Zbiór E:\FOUND.000\FILE0055.CHK jest zainfekowany
Witam!
Skanowalem komputer Nod32 i oto co mi wykazalo:
Zbiór E:\FOUND.000\FILE0055.CHK jest zainfekowany - prawdopodobnie nieznany NewHeur_PE wirus.
Oczywiscie jest tego duzo wiecej. Prosze o pomoc. Zalaczam takze loga z hijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 14:26:43, on 2007-01-02
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AutoConnect\AutoConnect.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Karol\USTAWI~1\Temp\Rar$EX00.344\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E39301E-232D-4D25-A075-AD65644A8540}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Skanowalem komputer Nod32 i oto co mi wykazalo:
Zbiór E:\FOUND.000\FILE0055.CHK jest zainfekowany - prawdopodobnie nieznany NewHeur_PE wirus.
Oczywiscie jest tego duzo wiecej. Prosze o pomoc. Zalaczam takze loga z hijackThis:
Logfile of HijackThis v1.99.1
Scan saved at 14:26:43, on 2007-01-02
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AutoConnect\AutoConnect.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Karol\USTAWI~1\Temp\Rar$EX00.344\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Microsoft Office\OFFICE11\REFIEBAR.DLL
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E39301E-232D-4D25-A075-AD65644A8540}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Odpowiedzi: 2
Radzę usunąć ten zainfekowany plik.
W tym logu do usunięcia jest tylko to:
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
Spyware SaveNow w postaci VVSN prawdopodobnie wlazło na skutek instalacji Daemon Tools. Wersja 4 nie jest czysta i aplikuje to JEŚLI się nieuważnie instaluje z zaznaczoną opcją tego szitu.
Usuwanie:
Ściągnij Pocket Killbox stąd: http://www.downloads.subratam.org/KillBox.zip
1.Otwórz program Pocket Killbox. W nim zaznacz opcję Delete on reboot a także All files . W Path wklej tę ścieżkę dostępu:
C:\Program Files\VVSN\VVSN.exe
Krzyżykiem (X) zatwierdź kasację i zresetuj komputer.
2. Po resecie komputera otwórz HijackThis >>> Scan >>> zaznacz ptaszkiem ten podany wpis 04, >>> klik Fix checked.
"Zbiór E:\FOUND.000\FILE0055.CHK jest zainfekowany" - to kojarzy mi się tylko z kwarantanną, niestety, nic więcej na ten temat nie wiem.
"prawdopodobnie nieznany NewHeur_PE wirus" - te literki "pe" kojarzą mi się z Rootkitem pe386.
Jeśli chcesz, to możesz to na wszelki wypadek sprawdzić.
Ściągnij GMERa stąd: http://www.searchengines.pl/phpbb203/pliki/picasso/downloads/gmer.zip
Zrób dwa logi:
1) >>Gmer.exe>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika ; zapisz sobie plik gdzieś.
2) >>Rootkit>>tylko Usługi>>Pokaż wszystko>>szukaj>>Kopiuj>>CTRL+V do Notatnika i też go gdzieś zapisz.
Następnie przeszukaj oba te pliki, szukaj "pe386" oraz "Rootkit"(oprócz tego w nagłówku logu!). Jeśli jest, to jest problem. Jeśli nie ma, to wcale nie znaczy, że jest czysto, bo w logu mogą być widoczne różne inne "świństwa". Ale to już nie na to forum.
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
Spyware SaveNow w postaci VVSN prawdopodobnie wlazło na skutek instalacji Daemon Tools. Wersja 4 nie jest czysta i aplikuje to JEŚLI się nieuważnie instaluje z zaznaczoną opcją tego szitu.
Usuwanie:
Ściągnij Pocket Killbox stąd: http://www.downloads.subratam.org/KillBox.zip
1.Otwórz program Pocket Killbox. W nim zaznacz opcję Delete on reboot a także All files . W Path wklej tę ścieżkę dostępu:
C:\Program Files\VVSN\VVSN.exe
Krzyżykiem (X) zatwierdź kasację i zresetuj komputer.
2. Po resecie komputera otwórz HijackThis >>> Scan >>> zaznacz ptaszkiem ten podany wpis 04, >>> klik Fix checked.
"Zbiór E:\FOUND.000\FILE0055.CHK jest zainfekowany" - to kojarzy mi się tylko z kwarantanną, niestety, nic więcej na ten temat nie wiem.
"prawdopodobnie nieznany NewHeur_PE wirus" - te literki "pe" kojarzą mi się z Rootkitem pe386.
Jeśli chcesz, to możesz to na wszelki wypadek sprawdzić.
Ściągnij GMERa stąd: http://www.searchengines.pl/phpbb203/pliki/picasso/downloads/gmer.zip
Zrób dwa logi:
1) >>Gmer.exe>>Rootkit>>Szukaj>>Kopiuj>>CTRL+V do Notatnika ; zapisz sobie plik gdzieś.
2) >>Rootkit>>tylko Usługi>>Pokaż wszystko>>szukaj>>Kopiuj>>CTRL+V do Notatnika i też go gdzieś zapisz.
Następnie przeszukaj oba te pliki, szukaj "pe386" oraz "Rootkit"(oprócz tego w nagłówku logu!). Jeśli jest, to jest problem. Jeśli nie ma, to wcale nie znaczy, że jest czysto, bo w logu mogą być widoczne różne inne "świństwa". Ale to już nie na to forum.
-
Zbiory z rozszerzeniem .CHK to pozostałość po chkdisk'u i można je usunac. Cyba że chcesz je odzyskać <a href="http://www.ericphelps.com/uncheck/index.htm" target="_blank" title="http://www.ericphelps.com/uncheck/index.htm">TYM</a> , eśli mają jakąś wartość. Generalnie: wywal- zaznacz->Shift+Del .
Strona 1 / 1