Törölhetetlen vírus
2008-06-28T17:33:20+02:00
2008-07-05T18:59:30+02:00
2022-07-22T17:26:22+02:00
antirex
Most veszem észre, milyen költői címet adtam a témának ^^ A helyzet a következő: van egy vírusom, ami lassítja az egész gépet, de a nevét nem tudom. (biztos, hogy e vírus miatt van, más vírust nem is mutatott ki egyik vizsgálat sem különböző keresőkkel, meg hirtelen lett lassú a gép, úgy, hogy semelyik user nem csinált semmi különöset) Bárhogyan próbálkozok, nem lehet kitörölni. Tudom, hogy létezik, de a system32 mappát sehonnan nem tudom megnyitni.
C://WINDOWS/System32/
ezt írom be a címsorba, vagy backslash-sel (\) is próbálkozok, akkor sem jó. Ha a Sajátgépből akarom elérni, akkor lefagy a gép (amikor megnyitom). explorer.exe hibát észlel, leáll címmel. Ezután meg be kell írni a feladatkezelőbe az új feladatnál hogy explorer.exe... -_-
Régebben nem az explorer.exe, hanem a mycomputer.exe fagyott le, (nem minden alkalommal, csak mikor a CPU használat 100%-on volt) akkor nem volt vírus és nem biztos, hogy a windows intéző is leállt.
20 perce végső elkeseredésemben újraindítom a gépet, veszetten nyomkodom az F8-at, hogy csinálok egy Ad-Aware scant csökkentett módban. Kattintok rá, kéri a rendszergazdai jelszót - NEM FOGADJA EL A SAJÁT JELSZAVAM!!

Van -e ötletetek, hogy mi lehet ez az egész - esetleg mi a vírus neve, de leginkább, hogy hogyan tudom visszacsinálni a dolgokat?? -nekem szükségem lenne a system32 mappára-

Esetleg csatolhatok hijackthis logot, de úgy emlékszem, hogy nem mutatott ki semmi különöset.. .. .. kivéve.. a boot sectorban talált valami különös dolgot, amit a hibajelentés küldésére mentem kiírta nincsen netkapcsolat pedig volt, és az alapértelmezett volt bekapcsolva, majd nem küldte el.., de most már nem írja ki o_O
Mutasd a teljes hozzászólást!
Zavarj végig rajta egy friss Spybot S&D -t.

Az Antivirus2008 és a C:\WINDOWS\UuFwbGkgUvNiZXJ0\command.exe mindenképpen gyanús.

- Előbbit fogadjunk hogy nem te telepítetted!

- Utóbbi akkor is, ha hiányzó fájlként hivatkozik rá.
(talán indításkor elrejti a rendszer elől...)
Mutasd a teljes hozzászólást!

  • Azt a logot látni szeretnénk.
    Mutasd a teljes hozzászólást!
  • Íme:
    Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:42:19, on 2008.06.28. Platform: Windows XP Szervizcsomag 2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Windows SteadyState\SCTSvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\Program Files\Windows SteadyState\Bubble.exe C:\WINDOWS\vsnpstd3.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\wbem\unsecapp.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\Program Files\Antivirus2008y\antvrs.exe C:\Program Files\HyCam2\HyCam2.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Program Files\Mozilla Firefox\firefox.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: P2P Energy Toolbar - {2bae58c2-79f9-45d1-a286-81f911301c3a} - C:\Program Files\P2P_Energy\tbP2P_.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O3 - Toolbar: P2P Energy Toolbar - {2bae58c2-79f9-45d1-a286-81f911301c3a} - C:\Program Files\P2P_Energy\tbP2P_.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [Bubble] "%ProgramFiles%\Windows SteadyState\Bubble.exe" O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Scea] "C:\WINDOWS\System32\SKS~1\services.exe" -vt yazb O4 - HKCU\..\Run: [Jky] C:\WINDOWS\system32\?icrosoft\s?ool32.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Antivirus2008y] C:\Program Files\Antivirus2008y\antvrs.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'HELYI SZOLGÁLTATÁS') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'HÁLÓZATI SZOLGÁLTATÁS') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&xportálás Microsoft Excel formátumba - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - AutorunsDisabled - (no file) O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: Kutatás - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1212918863390 O17 - HKLM\System\CCS\Services\Tcpip\..\{339047A9-33F3-4ED0-86B3-E078F8ACA105}: NameServer = 84.2.44.1 84.2.46.1 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\UuFwbGkgUvNiZXJ0\command.exe (file missing) O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6119 bytes
    Mutasd a teljes hozzászólást!
  • ó!
    most, hogy nem raktam dupla backslash-t, bejött a system32 mappa, de a C:\WINDOWS\ mappában még mindig nem látom!
    ___
    ui.: rejtett fájlok megjelenítése be van kapcsolva...
    Mutasd a teljes hozzászólást!
  • Ha letöltöd a Hirens Bootcd-t, a jelszót fel tudod oldani. Ugyanezen a CD-n van Volcov Commander (NTFS támogatással), mivel a víruskeresőd ugye kiírja hogy melyik állományok a fertőzöttek - felírod őket, majd a CD-ről bootolva a Volcov Commanderrel egyszerűen kitörlöd.
    Nekem is volt már olyan vírusom amitől csak így tudtam megszabadulni.
    Egyébként amennyi processz nálad fut, az még vírus nélkül is lelassít bármilyen erőgépet! Muszáj ennyit futtatnod?
    Mutasd a teljes hozzászólást!
  • Pontosabban mi is az a hirens bootcd?
    + kérnék linkeket


    kösz
    Mutasd a teljes hozzászólást!
  • Muszáj ennyit futtatnod?


    Igazából nem megy semmi extra. Megy a ZoneAlarm + Avast + Firefox +JRE + SteadyState. Ezek a progik nekem mind kellenek. Szerintem 1.7Gb -os CPU -nál ez nem is olyan sok

    + hol is lehet beállítani, hogy ne induljon el az MSN indításkor?
    Mutasd a teljes hozzászólást!
  • Letölteném + Nero-val megírnám rendszerindító cd-nek, a biosban beállítanám a cd-ről bootolást aztán menne, de ehhez le kéne tölteni, de sehol nem találok download gombot ezen a helyen: Hiren's BootCD 15.2 - All in one Bootable CD >> www.hiren.info
    Mutasd a teljes hozzászólást!
  • Azért nem találod mert előbb fizetned kell érte - nem ingyenes (én úgy láttam)

    De azért máshol fenn van:

    http://soft-best.net/en/detail/hirens_bootcd_92/

    Mutasd a teljes hozzászólást!
  • Melyik a jobb - avast trial vagy panda trial? avastból 1 hónap elment panda meg 1 hónapos lenne..?

    KÉP
    Mutasd a teljes hozzászólást!
  • http://uuupload.extra.hu/hiren.avi
    Ez egy videó arról, hogy mit csináltam, miután a Patch.exe-vel beállítottam a nyelvet egyesült államokbelire. Sok sikerrel nem jártam - nem kell megnézni feltétlen.
    Szóval kaptam egy másik nevű fájlt (hbcd.iso), nem azt, amit leírt (úgy emlékszem, US Hiren Boot CD.iso -nak kellene lennie), ezért azt kérdezem, hogy hbcd.iso-t rakjam-e fel az (egyetlen) CéDémre. o_O O_o méghozzá ezt Bitvadásztól kérdezem, mert gondolom, ő megcsinálta már ezt.
    Mutasd a teljes hozzászólást!
  • Melyik a jobb - avast trial vagy panda trial? avastból 1 hónap elment panda meg 1 hónapos lenne..?

    E hozzászólásomnál a képnél hibás link van. A helyes link: http://uuupload.extra.hu/images/avastorpanda.PNG
    Mutasd a teljes hozzászólást!
  • Igazából nem tudom kivenni hogy mit is csináltál, de semmit nem is kell. Egy keyboard patcher szokott mellette lenni - én még sohasem használtam. Amit letöltöttél ISO-t úgy ahogy van ki kell írni(Nero - CD lemezkép felírása), ekkor automatikusan egy Bootolható CD-t kapsz.
    A többi már rajtad múlik...
    Mutasd a teljes hozzászólást!
  • ___________________________ok
    Mutasd a teljes hozzászólást!
  • Megcsináltam - lehet, hogy azért, mert nem engedte kiválasztani a CD írási sebességet, de nekem nem indul.( A bios settingsben átállítottam az elsődleges boot eszközt)
    Mutasd a teljes hozzászólást!
  • + hol is lehet beállítani, hogy ne induljon el az MSN indításkor?


    Két helyen is megteheted. Egyrészt az MSN beállításai között (asszem általános fül). másrészt Start menü -> Futtatás -> msconfig

    A vírus kérdéshez már mindent írtak, amit mondani tudtam volna.
    Mutasd a teljes hozzászólást!
  • mivel ugye a csökkentett mód nem műxik (bővebben: témaindító hozzászólás), hogy lehet egy avast! vírusscan-t az üdvözlőképernyő megjelenése elé beütemezni? Egyszer már sikerült nekem valahogy...
    Mutasd a teljes hozzászólást!
  • Zavarj végig rajta egy friss Spybot S&D -t.

    Az Antivirus2008 és a C:\WINDOWS\UuFwbGkgUvNiZXJ0\command.exe mindenképpen gyanús.

    - Előbbit fogadjunk hogy nem te telepítetted!

    - Utóbbi akkor is, ha hiányzó fájlként hivatkozik rá.
    (talán indításkor elrejti a rendszer elől...)
    Mutasd a teljes hozzászólást!
  • az antivirus2008 -at erőszakosan telepítette a böngészőm - popup meg ilyesmi -_-
    Azóta már eltávolítottam...

    Simple File Shredder sem találja meg a C:/W/Uu/command.exe -t... Most mi legyen?


    Hogy lehetne kiiktatni a "Rendszergazda" nevű user jelszavát?
    Mutasd a teljes hozzászólást!
  • Ophcrack

    Ophcrack is a free Windows password cracker based on rainbow tables. It is a very efficient implementation of rainbow tables done by the inventors of the method. It comes with a Graphical User Interface and runs on multiple platforms.

    Features:
    » Runs on Windows, Linux/Unix, Mac OS X, ...
    » Cracks LM and NTLM hashes.
    » Free tables available for Windows XP and Vista.
    » Brute-force module for simple passwords.
    » LiveCD available to simplify the cracking.
    » Loads hashes from encrypted SAM recovered from a Windows partition, Vista included.
    » Free and open source software (GPL).

    Használd egészséggel!

    "Képregény" a használatról:
    Screenshot Tour: How to crack a Windows password with Ophcrack Live CD
    Mutasd a teljes hozzászólást!
  • Ha "megtalálod", akkor ez néhány másodperc alatt megoldja a gondot.

    Windows Key Enterprise Edition
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd