Can't load library from memory plus trojany


(Izabela Szostak) #1

Witam,

przez dłuższy czas nie używałam swojego komputera, ale sporadycznie korzystali z niego inny (niekoniecznie bardzo doświadczeni w tej materii) i zauważyłam kilka problemów.

Pierwszy to taki, że gdy chce otworzyć z pulpitu Mój Komputer, Kosz, Moje Dokumenty itp. pojawia mi się wiadomość 'can't load library from memory'. Gdy nacisne ok, to wszytsko jest ok i otwiera się bez problemu, ale to chyba nie powinno tak być.

Poza tym nie mogę zmienić strony startowej. Zawsze używałam wp.pl. a teraz po każdym uruchomieniu przeglądarki jako stratowa jest google.pl. Kilkakrotnie zmieniałam ją na wp.pl w opcjach internetowych, ale po ponownym uruchomieniu znowu pojawia sie google.pl.

Poza tym w czasie wyszukiwania z zasobów google.pl niektóre strony nie otwierają sie bezpośrednio, ale następuje przekierowanie na strone hrena.com (też jakiś typ wyszukiwarki chyba :? ).

Przeskanowałam Kasperskim on line, znalazł:

Trojan-ropper.Win32.Delf.rc,

Trojan-Downloader.Win32.Small.dyr,

Trojan-Spy.Win32.BZub.fh

Nie wiem co zrobić, a moja wiedza kompuetrowa też nie jest imponująca niestety.

Będę wdzięczna za każdą pomoc.


(Heniu133) #2

Wklej logi z HijackThis, Silent Runners:

http://forum.dobreprogramy.pl/viewtopic.php?t=36654


(Izabela Szostak) #3

log z HijackThis

Logfile of HijackThis v1.99.1

Scan saved at 16:34:42, on 2007-01-04

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\na kłopoty\Spyware Doctor\sdhelp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\na kłopoty\Spyware Doctor\swdoctor.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

C:\Program Files\eMule\emule.exe

C:\na kłopoty\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [Spyware Doctor] "C:\na kłopoty\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7CAB18B5-7ED6-44EA-9E1D-C0F17B0CADEA}: NameServer = 194.204.159.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{9F4EACE9-CD4B-4093-9B32-23BBEEB79F4B}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program Files\MKS\Bin\mksmonsv.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\na kłopoty\Spyware Doctor\sdhelp.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

log z Silent Runners:

"Silent Runners.vbs", revision 49, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"Spyware Doctor" = ""C:\na kłopoty\Spyware Doctor\swdoctor.exe" /Q" ["PC Tools Research Pty Ltd"]


HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"SpeedTouch USB Diagnostics" = ""C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon" ["THOMSON Telecom Belgium"]

"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]

"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]

"SunJavaUpdateSched" = "C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe" [null data]

"RemoteControl" = ""C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."]

"Zone Labs Client" = ""C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"" ["Zone Labs, LLC"]


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)

  -> {HKLM...CLSID} = (no title provided)

                   \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

                   \InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

Złączono Posta : 04.01.2007 (Czw) 16:50

Złączono Posta : 04.01.2007 (Czw) 20:54

Chyba poradziłam sobie z dwoma trojanami. Po ich usunięciu zniknął problem ze stroną startową i z tym komunikatem 'can't load library from memory,nie moge tylko usunąć tego ostatniego:

Trojan-Spy.Win32.BZub.fh,

nie mogę też znalęźć nic na ten temat w necie. Możew ktoś wie coś na ten temat i wie jak sie tego pozbyć? Będę wdzieczna.