [Show_StatusBar] yes
IEOPT: [Show_ToolBar] yes
IEOPT: [Show_URLinStatusBar] yes
IEOPT: [Show_URLToolBar] yes
IEOPT: [Start Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
IEOPT: [Use_DlgBox_Colors] yes
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [First Home Page] http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&ar=runonce&pver={SUB_PVER}&plcid={SUB_CLSID}
IEOPT: [Check_Associations] yes
IEOPT: [FullScreen] no
IEOPT: [Window_Placement] ,
IEOPT: [NotifyDownloadComplete] yes
IEOPT: [Default_Page_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
IEOPT: [Default_Search_URL] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Search Page] http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IEOPT: [Enable_Disk_Cache] yes
IEOPT: [Cache_Percent_of_Disk]
IEOPT: [Delete_Temp_Files_On_Exit] yes
IEOPT: [Local Page] %SystemRoot%\system32\blank.htm
IEOPT: [Anchor_Visitation_Horizon]
IEOPT: [Use_Async_DNS] yes
IEOPT: [Placeholder_Width]
IEOPT: [Placeholder_Height]
IEOPT: [Start Page] http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
IEOPT: [CompanyName] Microsoft Corporation
IEOPT: [Custom_Key] MICROSO
IEOPT: [Wizard_Version] 6.0.2600.0000
IEOPT: [FullScreen] no
Odpowiedzi: 17
nwiz.exe:
– rozmiar 782 336 bajtów
– połoźenie C\Windows\system32 oraz C\Program Files\nVidia
Wniosek nasuwa mi się taki, źe wszystko jest ok ;) Zwróciłem uwagę teź na ikonkę pliku – ikonka nVidii ale to ma raczej małe znaczenie, ikonę zawsze moźna dać taką samą a zawartość pliku inną ;)
Problem uwaźam więc za rozwiązany i dziękuję Wam za pomoc.
Pozdrawiam!
– rozmiar 782 336 bajtów
– połoźenie C\Windows\system32 oraz C\Program Files\nVidia
Wniosek nasuwa mi się taki, źe wszystko jest ok ;) Zwróciłem uwagę teź na ikonkę pliku – ikonka nVidii ale to ma raczej małe znaczenie, ikonę zawsze moźna dać taką samą a zawartość pliku inną ;)
Problem uwaźam więc za rozwiązany i dziękuję Wam za pomoc.
Pozdrawiam!
nwiz.exe to w znakomitej większosci przypadków właśnie nVidia.
W połączeniu z innymi bibliotekami odpalanymi z RUNDLL32.EXE to prawie pewnosc co do 'czystosci'.
Porównać moźna nazwy wartosci dodawanych w Runach tych od nVidii i od Agobota/Gaobota.
Poza tym istotne jest połoźenie pliku jak wspomniał Rebe.
W połączeniu z innymi bibliotekami odpalanymi z RUNDLL32.EXE to prawie pewnosc co do 'czystosci'.
Porównać moźna nazwy wartosci dodawanych w Runach tych od nVidii i od Agobota/Gaobota.
Poza tym istotne jest połoźenie pliku jak wspomniał Rebe.
Ja naprawdę się nie znam...
Szukałem w googlach juź wcześniej, poszukałem i teraz. Wynik jest taki, źe dowiedziałem się paru rzeczy na temat HijackThis, poszperałem na wielu forach, bardzo się sfrustrowałem oraz zostałem przygnieciony przez oszałamiająco duźą ilość stron traktującą o plikach systemowych. Pomimo tego przejrzałem mniejszość z nich (mniejszość, bo zaledwie kilkanaście z 550.000) i znalazłem nawet ciekawe informacje o pliku, który mnie intrygował jakiś czas temu: NDIS User mode I/O Driver. Nie znalazłem niestety nic nowego na temat nwiz.exe, nie wiem więc nawet jaka jest jego prawidłowa lokalizacja.
Proszę więc o jakąś wskazówkę, gdzie mogę znaleźć potrzebne mi informacje. Google moim przyjacielem ale tym razem jest tego za duźo i właściwie nie wiem gdzie szukać, źeby zawęźyć krąg...
Szukałem w googlach juź wcześniej, poszukałem i teraz. Wynik jest taki, źe dowiedziałem się paru rzeczy na temat HijackThis, poszperałem na wielu forach, bardzo się sfrustrowałem oraz zostałem przygnieciony przez oszałamiająco duźą ilość stron traktującą o plikach systemowych. Pomimo tego przejrzałem mniejszość z nich (mniejszość, bo zaledwie kilkanaście z 550.000) i znalazłem nawet ciekawe informacje o pliku, który mnie intrygował jakiś czas temu: NDIS User mode I/O Driver. Nie znalazłem niestety nic nowego na temat nwiz.exe, nie wiem więc nawet jaka jest jego prawidłowa lokalizacja.
Proszę więc o jakąś wskazówkę, gdzie mogę znaleźć potrzebne mi informacje. Google moim przyjacielem ale tym razem jest tego za duźo i właściwie nie wiem gdzie szukać, źeby zawęźyć krąg...
tomilipin – w przepisywanie teog co o roli plików napisano w googlach bawił się nie bedę.
Zwóć jednak uwagę na to, źe b. częstym "znakiem firmowycm" robaka jest lokalizacja pliku.
Powiedzmy, źe "prawdziwy" powinien być w windows\system32 więc jeźeli znajdziesz plik o takiej nazwie w katalogu windows to juź jest sygnał, źe coś z nim moźe być nie tak.
Zwóć jednak uwagę na to, źe b. częstym "znakiem firmowycm" robaka jest lokalizacja pliku.
Powiedzmy, źe "prawdziwy" powinien być w windows\system32 więc jeźeli znajdziesz plik o takiej nazwie w katalogu windows to juź jest sygnał, źe coś z nim moźe być nie tak.
tomilipin – w przepisywanie teog co o roli plików napisano w googlach bawił się nie bedę.
Zwóć jednak uwagę na to, źe b. częstym "znakiem firmowycm" robaka jest lokalizacja pliku.
Powiedzmy, źe "prawdziwy" powinien być w windows\system32 więc jeźeli znajdziesz plik o takiej nazwie w katalogu windows to juź jest sygnał, źe coś z nim moźe być nie tak.
Zwóć jednak uwagę na to, źe b. częstym "znakiem firmowycm" robaka jest lokalizacja pliku.
Powiedzmy, źe "prawdziwy" powinien być w windows\system32 więc jeźeli znajdziesz plik o takiej nazwie w katalogu windows to juź jest sygnał, źe coś z nim moźe być nie tak.
Wiem, źe temat juź nieco stary ale dotyczy między innymi pliczku nwiz.exe i kwestii wirusów/trojanów.
Otóź pliczek ten towarzyszy mi od zawsze i zawsze myślałem źe tak powinno być, aź przypadkiem natknąłem się na takie stwierdzenie:
Nazwa nawet by się zgadzała i wszystko byłoby w porządku gdyby nie treść interesującej definicji robaka Backdoor.Agobot.iq:
Mam wewnętrzne IP więc nie uźywam źadnego firewalla (poza tym podobno jest na serwerze, przez który się łączę), mam Win XP Pro z SP2 i wszelkimi poprawkami na bieźąco.
Otóź pliczek ten towarzyszy mi od zawsze i zawsze myślałem źe tak powinno być, aź przypadkiem natknąłem się na takie stwierdzenie:
na innym forum.nwiz nwiz.exe/install
nVidia Wizzard – to "sterowniki" Nvidii
Nazwa nawet by się zgadzała i wszystko byłoby w porządku gdyby nie treść interesującej definicji robaka Backdoor.Agobot.iq:
Wprawdzie łączę się z kaźdą stroną o poprawnym adresie, nawet z tymi, które robak ten teoretycznie blokuje; robię to jednak za pomocą Mozilli ;–) Uźycie IEshita nie wchodzi w grę. Dodam teź, źe źaden antywirus nie wykrywa tego pliku jako zainfekowanego... Co to właściwie jest?! Po odznaczeniu pozycji 'nwiz' z autostartu w msconfig po ponownym uruchomieniu pozycja ta jest znowu zaznaczona i nie widać źadnej róźnicy...Robak internetowy typu backdoor. Rozprzestrzenia się wykorzystując typowe luki w zabezpieczeniach systemów Windows poprzez porty TCP nr 135, 80 oraz 445. Po uruchomieniu kopiuje do folderu systemowego plik o nazwie nwiz.exe. Modyfikuje rejestr plików tak, aby uruchamiać się wraz z systemem. Oprócz tego wirus zamyka procesy wielu programów antywirusowych i firewalli, a takźe uniemoźliwia połączenie z witrynami ich producentów (nie dotyczy to www.gdata.pl). Na domiar złego robak łączy się z ustalonym kanałem IRC i nasłuchuje poleceń od autora.
Mam wewnętrzne IP więc nie uźywam źadnego firewalla (poza tym podobno jest na serwerze, przez który się łączę), mam Win XP Pro z SP2 i wszelkimi poprawkami na bieźąco.
Wiem kurna ze nie wiedziales, dlatego wskazalem Ci miejsce gdzie znajdziesz skladnie polecenia !klosik007:
1. W dziale XP w przyklejonym temacie.
2. Ikonka SZUKAJ i szukane slowo –> "expand".
nie oto mi chodzi. wiem, źe muszę "wyjąć" z płyty dwa pliki – userinit.exe i winlogon.exe, tylko nie wiem jak wpisać poprawnie expand.
1. W przyklejonym temacie stoi jak byk:
:arrow: Podmiana explorera w konsoli odzyskiwania
Odpalamy konsole odzyskiwania i uzywamy poleceniaexpand X:\i386\explorer.ex_ c:\Windows\explorer.exe
Jest skladnia czy jej nie ma ?
2. Przy uzyciu forumowej wyszukiwarki –> http://forum.centrumxp.pl/viewtopic.php?p=223695&highlight=expand#223695
Jest skladnia czy jej nie ma ?
klosik, leniem mi zalatuje.
Bo źle robisz:
expand F:\i386\winlogon.ex_ C:\Windows\system32\winlogon.exe
Analogicznie z userinitem
Sprawdź sobie przyklejony w XP bo niedalej jak wczoraj przez frustrację naskrobałem tam pare zdań dotyczących wylogowywania.
Jeszcze jedno, skanowałeś Ad–Awere przypadkiem ?
właśnie oto mi chodzi, dziękuję.
ad–awarem nie skanowałem, nawet nie wgrywałem tego programu.
EDIT
juź to zrobiłem i wszystko wróciło do normy.
Bobi, w twoim poleceniu był błąd, zamiast:
expand F:\i386\winlogon.ex_ C:\Windows\system32\winlogon.exe
powinno być:
expand F:\i386\winlogon.ex_ C:\Windows\system32
Bo źle robisz:
expand F:\i386\winlogon.ex_ C:\Windows\system32\winlogon.exe
Analogicznie z userinitem
Sprawdź sobie przyklejony w XP bo niedalej jak wczoraj przez frustrację naskrobałem tam pare zdań dotyczących wylogowywania.
Jeszcze jedno, skanowałeś Ad–Awere przypadkiem ?
expand F:\i386\winlogon.ex_ C:\Windows\system32\winlogon.exe
Analogicznie z userinitem
Sprawdź sobie przyklejony w XP bo niedalej jak wczoraj przez frustrację naskrobałem tam pare zdań dotyczących wylogowywania.
Jeszcze jedno, skanowałeś Ad–Awere przypadkiem ?
1. W dziale XP w przyklejonym temacie.
2. Ikonka SZUKAJ i szukane slowo –> "expand".
nie oto mi chodzi. wiem, źe muszę "wyjąć" z płyty dwa pliki – userinit.exe i winlogon.exe, tylko nie wiem jak wpisać poprawnie expand.
przedtem zrobiłem cd:
cd c:\WINDOWS\SYSTEM32
później tak:
expand f: /f:winlogon.exe userinit.exe /y
gdzie f: to napęd CD–RW
oczywiście wszystko robię w konsoli odzyskiwania.
ale nie działa. :(
1. W dziale XP w przyklejonym temacie.
2. Ikonka SZUKAJ i szukane slowo –> "expand".
2. Ikonka SZUKAJ i szukane slowo –> "expand".
dzisiaj zrobiłem skan systemu bitdefenderem(przed tym zaktualizowałem bazę wirusów) i miałem zaraźonych 512 plików. większość z nich była zaraźona wirusem Win32.Gael.3666. antywirus wykrył teź trojana. i teraz najgorsze: po skanowaniu chciałem się przełączyć na innego uźytkownika. klikam na nazwę uźytkownika, ładuje się pulpit i po chwili na ekranie pisze: "trwa wylogowywanie" i "trwa zapisywanie ustawień osobistych". w ogóle nie mogę się zalogować. :cry: co robić?
EDIT
znalazłem rozwiązanie tego problemu, tyle źe nie wiem jak uźyć polecenia expand. podajcie mi przykład uźycia expand.
EDIT
znalazłem rozwiązanie tego problemu, tyle źe nie wiem jak uźyć polecenia expand. podajcie mi przykład uźycia expand.
dzisiaj zrobiłem skan systemu bitdefenderem(przed tym zaktualizowałem bazę wirusów) i miałem zaraźonych 512 plików. większość z nich była zaraźona wirusem Win32.Gael.3666. antywirus wykrył teź trojana. i teraz najgorsze: po skanowaniu chciałem się przełączyć na innego uźytkownika. klikam na nazwę uźytkownika, ładuje się pulpit i po chwili na ekranie pisze: "trwa wylogowywanie" i "trwa zapisywanie ustawień osobistych". w ogóle nie mogę się zalogować. :cry: co robić?
EDIT
znalazłem rozwiązanie tego problemu, tyle źe nie wiem jak uźyć polecenia expand. podajcie mi przykład uźycia expand.
EDIT
znalazłem rozwiązanie tego problemu, tyle źe nie wiem jak uźyć polecenia expand. podajcie mi przykład uźycia expand.
Wg mnie nie masz źadnego wirusa. Nic na to nie wskazuje.
Np. chkdsk lub podgląd SMARTu
Sygnaturka
Moźe jednak przydałbysię pack :wink:
Sygnaturka
WIN XP Pro bez SP 1 i 2
Moźe jednak przydałbysię pack :wink:
teraz zrobiłem screena procesów i nowy log hijacka.
log hijacka:
screen jest poniźej.
co masz na myśli? chkdsk?
log hijacka:
Logfile of HijackThis v1.99.1
Scan saved at 22:45:14, on 2005–08–21
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\nwiz.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Softwin\BitDefender8\bdnews.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Przemcio\Pulpit\hijackthis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"
O4 – HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O23 – Service: BitDefender Scan Server (bdss) – Unknown owner – C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: Kerio Personal Firewall (PersFw) – Kerio Technologies – C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 – Service: BitDefender Communicator (XCOMM) – Softwin – C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
screen jest poniźej.
Sprawdzałeś hdd ?
co masz na myśli? chkdsk?
komp jest prawdopodobnie zaatakowany.
Raczej nie.
Sprawdzałeś hdd ?
Strona 1 / 1