Vir ve WIN32.exe

DonMichal · Příspěvek od **DonMichal** » pát 27. led 2006, 13:49

NOD32 mi našel vir ve WIN32.exe a napsal že ho nedokáže odstranit. I Avast ho našel ale taky nedokáže odstranit. Teď mám AVG 7 ale nedokáže ho najít. Co stím. Je už pryč(asi těžko). Nebo nějakej prográmek na odstranění popřípadě teda jakej. Děkuji za odpovědi

PS: zatím se to nijak neporjevilo a našlo ho to zhruba v tom NOD32 asi před třemi dny

matajon · Příspěvek od **matajon** » pát 27. led 2006, 14:17

podle me ho nedokazi odstranit, protoze je prave spustenej - ve Spravci Uloh (Ctrl+Atl+Del

) ho vypni a pak ho zkus vymazat (jestli to nepude, tak zkus poslat log z HijackThis)

DonMichal · Příspěvek od **DonMichal** » pát 27. led 2006, 14:20

Vyzkouším to až doma a pak napíšu. Ale mám strach že když ho smažu páč je ve složce system tak si podělám Windy a pak mě budou házet chybu

Recon · Příspěvek od **Recon** » pát 27. led 2006, 14:23

ano logy z HJT je silna zbran na tyto smejdy.

WIN32.EXE
http://www.liutilities.com/products/win ... ary/win32/

je to zmetek typu worm tj. RATEGA virus ,RBOT.ATS WORM ci SDBOT WORM. Na kazde strance tomu smejdovy rikaj jinak.

Posli ten log a vyčistime to

matajon · Příspěvek od **matajon** » pát 27. led 2006, 14:28

DonMichal píše:Ale mám strach že když ho smažu páč je ve složce system tak si podělám Windy a pak mě budou házet chybu

Nebude, protoze jestli myslis slozku system32, tak tam zadny soubor Win32.exe byt nema, takze se ten cerv jenom tvari, ze je systemovej soubor, aby zmat uzivatele

DonMichal · Příspěvek od **DonMichal** » pát 27. led 2006, 14:29

jak římám teď jsem v práci ale jak večer přijdu tak na něj vlítnu a pak to sem písnu

akorát musím odinstalovat AVG a dát tam NOD nebo Avast a tím HJT myslíte co

páč trochu do tohodle nedělám spíše se teprve učím. Ale zžejmě máte namysli výsledkovou listinu

Recon · Příspěvek od **Recon** » pát 27. led 2006, 14:32

tady mas vice moznosti o co muze jit presne.
http://startup.networktechs.com/srch-WIN32.EXE.html

Pro tvou informaci, aby jsi nemel strach ze smazes neco co nemas tak pred kazdym souborem co smaznes ho otestuj na.
www.virustotal.com

matajon · Příspěvek od **matajon** » pát 27. led 2006, 14:36

HijackThis je program, ktery dokaze zjistit, jake procesy prave bezi, jake programy se pousti po startu atd. a tyto veci ulozit do logu. Z toho logu muze potom zkuseny uzivatel (:)) poznat co neni na pocitaci v poradku. Dokaze i mazat z registru zaznamy programu pustenych po startu .... HijackThis muzes stahnout tady.

DonMichal · Příspěvek od **DonMichal** » pát 27. led 2006, 14:38

Ha dobrý finty na dacany

doufám že to nějak udělám

kolem šesté sem vlítnu a dám vědět

DonMichal · Příspěvek od **DonMichal** » pát 27. led 2006, 14:40

Matně si vzpomínám že jsem se díval do správce úloh a tam byl jako mezi procesama.

Příspěvek od **zombux** » pát 27. led 2006, 15:05

win32.exe není normální systémovej proces

podle všeho to je RATEGA trojan nebo podobnej ksindl, jak už někdo psal nahoře

DonMichal · Příspěvek od **DonMichal** » pát 27. led 2006, 15:21

Nejdřív ho teda ukončím a pak smáznu jak červa jestli to pujde

DonMichal · Příspěvek od **DonMichal** » pát 27. led 2006, 18:09

Tak jsem si nainstaloval ten NOD32 a ten mi ho našel a tak jsem ho smazal

pak jsem si nainstaloval microsoft anti spyware a tem mi našel další dva a tak jsem je smazal

DonMichal · Příspěvek od **DonMichal** » pát 27. led 2006, 18:27

Ted jsem tam dal spy sweeper a nachází to asi další

našel tohle
adware found: marketscore
Adware found: whenu save
Spy Cookie found: atwola cookie
Spy Cookie found: toplist cookie
Adware found: tibs dialer
Full Sweep has completed. Elapsed time 00:09:16
Traces Found: 20
no a ten HJT píše tohle

Logfile of HijackThis v1.99.1
Scan saved at 18:26:43, on 27.1.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\TRIXX\TRIXX.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\windows\system32\rlvknlg.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\T-Mobile Communication Centre\Centre.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\User\LOCALS~1\Temp\Rar$EX00.390\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [TRIXX] "C:\Program Files\TRIXX\TRIXX.exe" -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RelevantKnowledge] c:\windows\system32\rlvknlg.exe -boot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\RunOnce: [MicrosoftAntiSpywareCleaner] C:\Program Files\Microsoft AntiSpyware\gcASCleaner.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [T-Mobile Communication Centre] C:\Program Files\T-Mobile Communication Centre\Centre.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8CEE0248-8976-4D4E-97EE-573A395FE132}: NameServer = 62.141.0.1 213.162.65.1
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe

tak poraďte

matajon · Příspěvek od **matajon** » pát 27. led 2006, 20:32

takze :
vypnout a smazat C:\windows\system32\rlvknlg.exe - to jeRelevantKnowledge Adware
potom smazat zaznam v registrech "O4 - HKLM\..\Run: [RelevantKnowledge] c:\windows\system32\rlvknlg.exe -boot" (jde to i v HJT)

mozna jsem neco prehlid

Shit · Příspěvek od **Shit** » pát 27. led 2006, 23:06

DonMichal píše:... Teď mám AVG 7 ale nedokáže ho najít. ....

Ani se nedivím

. Jak už psal "Lemra":

AVG je horší než nic....

DonMichal · Příspěvek od **DonMichal** » sob 28. led 2006, 18:22

Tak jsem ho smazal a pak v HJT smazal z registru na trvalo

díkec kluci snad to bude teď už v poho

a konečně se mi i aktualizoval NOD32 páč to nějak blblo

tak ještě jednou díky

Vir ve WIN32.exe

Vir ve WIN32.exe

Re: Vir ve WIN32.exe