CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Wirus! Prosze o pomoc!

Wirus! Prosze o pomoc!

Mam jakiegoś wirusa o nazwie Look2Me i nie wiem jak go usunąć bo antywirus nie chce. oto mój log:

Logfile of HijackThis v1.99.1
Scan saved at 13:02:16, on 2005–11–12
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Instalki\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:\program files\google\googletoolbar2.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 – HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 – HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 – HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 – HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 – HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 – Extra context menu item: &Google Search – res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: &Translate English Word – res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 – Extra context menu item: Backward Links – res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Similar Pages – res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 – Extra context menu item: Translate Page into English – res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O15 – Trusted Zone: http://skaner.mks.com.pl
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129401950327
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O20 – Winlogon Notify: Reinstall – C:\WINDOWS\system32\g840lihm184a.dll
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: hpdj – Unknown owner – C:\DOCUME~1\Krzysiek\USTAWI~1\Temp\hpdj.exe (file missing)
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 – Service: NOD32 Kernel Service (NOD32krn) – Eset – C:\Program Files\Eset\nod32krn.exe



Licze na waszą pomoc :D

Odpowiedzi: 12

jeszcze na dodatek wklejam loga z l2mfix :)

Setting Directory
C:\
C:\

Running From:
C:\

Killing Processes!

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002–2003 Craig.Peacock@beyondlogic.org
Killing PID 428 'smss.exe'
Error 0x6 : Nieprawidłowe dojście.


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002–2003 Craig.Peacock@beyondlogic.org
Killing PID 508 'winlogon.exe'
Error 0x6 : Nieprawidłowe dojście.


Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002–2003 Craig.Peacock@beyondlogic.org
Killing PID 1308 'explorer.exe'

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002–2003 Craig.Peacock@beyondlogic.org
Killing PID 1324 'rundll32.exe'

Scanning First Pass. Please Wait!

First Pass Completed

Second Pass Scanning

Second pass Completed!
Backing Up: C:\WINDOWS\system32\hrp4057qe.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\hutpapi.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\icclass.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\jtn0075me.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\kqdcr.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\kt2ul7f91.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\lvn4095qe.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\m2julc191f.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\mv6ql9j51.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\nkdeapi.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\nptui0.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\pEpnetsh.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\rjm.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\skdpsrv.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\szrio600.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\wdbvw.dll
Liczba skopiowanych plikw: 1.
Backing Up: C:\WINDOWS\system32\guard.tmp
Liczba skopiowanych plikw: 1.
deleting: C:\WINDOWS\system32\hrp4057qe.dll
Successfully Deleted: C:\WINDOWS\system32\hrp4057qe.dll
deleting: C:\WINDOWS\system32\hutpapi.dll
Successfully Deleted: C:\WINDOWS\system32\hutpapi.dll
deleting: C:\WINDOWS\system32\icclass.dll
Successfully Deleted: C:\WINDOWS\system32\icclass.dll
deleting: C:\WINDOWS\system32\jtn0075me.dll
Successfully Deleted: C:\WINDOWS\system32\jtn0075me.dll
deleting: C:\WINDOWS\system32\kqdcr.dll
Successfully Deleted: C:\WINDOWS\system32\kqdcr.dll
deleting: C:\WINDOWS\system32\kt2ul7f91.dll
Successfully Deleted: C:\WINDOWS\system32\kt2ul7f91.dll
deleting: C:\WINDOWS\system32\lvn4095qe.dll
Successfully Deleted: C:\WINDOWS\system32\lvn4095qe.dll
deleting: C:\WINDOWS\system32\m2julc191f.dll
Successfully Deleted: C:\WINDOWS\system32\m2julc191f.dll
deleting: C:\WINDOWS\system32\mv6ql9j51.dll
Successfully Deleted: C:\WINDOWS\system32\mv6ql9j51.dll
deleting: C:\WINDOWS\system32\nkdeapi.dll
Successfully Deleted: C:\WINDOWS\system32\nkdeapi.dll
deleting: C:\WINDOWS\system32\nptui0.dll
Successfully Deleted: C:\WINDOWS\system32\nptui0.dll
deleting: C:\WINDOWS\system32\pEpnetsh.dll
Successfully Deleted: C:\WINDOWS\system32\pEpnetsh.dll
deleting: C:\WINDOWS\system32\rjm.dll
Successfully Deleted: C:\WINDOWS\system32\rjm.dll
deleting: C:\WINDOWS\system32\skdpsrv.dll
Successfully Deleted: C:\WINDOWS\system32\skdpsrv.dll
deleting: C:\WINDOWS\system32\szrio600.dll
Successfully Deleted: C:\WINDOWS\system32\szrio600.dll
deleting: C:\WINDOWS\system32\wdbvw.dll
Successfully Deleted: C:\WINDOWS\system32\wdbvw.dll
deleting: C:\WINDOWS\system32\guard.tmp
Successfully Deleted: C:\WINDOWS\system32\guard.tmp


Zipping up files for submission:
zip warning: name not matched: *.dll

zip error: Nothing to do! (backup.zip)
zip warning: name not matched: *.tmp

zip error: Nothing to do! (backup.zip)
adding: clear.reg (188 bytes security) (deflated 37%)
zip warning: name not matched: *.ini

zip error: Nothing to do! (backup.zip)
adding: lo2.txt (188 bytes security) (deflated 82%)
adding: test.txt (188 bytes security) (deflated 77%)
adding: test2.txt (188 bytes security) (deflated 17%)
adding: test3.txt (188 bytes security) (deflated 17%)
adding: test5.txt (188 bytes security) (deflated 17%)
adding: xfind.txt (188 bytes security) (deflated 71%)
zip warning: name not matched: backregs\*.reg

zip error: Nothing to do! (backup.zip)

Restoring Registry Permissions:


RegDACL 5.1 – Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999–2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Revoking access for predefined group "Administrators"


Registry permissions set too:

RegDACL 5.1 – Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999–2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify:
(ID–NI) ALLOW Read BUILTIN\Uytkownicy
(ID–IO) ALLOW Read BUILTIN\Uytkownicy
(ID–NI) ALLOW Read BUILTIN\Uytkownicy zaawansowani
(ID–IO) ALLOW Read BUILTIN\Uytkownicy zaawansowani
(ID–NI) ALLOW Full access ZARZDZANIE NT\SYSTEM
(ID–IO) ALLOW Full access ZARZDZANIE NT\SYSTEM
(ID–NI) ALLOW Full access BUILTIN\Administratorzy
(ID–IO) ALLOW Full access TWRCA–WACICIEL


Restoring Sedebugprivilege:

Granting SeDebugPrivilege to Administrators ... failed (GetAccountSid(Administrators)=1332

Restoring Windows Update Certificates.:

deleting local copy: hrp4057qe.dll
deleting local copy: hutpapi.dll
deleting local copy: icclass.dll
deleting local copy: jtn0075me.dll
deleting local copy: kqdcr.dll
deleting local copy: kt2ul7f91.dll
deleting local copy: lvn4095qe.dll
deleting local copy: m2julc191f.dll
deleting local copy: mv6ql9j51.dll
deleting local copy: nkdeapi.dll
deleting local copy: nptui0.dll
deleting local copy: pEpnetsh.dll
deleting local copy: rjm.dll
deleting local copy: skdpsrv.dll
deleting local copy: szrio600.dll
deleting local copy: wdbvw.dll
deleting local copy: guard.tmp

The following Is the Current Export of the Winlogon notify key:
****************************************************************************
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"


The following are the files found:
****************************************************************************
C:\WINDOWS\system32\hrp4057qe.dll
C:\WINDOWS\system32\hutpapi.dll
C:\WINDOWS\system32\icclass.dll
C:\WINDOWS\system32\jtn0075me.dll
C:\WINDOWS\system32\kqdcr.dll
C:\WINDOWS\system32\kt2ul7f91.dll
C:\WINDOWS\system32\lvn4095qe.dll
C:\WINDOWS\system32\m2julc191f.dll
C:\WINDOWS\system32\mv6ql9j51.dll
C:\WINDOWS\system32\nkdeapi.dll
C:\WINDOWS\system32\nptui0.dll
C:\WINDOWS\system32\pEpnetsh.dll
C:\WINDOWS\system32\rjm.dll
C:\WINDOWS\system32\skdpsrv.dll
C:\WINDOWS\system32\szrio600.dll
C:\WINDOWS\system32\wdbvw.dll
C:\WINDOWS\system32\guard.tmp

Registry Entries that were Deleted:
Please verify that the listing looks ok.
If there was something deleted wrongly there are backups in the backreg folder.
****************************************************************************
REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{8FC24E9B–A65A–4021–B6DA–ADC474C003B6}"=–
"{C14029BE–0774–4E20–A4E7–FCD49D3738AD}"=–
[–HKEY_CLASSES_ROOT\CLSID\{8FC24E9B–A65A–4021–B6DA–ADC474C003B6}]
[–HKEY_CLASSES_ROOT\CLSID\{C14029BE–0774–4E20–A4E7–FCD49D3738AD}]
REGEDIT4

[–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
****************************************************************************
Desktop.ini Contents:
****************************************************************************
****************************************************************************

misiek5
Dodano
12.11.2005 17:06:24
Jakoś dziwnym sposobem problem sam sie rozwiązał.Przed uźyciem programu l2mfix sprawdziłem sobie loga HijackThis i pokazało mi źe nie ma juź tego pliku i wszystko jest ok.Podaje jeszccze raz swojego loga tak dla pewności abyście powiedzieli mi czy wsystko jest juź ok.

Logfile of HijackThis v1.99.1
Scan saved at 15:57:26, on 2005–11–12
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
D:\Instalki\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:\program files\google\googletoolbar2.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 – HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 – HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 – HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 – HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 – HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 – Extra context menu item: &Google Search – res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: &Translate English Word – res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 – Extra context menu item: Backward Links – res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Similar Pages – res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 – Extra context menu item: Translate Page into English – res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O15 – Trusted Zone: http://skaner.mks.com.pl
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129401950327
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 – Service: NOD32 Kernel Service (NOD32krn) – Eset – C:\Program Files\Eset\nod32krn.exe

misiek5
Dodano
12.11.2005 17:01:04
Nie, bo takim sposobem do świąt byś usuwał i nie dałbyś rady tego wyplenić. :mrgreen:
Sprawdzimy czy działą na tą wersję automatyczny fix. Sciągnij sobie l2mfix
Zapodaj mu opcję 2, po wszystkim zresetuj system i sprawdź czy plik się odnowil pod zmienioną nazwą, jeśli tak dajesz w tym programiku opcję 1. Utworzonego loga wklejasz tutaj i czekają nas robótki ręczne niestety.
Bobi
Dodano
12.11.2005 16:43:14
ok dałem delete on reboot i udało mi się usunąć ten plik,tylko źe po jego usunięciu pojawił się następny w tym samym katalogu tylko z inną nazwą.Czy mam usuwać je po jednym aź tak do skutku ?
misiek5
Dodano
12.11.2005 16:03:33
ok dałem delete on reboot i udało mi się usunąć ten plik,tylko źe po jego usunięciu pojawił się następny w tym samym katalogu tylko z inną nazwą.Czy mam usuwać je po jednym aź tak do skutku ?
misiek5
Dodano
12.11.2005 16:03:33
A dałeś delete on reboot? bo to waźne
Peter_l
Dodano
12.11.2005 15:48:00
Killboxem teź nie dało rady.Macie jeszcze jakieś inne pomysły :?:
misiek5
Dodano
12.11.2005 15:39:26
misiek5:
Mam jeszcez problem z jego usunięciem.Gdy prubóje usunąć ten plik ręcznie wyskakuje mi źe "Plik jest uźywany przez inną osobę lub program.W trybie awaryjnym jest to samo.Dodam jeszcze źe przy kaźdym zresetowaniu kompa plik ten zmienia swoją nazwę.Ma ktoś pomysł jak usunąć tego wirusa ?


A pociągnij mu z Killboxa (opisany w FAQ)
Peter_l
Dodano
12.11.2005 15:20:16
Mam jeszcez problem z jego usunięciem.Gdy prubóje usunąć ten plik ręcznie wyskakuje mi źe "Plik jest uźywany przez inną osobę lub program.W trybie awaryjnym jest to samo.Dodam jeszcze źe przy kaźdym zresetowaniu kompa plik ten zmienia swoją nazwę.Ma ktoś pomysł jak usunąć tego wirusa ? Oto mój kolejny log:

Logfile of HijackThis v1.99.1
Scan saved at 14:09:56, on 2005–11–12
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Instalki\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:\program files\google\googletoolbar2.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd.exe
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 – HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett–Packard\Digital Imaging\bin\hpotdd01.exe
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 – HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 – HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 – HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 – HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 – Extra context menu item: &Google Search – res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: &Translate English Word – res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 – Extra context menu item: Backward Links – res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Similar Pages – res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 – Extra context menu item: Translate Page into English – res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O15 – Trusted Zone: http://skaner.mks.com.pl
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129401950327
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O20 – Winlogon Notify: Controls Folder – C:\WINDOWS\system32\ktl6l73s1.dll
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 – Service: NOD32 Kernel Service (NOD32krn) – Eset – C:\Program Files\Eset\nod32krn.exe



Prosze o szybką pomoc !
misiek5
Dodano
12.11.2005 15:10:27
Bobi:
020 to właśnie Look2me/VX2. Fix automatycznie usuwający nie jest w pełni skuteczny na jego nową mutację. Trzeba usuwać ręcznie.

Aha, dzieki, postaram się zapamietać.
damiancore
Dodano
12.11.2005 14:32:52
020 to właśnie Look2me/VX2. Fix automatycznie usuwający nie jest w pełni skuteczny na jego nową mutację. Trzeba usuwać ręcznie.
Bobi
Dodano
12.11.2005 14:27:34
Wywal:
O23 – Service: hpdj – Unknown owner – C:\DOCUME~1\Krzysiek\USTAWI~1\Temp\hpdj.exe (file missing)

A tego nie jestem pewien:
O20 – Winlogon Notify: Reinstall – C:\WINDOWS\system32\g840lihm184a.dll


A jeźeli wiesz, źe to Look2Me no to szukajka.
damiancore
Dodano
12.11.2005 14:15:28
misiek5
Dodano:
12.11.2005 14:08:58
Komentarzy:
12
Strona 2 / 2