Skanowanie-wirusy?? - fresh lma - 24.12.2010 - Forum dyskusyjne gry filmy gra sprzęt fotografia PC online

24.12.2010

16:34

[1]

fresh lma [ Pretorianin ]

Skanowanie-wirusy??

Podczas skanowania przez nortona 360, zobaczyłem że skanuje on właśnie takie pliki jak:

Hacktool.Unreal.A, Trojan-Optimizer czy Backdoor.rustock.a
i inne takie podejrzane pliki
nic w nich nie wykrył, ale dla mnie to są wirusy.
to jest wina antyvirusa czy rzeczywiście nic w nie ma ?
jak jest to czym ja mam to wywalić? bo nie da się tego nigdzie znaleźć

24.12.2010

16:48

[2]

fresh lma [ Pretorianin ]

Czym sie da to gów** usunąć bo czytałem że nawet format nie pomaga

24.12.2010

17:02

[3]

kjx [ Nelson Tethers ]

eset.com -> skaner online

Sprawdź czy Nod32 coś wykrywa (na czas skanowania wyłącz Nortona).

edit: Albo masz sytuację podobną do:

24.12.2010

20:17

[4]

fresh lma [ Pretorianin ]

Skaner Noda nic nie wykrywa :[[
pomóżcie mi bo przez te syfy strasznie, muli i wiekszość aplikacji mi sie nie chce otworzyć
co więcej za każdym razem jak robie coś typu skanowanie, logi czy coś związane z obroną kompa to nagle mi brakuje internetu i komputer shut down
Przypadek ?

EDIT: czy skasowanie WSZYSTKIEGO co jest na kompie, a potem zainstalowanie od nowa windowsa pomoże ?

24.12.2010

21:10

[5]

mirencjum [ operator kursora ]

Widocznie nie ma zagrożenia. Mulenie może mieć inną przyczynę. Na wszelki wypadek:

Ściągnij program z tej strony:

Uruchom i wybierz opcję"scan and save". Zapisze się log, który wklej w okienko na tej stronie:

i naciśnij analiza. Wartości które będą miały X, zaznacz w tym programiku który Ci wygenerował ten log i naciśnij Fix.

25.12.2010

17:38

[6]

fresh lma [ Pretorianin ]

Robiłem już hijackthisem, ale wyszło że jest ok tylko parę żółtych znaków zapytania.
Jestem pewien że jest zagrożenie i to duże tylko nie wykrywa tego

25.12.2010

17:45

[7]

kjx [ Nelson Tethers ]

Jeśli trójca Norton + Nod32 + HijackThis nic nie wykrywa, to na 99% masz komputer wolny od wirusów. Zamulanie może być spowodowane zasyfionym systemem lub jakimś programem, który zajmuje mnóstwo wolnych zasobów.

PS. Fajnie by było zobaczyć screena z HJT, bo "wykrzykniki" oznaczają, że coś tam jednak nie tak jest.

25.12.2010

17:49

[8]

fresh lma [ Pretorianin ]

log z hjt

spoiler start
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:21:24, on 2010-12-24
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18542)
Boot mode: Normal

Running processes:
H:\HiJack\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = /fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Winamp Search Class - ‹57BCA5FA-5DBB-45a2-B558-1755C3F6253B› - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: free-downloads.net Toolbar - ‹ecdee021-0d17-467f-a1ff-c7a115230949› - C:\Program Files (x86)\free-downloads.net\tbfree.dll
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - ‹18DF081C-E8AD-4283-A596-FA578C2EBDC3› - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - ‹25CEE8EC-5730-41bc-8B58-22DDC8AB8C20› - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll
O2 - BHO: Conduit Engine - ‹30F9B915-B755-4826-820B-08FBA6BD249D› - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll
O2 - BHO: Symantec NCO BHO - ‹602ADB0E-4AFF-4217-8AA1-95DAC4DFA408› - C:\Program Files (x86)\Norton 360\Engine\4.3.0.5\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - ‹6D53EC84-6AAE-4787-AEEE-F4628F01010C› - C:\Program Files (x86)\Norton 360\Engine\4.3.0.5\IPSBHO.DLL
O2 - BHO: MediaBar - ‹ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F› - C:\PROGRA~2\IMESHA~1\MediaBar\ToolBar\iMeshMediaBarDx.dll
O2 - BHO: free-downloads.net Toolbar - ‹ecdee021-0d17-467f-a1ff-c7a115230949› - C:\Program Files (x86)\free-downloads.net\tbfree.dll
O3 - Toolbar: Norton Toolbar - ‹7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA› - C:\Program Files (x86)\Norton 360\Engine\4.3.0.5\coIEPlg.dll
O3 - Toolbar: Vuze Remote Toolbar - ‹ba14329e-9550-4989-b3f2-9732e92d17cc› - C:\Program Files (x86)\Vuze_Remote\tbVuze.dll
O3 - Toolbar: Conduit Engine - ‹30F9B915-B755-4826-820B-08FBA6BD249D› - C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll
O3 - Toolbar: Winamp Toolbar - ‹EBF2BA02-9094-4c5a-858B-BB198F3D8DE2› - C:\Program Files (x86)\Winamp Toolbar\winamptb.dll
O3 - Toolbar: DAEMON Tools Toolbar - ‹32099AAC-C132-4136-9E9A-4E364A424E17› - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: free-downloads.net Toolbar - ‹ecdee021-0d17-467f-a1ff-c7a115230949› - C:\Program Files (x86)\free-downloads.net\tbfree.dll
O3 - Toolbar: MediaBar - ‹ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F› - C:\PROGRA~2\IMESHA~1\MediaBar\ToolBar\iMeshMediaBarDx.dll
O4 - HKLM\..\Run: [AutoEJCD_0ACE20FF] "C:\Program Files (x86)\AutoInstall\ZD1211B_Auto_Install_CD_Only_Gen_0ACE20FF\AutoEJCD.EXE" /VID=0ACE /PID=20FF
O4 - HKLM\..\Run: [PWRISOVM.EXE] "C:\Program Files (x86)\PowerISO\PWRISOVM.EXE"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [GAINWARD] C:\Program Files (x86)\EXPERTool\TBPanel.exe /A
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - Global Startup: NETGEAR WG311T Smart Wizard.lnk = H:\wlancfg5.exe
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O16 - DPF: ‹D27CDB6E-AE6D-11CF-96B8-444553540000› (Shockwave Flash Object) -
O22 - SharedTaskScheduler: Component Categories cache daemon - ‹8C7461EF-2B13-11d2-BE35-3078302C2030› - C:\Windows\system32\browseui.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Norton 360 (N360) - Symantec Corporation - C:\Program Files (x86)\Norton 360\Engine\4.3.0.5\ccSvcHst.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - H:\Medal Of Honor Airborne PL\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 7425 bytes
spoiler stop

25.12.2010

18:10

[9]

kjx [ Nelson Tethers ]

Nie wygląda to to wcale źle. Co prawda chyba masz zainstalowany jakiś toolbar i program do p2p więc HJT coś tam się pluje (oba programy mogą być siedliskiem malware i innych syfów) ale skoro dwa bardzo dobre antywirusy nic nie wykrywają, to wątpię aby Twój komputer był zainfekowany.

Żeby się upewnić co do malware i spyware, sprawdź kompa Spybotem. Jeśli i on nic nie wykryje, to winy zamulania szukaj gdzie indziej:

26.12.2010

14:16

[10]

fresh lma [ Pretorianin ]

Spybot również nic nie wykrywa ale mógłbyś mi wyjaśnić o co biega z tym p2p i gdzie to może być
ale ja wiem że mam te pliki na kompie:

hacktool.unrea.l
backdoor.rustock.a
i takie coś trojan-optimizer

26.12.2010

14:24

[11]

kjx [ Nelson Tethers ]

Uwierz mi, jeśli te 4 programy NIC nie wykryły, to komputer jest CZYSTY. A jeśli chodzi o p2p, to masz chyba zainstalowany program iMesh - potencjalne źródło zagrożenie (w sensie: łatwo można pobrać przez niego wirusa) i dlatego HJT oznaczył go pytajnikiem. Pozostałe pytajniki są spowodowane przez jakiegoś toolbara, którego też prawdopodobnie masz zainstalowanego. Takie programiki, instalowane z niepewnego miejsca, również mogą być traktowane jako zagrożenie (wysyłają informację podczas używania, kiedy, na przykład wpisujesz do niego frazę do wyszukania).

Jeśli dalej nie jesteś przekonany co do "czystości", to sprawdź innymi skanerami online. Każdy większy program antywirusowy takowego posiada.

26.12.2010

16:50

[12]

fresh lma [ Pretorianin ]

A jak usunąć tego imesha i te toolbary ?

26.12.2010

16:54

[13]

kjx [ Nelson Tethers ]

Odinstalować. Zwyczajnie, przez Panel sterowania -> Dodaj/Usuń programy.

26.12.2010

17:01

[14]

siwy346 [ addicted to music ]

Uwierz mi, jeśli te 4 programy NIC nie wykryły, to komputer jest CZYSTY.
Nie zawsze tak jest.
Tym bardziej, że HTJ'a już się nigdzie nie stosuje.

Z mojej strony proponuje Malwarebytes-AntiMalware

Do tego warto zrobić logi według tych zasad:

I dać tutaj:

Wtedy będziesz pewny, że nic nie ma i dostaniesz pełną informacje jaki soft zaktualizować/wyrzucić.
Jeśli malwarebytes coś znajdzie warto to jego raport dołączyć do zestawu logów, pozwoli to naprowadzić na ewentualne resztki po infekcji.

Edit: Nie stosuj ComboFixa!!

26.12.2010

17:04

[15]

SanthiX [ Super Chico ]

A jak usunąć tego imesha i te toolbary ?

Revo Uninstaller wyczyści po nich wszystkie pozostałości.