Backdoor.Codbot.bo


(kono306) #1

po przeskanowaniu panda on line i kaspersky on line wyszło że mam Backdoor.Codbot.bo i nie moge tego niczym wytępić bardzo proszę o pomoc tylko tak żebym zrozumiał bo zaznaczam że specjalnie się na tym nie znam


(Bbieniol) #2

Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe Sysinfo Helper Service

Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz Sysinfo Helpe i ok

Usuwasz Hijackiem wpisy:

Po zabiegach nowy log z Hijacka + log z Silent Runners


(kono306) #3

wielkie dzięki już próbuje to zrobić

Złączono Posta : 04.10.2006 (Sro) 20:04

jak wpisze sysinfo helper wciskam ok to otwiera się okno z tekstem Service 'sysinfo helper’was not found in the registry. make sure you

entered the short name on the service vbExclamation Zatrzymać usługi sysinfo helper service też nie mogę zatrzymać bo jak tam wchodzę jest tylko uruchom


(Gutek) #4

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Daj log z Silenta


(kono306) #5

silenta nie moge otworzyć wyskakuje “nie można znaleźć pliku Silent Runners.vbs”


(Bbieniol) #6

O błędach Silenta poczytaj tutaj -> http://www.searchengines.pl/phpbb203/in … opic=15989


(kono306) #7

z tego co wyczytałem to “delete a NT service” nie działa w win 2000 ??

Złączono Posta : 05.10.2006 (Czw) 19:52

z silenta nic mi nie wychodzi wysyłam jeszcze raz z Hijack’a


(Bbieniol) #8

Zmień w tej usłudze typ uruchamiania na wyłączony i skasuj Hijackiem ten wpis:

Dodatkowo do usunięcia Hijackiem te wpisy:

Wrzuć screena tego blędu z Silenta :slight_smile:

:arrow: Jak wstawić zrzut pulpitu?


(kono306) #9

na początku dzięki za zainteresowanie

teraz to nawet screena nie wrzucę bo wogóle nie mogę go otworzyć poczytałem o błędach silenta i zastosowałem się do tego"Na liście znaleźć obecne rozszerzenie VBS >>> podświetlić je i skasować. Następnie wybrać opcję Nowe >>> wpisać nazwę VBS >>> kliknąć Zaawansowane >>> w rozwijalnej liście wybrać jako skojarzony typ VBSscript Script File >>> zatwierdzić = gotowe"obecne rozszerzenie skasowałem i szukam VBScript Script File a tam takiego nie ma owszem są inne VBS ale nie ten jest 5 innych np. authoring;encoding;expression;hostencode;language i teraz mam tylko “otwórz za pomocą” co mam robić??

a co do tego "Zmień w tej usłudze typ uruchamiania na wyłączony i skasuj Hijackiem ten wpis:"to wytłumacz jak prostemu chłopu ja naprawdę się na tym nie znam powoli zaczynam wątpliwości czy sobie poradzę czyżby znowu czekał mnie format??


(Bbieniol) #10

Start -> uruchom -> services.msc -> znajdź usługę Sysinfo Helper Service -> właściwości -> zmień typ uruchamiania na wyłączony :slight_smile:

Odpalasz Hijacka --> do a system scan only i zaznaczasz wpisy:

I klikasz na dole “fix checked” :slight_smile:

Co do Silenta, to poczytaj dokładnie - jest tam też rozwiązanie problemu otwierania przez…


(kono306) #11

jak zmienie typ uruchamiania na wyłączony ten wpis się nie wyświetla

O23 - Service: Sysinfo Helper Service (Sysinfo Helper) - Unknown owner - C:\WINNT\system32\sysinfo.exe (file missing) jak włącze znowu jest


(Bbieniol) #12

Typ uruchamiania zostaw na wyłączonym. I wklej nowy log :slight_smile:


(kono306) #13

Logfile of HijackThis v1.99.1

Scan saved at 20:29:22, on 2006-10-06

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINNT\system32\CTSvcCDA.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINNT\Explorer.EXE

C:\PROGRA~1\NEOSTR~1\taskbaricon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Anti-Trojan-55\ATWatch.exe

C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe

C:\PROGRA~1\NEOSTR~1\ComComp.exe

C:\PROGRA~1\NEOSTR~1\Watch.exe

C:\Program Files\Maxthon\Maxthon.exe

C:\WINNT\system32\mmc.exe

C:\Documents and Settings\KONO\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\taskbaricon.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM…\Run: [AT-Watch] C:\Program Files\Anti-Trojan-55\ATWatch.exe

O4 - HKLM…\Run: [Anti-Trojan-Watch] C:\Program Files\Anti-Trojan-55\ATWatch.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip…{AF28A2F2-44BD-4218-AFF9-98168037A466}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTSvcCDA.exe

O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.e[code]


(Bbieniol) #14

Jest ok :slight_smile:

Co z logiem z Silenta? Udało się?


(kono306) #15

z silentem jeszcze nie ale powiedz mi czy zostawić na wyłączonym na stałe chodzi mi o tryb uruchamiania bo jak włączam automatyczny(tak było) to ta franca sysinfo.exe znowu jest a z silentem zaraz będę walczył


(Bbieniol) #16

Usługe wyłączasz i zostawiasz w spokoju - nic w niej później nie ruszasz :slight_smile:


(kono306) #17

z tym silentem nic mi nie wychodzi za rzadki jestem :frowning: VBScript Script File tego u mnie nie ma albo nie potrafie znaleźć na pulpicie ikonka silenta ma znaczek windowsa Bardzo dziękuje za cierpliwość i chęć tłumaczenia mułowi zapewne prostych żeczy i cieszę się że udało się wytępić tego backdoor’a masz u mnie co najmniej browara :slight_smile: pozdrawiam


(Gutek) #18

Poproszę ostatni raz, popraw posty i:

obejmij log znacznikiem (tagiem) CODE lub QUOTE

Pozdrawiam Gutek2222


(kono306) #19

próbowałem poprawić ale jak wyszło to nie wiem jeżeli jest źle to powiedz jak to zrobić żebym na przyszłość wiedział :frowning:


(Bbieniol) #20
[quote] treść loga [/quote]