PDA

Pogledaj cijelu verziju : Neuništivi virus hlp plx



Fenrir
24-07-2008, 11:06
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:48:48, on 24.7.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
C:\WINDOWS\system32\service.exe
C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\service.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [NVMixerTray]S"C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [Windows Helper]Sservice.exe
O4 - HKLM\..\RunServices: [Windows Helper]Sservice.exe
O4 - HKCU\..\Run: [ctfmon.exe]SC:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Helper]Sservice.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE]SC:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE]SC:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE]SC:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 6842349903 (http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1216842349903)
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEC971D6-1E8F-4FF3-B15D-B45CD3E13621}: NameServer = 195.29.149.196 195.29.149.197
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: WindowsService - Unknown owner - C:\DOCUME~1\Stjepan\LOCALS~1\Temp\IXP001.TMP\updat e.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Common Files\BitDefender\BitDefender Communicator\xcommsvr.exe

--

Problem je u ovom service.exe u system32 folderu. Sad, iam upaljeno view hidden files i opet ga nema. BitDefender ga nađe i ne može ga izbrisati. U startupu piše kao neki Windows Helper. Sve entrye u registryu koji imaju windows helper u nazivu sam pobrisal, maknem sa startupa, pogasim mu procese i opet je ista stvar poslije restarta.
Itko, bilokaj, stvarno je virus dosadan, usporava komp :(

eggzy1
24-07-2008, 18:37
brijem da se to nemre izbrisat jer je vazan da windows normalno radi.

Fenrir
24-07-2008, 18:49
Ne services.exe, nego service.exe

spidEY v2.0
24-07-2008, 18:53
http://www.bleepingcomputer.com/startup ... 18356.html (http://www.bleepingcomputer.com/startups/service.exe-18356.html)

Fenrir
24-07-2008, 19:47
Nema navedenih fajlova koje trebam izbrisat, samo service.exe nađem, sad sam ga skužio kako izbrisat, ali kad mu ubijem procese, izbrišem fajl i pobrišem sve u registryu, opet se vrati :(

spidEY v2.0
24-07-2008, 19:54
Isključi System Restore.

Fenrir
24-07-2008, 21:01
Već jesam.

Hellboy
25-07-2008, 12:01
el imaš koju live verziju linuxa? probaj bootati linux sa cd-a, otići u navedeni folder i vidjeti el ga možeš naći...ako ga nađeš trebao bi ga moći obrisati s obzirom da nije podignut...tako sam ja napravio sa nekim smećem koje se također utaborilo u sys32 folder...

Fenrir
25-07-2008, 14:12
Gle, ja izbrišem taj service.exe i njegove registry entrije, ali ima još neki fajl za kojeg ne znam ni di je ni kak se zove. Onaj spideyev link veli da ima tri fajla, neki smss.exe i conf.dll, ali nema niti jednog, jedini smss.exe kojeg nađem je dio windowsa, a to nije taj kojeg tražim, virus napravi svoju kopiju toga negdje.

Hellboy
25-07-2008, 16:29
well...in that case...znaš što ti je najsigurnija metoda...

C
25-07-2008, 22:06
Sudeći po tome da imaš SP1, SP2 i SP3, backup ti je u $$ folderima, što znači da svaki delete nekog systematskog file se backupira.
Obrisati ga možeš na svakakve načine, krenuvši od ovoga što je Helly rekao, pa do prisilnog brisanja sektora koje obuhvaća taj file, ili pod Safe Modom, standardno obilježavanje u propertiesu tog file-a na sve akcije, i među njima brisanje.

Možeš ga se riješiti na dva načina, uzevši u obzir da je file i backup tog file-a zaražen, što mislim da je u tvom slučaju točno tako.

Dakle, prvi pokušaj, uđi u Windows. Upali System Restore, te napravi systematsku točku za vraćanje sustava. Resetiraj PC i uđi u Safe Mode. Otiđi na traženje file-ova za Windows folder. Metu file-a ćeš naći tamo gdje jest, i isto to ime file-a traži isto u Windows folderu. Znači, naći ćeš dva ista file-a. Jedan će ti biti tamo gdje je i inače, a drugi će ti biti u folderima od Service Packa u $$ folderima. Prepoznati ćeš te foldere i po mnoštvu brojeva i slova, ali i ostalih znakova.
Kada nađeš dva ista file-a, onaj u $$ folderu će ti biti crvene ili plave boje. Za početak obriši onaj normalni file, a njegovog klona ćeš trebati obraditi u CMD-u. Obraditi ćeš ga na način otklanjanjem određenih atributa na njemu. Crvene/plave je boje, jer je systematski file i jer je samo za čitanje, pa na njega nećeš moći skoro pa ništa uraditi. Dakle, u CMD-u dođeš do njega i upišeš attrib meta.filea -r -s -a -h Npr. attrib service.exe -r -s -a -h ili ako se nalaziš na nekoj particiji, upišeš direktni "link" do tog file-a, tipa attrib C:\Windows\$35468~$\system32\service.exe -r -s -a -h
Radi sigurnosti tu komandu ponovi da puta, pa otiđi desni klik na taj file, properties, i pronađi u opcijama, pa sve kvačice stavi, za sve opcije nad tim folderom. Zatim obriši i njega.
Sada kada više nemaš nikako taj file, niti njegov backup, trebaš ga vratiti.
Otići ćeš odmah na System Restore, i vratiti PC na točku koju si kreirao prije par minuta, za vrijeme postojanja tog file-a. Nakon restore-a, pokreni normalno windows. Vidjeti ćeš da su se file-ovi vratili u savršenom stanju, bez virusa. Kako bi sačuvao te iste file-ove od virusa koji će ti možda ponovno naprasti iste file-ove, tâ dva file-a stavi u arhivu, pod šifru, kako bi ih imao spremne u slučaju nužde. Pa ako ti se opet zaraze, samo otpakiraš arhive u Safe Modeu, za svaki file posebna arhiva. Pa ako ti se opet pojave, trebati ćeš tražiti backup virusa preko njegovih ostataka u registry-u i sl., ali nadam se da da će biti sve OK.

Drugi način je da ih obrišeš kako sam rekao u prvom načinu, pa iz nekog zdravog Windows-a koji je iste verzije kao i tvoj Windows, i koj iima sve verzije SP-a kao tvoj, kopiraš ta dva file-a i u svoj Windows ih staviš na pravo mjesto, s time da ih odmah strpaš u zasebne šifrirane arhive.

Dyslexia
26-07-2008, 12:46
e ajd ovak probaj disejblat mreznu karticu i onda restartiraj komp pa vidi oce ti se opet upalit taj virus, jer imao sam slicnih problema na poslu.

Fenrir
26-07-2008, 12:57
@ C
Ne trebam ja vratiti taj fajl, nije potreban za rad windowsa, samo se, ajmo reć, predstavlja kao takav.
I fala za ovo, idem sad probat.

C
26-07-2008, 14:58
Nema na čemu, samo mi ne diraj mamu. :)

Obriši virus kako sam rekao, pa ako se ponovno pojavi, potraži u cijelom registry-u ime.ekstenzija tog file-a i obriši njegove ključeve "pozivanja", i ako među time nađeš nešto što je povezano s tim fileovima, također obriši prisilno ili kako god hoćeš, jer ako se pojavljuje i nakon što ga obrišeš, znači da su mu to backupovi.

Sretno.

Fenrir
26-07-2008, 17:39
^^
Nego, ovo tvoje sam probao i maknuo sam fajl, i u registryu sve kaj je imalo u imenu service.exe i windows helper(tako se nazivao u startupu) i opet je bila jedna komponenta virusa koju nisam mogao nać ni ja ni BitDefender i iz toga se stalno obnavljao. Onda mi se više nije dalo zajebavat, pa sam nabacio format :(
Al ipak, fala svima na pomoći.
Riješeno :*

C
26-07-2008, 18:38
Sada si barem siguran da nemaš virusa. Sljedeći put provjeri prezervativ prije korištenja. :D