Adware Agent BN


(Cybsio1) #1

Mam problem z wyskakującymi okienkami reklamującymi programy antywirusowe oraz pojawiającym się System Alert, po skasowaniu Spyware Doctor i po wykryciu i usuneciu Adware Agent BN wirus powraca, do tego komputer wyraźnie spowolnił. Prosze o szybka pomoc... i dokładny opis tego, co mam robić...

http://wklej.org/id/21a9e098eb


(Laszjwrz) #2
C:\Documents and Settings\All Users\Dane aplikacji\ejinmpmx\wlmlynmz.exe

Usuń plik.

C:\WINDOWS\system32\sjurcpwl.exe

Plik przeskanuj na http://virustotal.com/pl

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O2 - BHO: DVA Media - {82B8E0B5-45F5-4779-966A-C474164F8F7F} - C:\WINDOWS\temlxopqgdk.dll

O3 - Toolbar: vnbptxlf - {2EBC25FD-CDC9-4354-B220-2B7BFCBB28D3} - C:\WINDOWS\vnbptxlf.dll (file missing)

O4 - HKLM\..\Policies\Explorer\Run: [MU8wCHopq0] C:\Documents and Settings\All Users\Dane aplikacji\ejinmpmx\wlmlynmz.exe

O21 - SSODL: qdnkewfa - {E4144406-9781-486E-89F8-82811E5171FA} - C:\WINDOWS\qdnkewfa.dll

O21 - SSODL: mgsvflkw - {2E45D6C6-2CF1-4506-8D83-9D948FBC17D7} - C:\WINDOWS\mgsvflkw.dll

O24 - Desktop Component 0: Privacy Protection - (no file)

Fix.


(Cybsio1) #3

Plik sjurcpwl.exe otrzymany 2008.04.11 23:25:54 (CET)

Obecny status: zakończono

Wynik: 6/32 (18.75%)

Zwięzły Drukuj wyniki

Antywirus Wersja Ostatnia aktualizacja Wynik

AhnLab-V3 - - -

AntiVir - - TR/Crypt.XPACK.Gen

Authentium - - -

Avast - - -

AVG - - Downloader.Obfuskated

BitDefender - - -

CAT-QuickHeal - - -

ClamAV - - -

DrWeb - - -

eSafe - - -

eTrust-Vet - - -

Ewido - - -

F-Prot - - -

F-Secure - - -

FileAdvisor - - -

Fortinet - - -

Ikarus - - -

Kaspersky - - -

McAfee - - -

Microsoft - - Trojan:Win32/Busky.EC

NOD32v2 - - a variant of Win32/TrojanDownloader.FakeAlert.BP

Norman - - -

Panda - - -

Prevx1 - - Heuristic: Suspicious File With Outbound Communications

Rising - - -

Sophos - - -

Sunbelt - - -

Symantec - - -

TheHacker - - -

VBA32 - - -

VirusBuster - - -

Webwasher-Gateway - - Trojan.Crypt.XPACK.Gen

Dodatkowe informacje

MD5: a9b01db5f2a00602f9a954f497c50507

SHA1: e32c93ef39849a0f2c083ab05478b454b26df56e

SHA256: 48af2b9fcd8d6c59f7b1a98b4d527bca052d797ffdfae5669272bea3f8ca7606

SHA512: ac5009cf7f71671efe65b5e97900300f6ab79d8d6488dcbba55de9b2effaf6046c8161ebef43d93ef150b2ac1b9414c99d6d8bb2aa2a93fc550404cf75816086


(Cybsio1) #4

i jak to sie naprawia? jakie kroki?

od: Zaznacz cały

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O2 - BHO: DVA Media - {82B8E0B5-45F5-4779-966A-C474164F8F7F} - C:\WINDOWS\temlxopqgdk.dll

O3 - Toolbar: vnbptxlf - {2EBC25FD-CDC9-4354-B220-2B7BFCBB28D3} - C:\WINDOWS\vnbptxlf.dll (file missing)

O4 - HKLM…\Policies\Explorer\Run: [MU8wCHopq0] C:\Documents and Settings\All Users\Dane aplikacji\ejinmpmx\wlmlynmz.exe

O21 - SSODL: qdnkewfa - {E4144406-9781-486E-89F8-82811E5171FA} - C:\WINDOWS\qdnkewfa.dll

O21 - SSODL: mgsvflkw - {2E45D6C6-2CF1-4506-8D83-9D948FBC17D7} - C:\WINDOWS\mgsvflkw.dll

O24 - Desktop Component 0: Privacy Protection - (no file)


(Laszjwrz) #5

Zfixuj kod jaki dałem wyżej, usuń plik C:\WINDOWS\system32\sjurcpwl.exe. Po pracy podaj nowy raport z HijackThis.

EDIT: Aby zfixować uruchom HijackThis i wybierz opcje “do a system scan olny”. Następnie zaznacz haczyki przy wpisach i kliknij “Fix checked”.


(Cybsio1) #6

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:07:07, on 2008-04-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\WINDOWS\system32\DVDRAMSV.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\TODDSrv.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe

C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

C:\Program Files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe

C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

C:\WINDOWS\system32\sjurcpwl.exe

C:\Program Files\Microsoft ActiveSync\wcescomm.exe

C:\PROGRA~1\MICROS~3\rapimgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\uWDF.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM…\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM…\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM…\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM…\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe

O4 - HKLM…\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe

O4 - HKLM…\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP

O4 - HKLM…\Run: [sVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL

O4 - HKLM…\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe

O4 - HKLM…\Run: [smoothView] C:\Program Files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe

O4 - HKLM…\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe

O4 - HKLM…\Run: [DDWMon] C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [loaddll] loaddll.exe

O4 - HKLM…\Run: [iSTray] “C:\Program Files\Spyware Doctor\pctsTray.exe”

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe

O4 - HKCU…\Run: [jhjbklmj] C:\WINDOWS\system32\sjurcpwl.exe

O4 - HKCU…\Run: [H/PC Connection Agent] “C:\Program Files\Microsoft ActiveSync\wcescomm.exe”

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O10 - Unknown file in Winsock LSP: syswvnt.dll

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O21 - SSODL: mgsvflkw - {829B88C2-57D7-4DBC-A229-77695C16A872} - C:\WINDOWS\mgsvflkw.dll

O21 - SSODL: qdnkewfa - {C2F35B7A-1119-4CB0-A9F5-00C5EA2452CC} - C:\WINDOWS\qdnkewfa.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe

O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Usługa Auto-Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Usługa Norton Protection Center (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe

O24 - Desktop Component 0: Privacy Protection - (no file)

End of file - 10545 bytes


(Dawidex11) #7

Poniższe wpisy zafixuj w HijackThis , czyli zaznacz ptaszkiem wpisy i kliknij na Fix Checked …

Pobierz comboFix’a :arrow: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Wklej do Notatnika:

>>Plik>>Zapisz jako… >>> CFScript.txt

Przeciągnij i opuść plik CFScript.txt na plik ComboFix.exe (czyli ikonke CFScript.txt na ikonke ComboFix.exe)

post-55327-13856534057123_thumb.gif

Nastąpi usuwanie , po tym ComboFix wygeneruje log który wklej na wklej.org a w poście podaj tylko link .

Ps. Logi wklejaj na :arrow: http://www.wklej.org


(Gutek) #8

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350


(Cybsio1) #9

http://www.wklej.org/id/461d3f28ed


(huber2t) #10

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\pxjfmrbi.dll

C:\WINDOWS\system32\crytukqs.ini

WINDOWS\syswvmail.dll

WINDOWS\syswvwin.dll

C:\WINDOWS\syswvnt.dll

C:\WINDOWS\syswvh.dll

C:\WINDOWS\sysninit.dll

C:\WINDOWS\loaddll.dll

C:\WINDOWS\loaddll.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox


(Cybsio1) #11

http://wklej.org/id/896c2aaadc

czy mam juz usunac ten plik ?


(huber2t) #12

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\syswvmail.dll

C:\WINDOWS\syswvwin.dll

C:\WINDOWS\syswvnt.dll

C:\WINDOWS\syswvh.dll

C:\WINDOWS\sysninit.dll

C:\WINDOWS\loaddll.dll

C:\WINDOWS\loaddll.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox


(Cybsio1) #13

http://wklej.org/id/f5d2ee801a


(huber2t) #14

Log wyglada na czysty

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum


(Cybsio1) #15

http://wklej.org/id/5d2d57afe3


(Dawidex11) #16

Wyłącz i włącz przywracanie systemu na wszystkich dyskach :arrow: http://support.microsoft.com/kb/310405/pl .

I skasuj ten program pogrubiony na czerwono : F:\instalki\antyvir\ winvestigator.exe.

, opróżnij kosz :stuck_out_tongue: i usuń backups z HijackThis :arrow: C:\Program Files\Trend Micro\HijackThis\backups(wszystki pliki z folderu backups)

Po za tym to wszystko :wink: