Dużo trojanow na komputerze


(system) #1

Przed chwila z jakiejś strony sciagłem niby patcha do gry call of duty 4. Uruchomilem no i okazalo sie ze jest w nim duzo trojanow. Avast wykrył dodatkowo przeskanowalem komp ArcaMicroScan i zachwilę przeskanuje Ad-aware. Powiedźcie co mam robicz zeby wszystko do porzadku doprowadzić? Wykrylo mi min. Win32 Agent JDR, Win32 Tiny.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:47:37, on 2008-02-15

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\RTHDCPL.EXE

E:\HP\Digital Imaging\Unload\hpqcmon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

E:\Programy\demon pro\DAEMON Tools Pro\DTProAgent.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\jupss.exe

E:\Programy\bluesolei\BlueSoleil.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

E:\HP\HP Share-to-Web\hpgs2wnf.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Mozilla Firefox\ArcaMicroScan\arcamicroscan.exe

C:\WINDOWS\system32\rundll32.exe

c:\bot.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

F3 - REG:win.ini: run=C:\WINDOWS\mmhren1.exe

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll

O3 - Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - (no file)

O3 - Toolbar: &Tłumaczenie - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [CamMonitor] E:\HP\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [Microsoft hren1] C:\WINDOWS\mmhren1.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden

O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "E:\Programy\demon pro\DAEMON Tools Pro\DTProAgent.exe"

O4 - HKCU\..\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BitComet] "E:\Programy\Bit Comet\BitComet\BitComet.exe" /tray

O4 - HKCU\..\Run: [WintelUpdate] C:\jupss.exe

O4 - HKCU\..\Run: [Microsoft hren1] C:\WINDOWS\mmhren1.exe

O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = E:\Programy\adobe\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = E:\Programy\adobe\Reader\AdobeCollabSync.exe

O4 - Global Startup: BlueSoleil.lnk = ?

O8 - Extra context menu item: &D&ownload &with BitComet - res://E:\Programy\Bit Comet\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://E:\Programy\Bit Comet\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://E:\Programy\Bit Comet\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: &Winamp Toolbar Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - E:\Programy\Bit Comet\BitComet\tools\BitCometBHO_1.1.9.24.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll

O9 - Extra 'Tools' menuitem: @C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll,-103 - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Urządzenie mobilne Apple (Apple Mobile Device) - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BlueSoleil Hid Service - Unknown owner - E:\Programy\bluesolei\BTNtService.exe (file missing)

O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NBService - Nero AG - E:\Programy\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)


--

End of file - 9521 bytes

(system) #2

Dodam jeszcze ze wlaczyl mi sie skaner poczty i ciagle mi sie wylancza zapora systemu windowas. Teraz przeskanowalem komp Spyware Doctor i wykrył Trojan Virtumonde, jakies 2 adware


(jessica) #3

Jeśli VIRTUMONDE, to nawet nie oglądam logu z Hijacka.

Daj log z ComboFix .

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

jessi


(system) #4

Jeszcze znalazlo Trojan Popuper


(system) #5

Lol cos sie dzieje wlaczylem comboFix i tylko komputer zapiszczal i ikonka combofix zamieniala sie na internet explorer;/


(jessica) #6

Szkoda.!

Daj przynajmniej log z DSS - link chyba ten sam .(i też na wklej.org).

jessi


(system) #7

bylo pelno jakis bledow program zaczol szalec nie wiem co robil. zresetował się i potem wyskoczylo takie cos:

http://www.wklej.org/id/6d4549e580


(system) #8

DSS:

http://www.wklej.org/id/523fba32f4


(jessica) #9

Ponieważ boję się, że ComboFix coś u Ciebie "narozrabia", to:

Ściągnij -->Avenger.

Zaznacz: "Input Script Manualy". Kliknij "Lupkę". Wklej:

Files to delete:


C:\WINDOWS\mmhren1.exe

C:\jupss.exe

C:\WINDOWS\mmax_hren2.ini 

C:\bot.exe 

C:\672929430 

C:\wpohl.exe 

C:\WINDOWS\system32\jkghje.dll

Kliknij "Done". Kliknij "zielone światełko". Kliknij "TAK". Zrestartuj komputer. Daj raport z Avengera z C:\avenger.txt. (na wklej.org) Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WintelUpdate"=-

"Microsoft hren1"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft hren1"=-


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Microsoft hren1"=-


[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvuuvuu]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 

"{37B85A29-692B-4205-9CAD-2626E4993404}"=-

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

Daj też nowy log z DSS (na wklej.org)

jessi


(system) #10

Z avenger: http://www.wklej.org/id/6d208cc693

Kiedy sie komp zresetowal wyswietlil sie komunikat ze windows nie odnalazl pliku C:\WINDOWS\mmhren1.exe


(system) #11

Cały czas wyskakuje mi ze nie moze znalesc pliku

C:\WINDOWS\mmhren1.exe po wlaczeniu komputera co zrobic?


(system) #12

Nowy DSS: http://www.wklej.org/id/bff6a481cf


(jessica) #13

Ten komunikat się pojawił, bo w tamtym momencie jeszcze nie był usunięty z Autostartu klucz tego szkodnika.

Jeśli wykonałeś pozostałą część z Rejestrem, to ten komunikat nie będzie się już pokazywał.

EDIT:

Poprawka:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f906463a-ad83-11dc-91c6-101111111111}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

Daj log z DSS (na wklej.org).

jessi


(system) #14

Dalej cos wyskakuje przy urochumieniu komputera

DSS: http://www.wklej.org/id/6c8ac1bfa5


(jessica) #15

Te w/w wpisy sfiksuj w Hijacku:

>>HijackThis>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

jessi


(Leon$) #16

Spóźniłem się ale można jeszcze usunąć

oraz jeżeli nie używa opcji winampa w narzędziach IE

i ten plik jest podejrzany

przeskanuj go http://virusscan.jotti.org/

:slight_smile:


(system) #17

Już powinno być ok,

ActraMicroScan nic nie wykrywa,

Speyware Doctor jakieś Aplication.Tracking.Cookies i Adware Adwertising

Avast też milczy

Dzieki za pomoc


(system) #18

Jak sie skanuje tym http://virusscan.jotti.org/ ??


(Dmirecki) #19

Otwierasz stronkę -> na górze dajesz Przeglądaj -> znajdujesz plik który kazał Leon$ -> otwórz -> submit -> czekasz na wyniki


(Ciupa Michal) #20

na tej stronie naciskasz przeglądaj, odnajdujesz ten plik który chcesz przeskanować na twoim komputerze(w twoim wypadku to plik 70554rzr-cod4.exe) i wtedy submit.

Chwilę czekasz i wtedy pojawiają ci się jakie programy co wykryły i piszesz tutaj na forum albo po prosztu robisz screena.

Jeśli nic nie wykrył żaden program to plik jest ok.