Pokaż wyniki 1 do 10 z 10

Temat: avast mi truję że mam wirusa

  1. #1
    Zarejestrowany
    Jul 2008
    Postów
    3

    Domyślnie avast mi truję że mam wirusa

    po starcie systemu avast truje że znalazł wirusa
    trochę to irytujące no ale jakie wirusy nie są...
    tym bardziej jeśli nie są wirusem...
    program ten się cały czas pojawia po starcie systemu, więc być może to jest wirus, nie bardzo się ukrywa: C:\c.exe, jednak nie bardzo wiem jak sobie z nim poradzić
    ściągnąłem HijackThis zrobiłem loga, dostałem coś takiego...
    jeśli ktoś mógłby rzucić okiem czy wszystko jest w porządku... ja to przejrzałem ale średnio się na tym znam...
    Kod:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:54:16, on 2008-07-09
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.17184)
    Boot mode: Normal
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Avast4\aswUpdSv.exe
    C:\Program Files\Avast4\ashServ.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\RTHDCPL.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Avast4\ashDisp.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\Program Files\Logitech\SetPoint\SetPoint.exe
    C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    C:\Program Files\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe
    C:\Program Files\Apache Software Foundation\Apache2.2\bin\httpd.exe
    C:\WINDOWS\ATKKBService.exe
    C:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE
    C:\Program Files\Apache Software Foundation\Apache2.2\bin\httpd.exe
    C:\Program Files\Avast4\ashMaiSv.exe
    C:\Program Files\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\hh.exe
    C:\Program Files\Opera\Opera.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\HijackThis\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=105563
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
    O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\Program Files\Opera\Program\Plugins\NPSWF32_FlashUtil.exe -p
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    O4 - Global Startup: Logitech SetPoint.lnk = ?
    O4 - Global Startup: Monitor Apache Servers.lnk = C:\Program Files\Apache Software Foundation\Apache2.2\bin\ApacheMonitor.exe
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B52018E0-B550-4BBC-9D37-C6CD44DE0BDC}: NameServer = 10.0.0.1
    O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
    O23 - Service: Apache2 - Apache Software Foundation - C:\Program Files\Apache Software Foundation\Apache2.2\bin\httpd.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
    O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
    O23 - Service: Google Desktop Manager 5.1.709.19590 (GoogleDesktopManager-091907-194040) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
    O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    
    --
    End of file - 6050 bytes
    Edit:
    Być może nie jestem zbyt cierpliwy ale to coś naprawdę mnie wkurza...
    wiem że są programy które pozwalają sprawdzać co się działo po starcie systemu tylko nie wiem jak się nazywają... czego szukać

    generalnie plik który usuwam po starcie systemu jest znowu... więc taki programik może się przydać
    Ostatnio edytowane przez zimi : 07-10-2008 - 12:57

  2. #2
    Avatar Eragon Argetlam
    Eragon Argetlam jest offline inception?no problem
    Zarejestrowany
    May 2007
    Skąd
    802.1 Wireless Wlan Card
    Postów
    552

    Domyślnie

    Ja doczepiam sie do:

    C:\WINDOWS\hh.exe
    To powinien byc plik pomocy a nie exe
    o przemyśleniach w kontekście NLP... http://www.tuetbrute.blogspot.com

  3. #3
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    hh.exe is a Microsoft Windows Help utility which assists you when the help button is pressed. This program is a non-essential system process, and is installed for ease of use.
    10 znakowww
    War, war never changes.

  4. #4
    Zarejestrowany
    Jun 2008
    Postów
    47

    Domyślnie

    Z podobnym "jednoliterkowym" exekiem walczyłem to jakeiś dll'ki śmieciły. Po ustaleniu jakie to dll (nazwa z losowych literek) łatwo ręcznie wywalić.

    Sprawdz BootVisem co Ci startuje przy odpalaniu.

    Pozdrawiam

  5. #5
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    OFF-TOPIC:
    Jak czytam posty w dziale windows albo wirusy/trojany to czesto zastanawiam sie ile narzedzi trzeba zainstalowac aby wyciagnac prosta informacje... W momencie gdy podejrzewam ze mam zawirusowany system albo gosci w kompie ja bym juz nic nie sciagal i nie instalowal. Pierwsze co to odpiecie kompa od sieci, podpiecie karty pod pusty switch (aby tylko interfejs byl elektrycznie podniesiony) i zacza szukac... ewentualnie image dysku zrobil, format i postawil nowy system a pozniej zaczal szukac co mowi obraz.

    Instalowanie kolejnych smieci aby znalezc inne smieci mija sie z celem... a programow 'eksperckich' od znajdywania smieci widac caly smietnik :-/
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  6. #6
    rip
    rip jest offline Banned
    Zarejestrowany
    May 2008
    Postów
    534

    Domyślnie

    no tak, dlatego mi wystarczy nieco zmodyfikowany pe, + wglad w ssdt + wireshark. Co prawda sstd da sie tak podmienic ze adres bedzie wskazywal na ntoskrnl, ale kilka istotnych adresow pamietam

  7. #7
    Avatar ⌂⌂⌂
    ⌂⌂⌂ jest offline Poison Null Byte %00
    Zarejestrowany
    Jul 2008
    Postów
    96

    Domyślnie

    Dobrze rozumiem czy Avast wskazuje na ten plik c.exe ? Nie mozesz go po porostu usunac? Odczep wszelkie hWnd (jakas aplikacja) i przeczysc systemowy autostart. Po za tym logi sa czyste na moje oko.

  8. #8
    Avatar Nikow
    Nikow jest offline -=[ZRP]=-
    Zarejestrowany
    Sep 2007
    Skąd
    Różne zakątki sieci.
    Postów
    995

    Domyślnie

    Stary windowsowski sposób FORMAT

    A tak na serio, proponuje zrobić globalny skan systemu w trybie naprawczym.
    http://nikowek.blogspot.com/
    Zbrojne Ramię Pingwina!
    -----BEGIN GEEK CODE BLOCK-----
    Version: 3.12
    GCS d- s++:++ a--- C+++ UL+++ P L+++ E--- W++ N++ o K- w--
    O M- V- PS PE Y PGP++ t+ 5 X+ R tv- b++ DI- D-
    G+ e- h! r% y?
    ------END GEEK CODE BLOCK------

  9. #9
    Zarejestrowany
    Jul 2007
    Skąd
    UK
    Postów
    360

    Domyślnie

    a ja napisze to, co pisalem juz kilka razy-uzywac konta uzytkownika z ograniczonymi uprawnieniami a nie admina - i kloptow zero (no moze prawie zero bo to w koncu windows ), a co do postu- sprobuj ComboFix, erd commander tez mi sie przydal kilka razy, czasem wystarczy tryb awaryjny i wywalenie kilku plikow
    edit: log z hijackthis wydaje sie byc czysty(http://hijackthis.de)
    Ostatnio edytowane przez bemyself : 07-12-2008 - 20:59
    Atheros? - nanzwa mhata yangu

  10. #10
    ryniek jest offline while 1: os.fork()
    Zarejestrowany
    Jan 2008
    Skąd
    tutej!
    Postów
    233

    Domyślnie

    Nom, FORMAT byłby tu wskazany jeśli nie masz żadnych ważnych danych. A jak chcesz się pobawić, to podepnij dysk do czyjegoś kompa i dobrym AV zeskanuj CAŁY hdd.

Podobne wątki

  1. mam problem
    By cywil1908 in forum /dev/null
    Odpowiedzi: 3
    Autor: 06-17-2008, 22:09
  2. Avast! Home E
    By Flavoxx in forum Newbie - dla początkujących!
    Odpowiedzi: 17
    Autor: 08-13-2007, 16:10
  3. Mam problem
    By Mienta in forum Windows
    Odpowiedzi: 9
    Autor: 06-16-2007, 13:31
  4. Jak połaczyć... [podczepianie wirusa pod plik --tqm]
    By Mienta in forum Newbie - dla początkujących!
    Odpowiedzi: 1
    Autor: 05-17-2007, 14:33
  5. mam wirusa czy co?
    By ironwall in forum Security
    Odpowiedzi: 1
    Autor: 01-27-2007, 19:06

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj