CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Wirus! Prosze o pomoc!

Wirus! Prosze o pomoc!

Mam jakiegoś wirusa o nazwie Look2Me i nie wiem jak go usunąć bo antywirus nie chce. oto mój log:

Logfile of HijackThis v1.99.1
Scan saved at 13:02:16, on 2005–11–12
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Instalki\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:\program files\google\googletoolbar2.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 – HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 – HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 – HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 – HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 – HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 – Extra context menu item: &Google Search – res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: &Translate English Word – res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 – Extra context menu item: Backward Links – res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Similar Pages – res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 – Extra context menu item: Translate Page into English – res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O15 – Trusted Zone: http://skaner.mks.com.pl
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129401950327
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O20 – Winlogon Notify: Reinstall – C:\WINDOWS\system32\g840lihm184a.dll
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: hpdj – Unknown owner – C:\DOCUME~1\Krzysiek\USTAWI~1\Temp\hpdj.exe (file missing)
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 – Service: NOD32 Kernel Service (NOD32krn) – Eset – C:\Program Files\Eset\nod32krn.exe



Licze na waszą pomoc :D

Odpowiedzi: 20

Tak to prawda.Jak startujesz z trybu awaryjnego to ukryte konto administratora ci się odkrywa.
misiek5
Dodano
13.11.2005 20:31:17
Powaźnie czy źartujesz sobie? W sieci nic na ten temat nie znalazłem.
daniellll
Dodano
13.11.2005 20:08:02
[quote="Bobi"]Główny, wbudowany administarator tworzony podczas instalacji systemu
Sorki ele co to jest ten "główny,wbudowany...itd",
bo ja kiedy instalowałem winda nic takiego nie tworzyłem.
daniellll
Dodano
13.11.2005 19:41:11
Peter_l:
Dziwne to bo na 2 kompach ktore mam w domu do system volume information maja uprawnienia uzytkownicy i admin.
Domyślnie oczywście
Przypadkowo oczywiscie, nie sa to partycje FAT32 ?

Bobi, nic nie ma "odgornie".
EL NINO
Dodano
13.11.2005 17:17:44
U mnie wszyscy maja uprawnienia admina
Peter_l
Dodano
13.11.2005 13:38:34
Główny, wbudowany administarator tworzony podczas instalacji systemu rzeczywiście moźe mieć odgórne pozwolenie na "grzebanie" w SVI. Uźytkownicy nalezący do grypu administracyjnej takie prawo dopiero muszą sobie nadać. Oczywiście o moim osobistym stosunku do pracowania na wbudowanym adminie na codzień nie musze się rozpisywać.
Bobi
Dodano
13.11.2005 13:25:07
Nie wiem jak to jest z uźytkownikami,ale jeśli jest się adminem(a wydaje mi się źe Misiek5 jest)to wcale nie ma duźo zabawy,ani kombinowania.Nara.
daniellll
Dodano
13.11.2005 13:02:21
Dziwne to bo na 2 kompach ktore mam w domu do system volume information maja uprawnienia uzytkownicy i admin.
Domyślnie oczywście
Peter_l
Dodano
13.11.2005 11:50:52
Peter_l:
Albo wystarczy w opcjach folderów odhaczyć opcję ukrywania plików systemowych i się bawić w wywałkę punktów przywracania.


Nadal nie rozumiem po co tak kombinować, i tak trzeba będzie przejąć katalog na własność bo jak nie to odmowa dostępu i po ptokach.
Bobi
Dodano
13.11.2005 11:43:08
Albo wystarczy w opcjach folderów odhaczyć opcję ukrywania plików systemowych i się bawić w wywałkę punktów przywracania.
Peter_l
Dodano
13.11.2005 11:36:14
Jasne, ze moźna i tutaj Ameryki niestety nie odkryłes, wystarczy przejąć katalog na własność. Tylko po co się tak bawić skoro moźna w paru klikach to wykonać?
Bobi
Dodano
13.11.2005 11:33:01
Ciesze się usunołeś to świństwo,jednak do folderu S.V.I.moźna się dostać.Moźna usunąć jego zawartość,jak teź tworzyć w nim pliki i foldery,co widać na zrzucie.Pozdro.
daniellll
Dodano
13.11.2005 11:28:42
Ten folder jest chroniony przez system i dostęp do niego jest zablokowany.Wyłączyłem i włączyłem przywracanie systemu i kopie wirusa usunęły sie bezproblemu.Wszystko jest juź OK. :) Dzięki wszystkim za pomoc! :wink:
misiek5
Dodano
13.11.2005 10:50:10
Nie bardzo rozumiem.Nie moźesz po prostu wejść do tego folderu i to usunąć?Moźe trzeba wyłączyć przywracanie systemu?
daniellll
Dodano
13.11.2005 10:32:06
Moźliwe, racja
Peter_l
Dodano
12.11.2005 20:42:10
Najlepiej to wyłączyć i włączyć przywracanie, poniewaź istnieje obawa, źe śmieć zadomowił się równieź w najnowszym punkcie.
Bobi
Dodano
12.11.2005 20:37:16
Mozna to usunąć total comanderem 6 i powyźej, Killboxem moźesz spróbować, albo usunąć wszystkie punkty przywracania oprócz najnowszego– Start :arrow: programy:arrow:akcesoria :arrow: narzędzia systemowe:arrow: oczyszczanie dysku:arrow: zaawansowane :arrow: i oczyść w ramce przywracanie systemu
Peter_l
Dodano
12.11.2005 20:27:06
Witam! Po usunięciu wirusa Look2Me programem l2mfix wszędzie system wydawał sie czysty.Lecz poszukałem jeszce troche o tym wirusie informacji i dowiedziałem sie źe zostawia on swoją kopię w folderze System Volume Information.Po przeskanowaniu antywirusem NOD32 okazało się źe rzeczywiscie zostawia tam swoją kopię.NoD32 wykrył mi następujące kopie w folderze System Volume Information :

C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000011.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000012.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000013.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000014.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000015.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000016.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000017.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000018.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000019.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000020.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000021.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000022.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000023.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000024.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000025.dll – odmiana Win32/Adware.Look2Me Program
C:\System Volume Information\_restore{8D549628–BAF6–4650–807E–1F1A3C521453}\RP1\A0000026.dll – odmiana Win32/Adware.Look2Me Program


Antywirus NOD32 nie chce mi usunąć kopi tego wirusa.Jak moźna je usuną ręcznie ??? Prosze o pomoc !!!!!
misiek5
Dodano
12.11.2005 20:16:51
Moźe to pomoźe.
daniellll
Dodano
12.11.2005 17:11:24
Juź czysto
Peter_l
Dodano
12.11.2005 17:07:17
misiek5
Dodano:
12.11.2005 14:08:58
Komentarzy:
20
Strona 1 / 2