Koń trojański: Win32:Onlinegaming-BSS i inne

stockfish · 31 Maj 2008 13:57

Witam wszystkich i prosze o pomoc z Trojanem

Wiem które pliki muszę usunąć tylko nie wiem jak

Pozdrawiam i z góry dziękuję

Log z ComboFixa

http://up.wklej.org/download.php?id=6eb … fc29e0fe5d

W dniu 31.05.2008 , o godzinie 15:57 został dopisany post przez stockfish

Tutaj chyba lepiej widac kod c CF

http://www.wklej.org/id/a989542b4f

huber2t · 31 Maj 2008 14:03

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\pzwmaime.sys 

C:\WINDOWS\system32\ydgn.cfg

C:\Documents and Settings\Kuba\Application Data\wklnhst.dat 

C:\Documents and Settings\Administrator\Application Data\wklnhst.dat 

C:\WINDOWS\system32\azwmaime.exe 

C:\WINDOWS\system32\bcsxachu.sys 

C:\WINDOWS\system32\fxwmbime.sys 

C:\WINDOWS\system32\ghwxattb.exe 

C:\WINDOWS\system32\mnmhfsrv.dll 

C:\WINDOWS\system32\newxbttb.sys 

C:\WINDOWS\system32\oswxcttb.dll 

C:\WINDOWS\system32\sfsxachu.exe 

C:\WINDOWS\system32\swsxachu.dll 

C:\WINDOWS\system32\xzfhbjpg.sys 

C:\WINDOWS\system32\yxfhcjpg.dll 

C:\WINDOWS\system32\zxfhajpg.exe 

C:\WINDOWS\system32\zywmfime.dll

C:\WINDOWS\system32\swsxachu.dll 

C:\WINDOWS\system32\oswxcttb.dll 

C:\WINDOWS\system32\zywmfime.dll 

C:\WINDOWS\system32\mnmhfsrv.dll 

C:\WINDOWS\system32\yxfhcjpg.dll

C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll


Folder::

C:\WINDOWS\AppPatch


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{13FD5987-65D2-C58D-D87E-987451F12531}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{33512378-9874-5641-1025-985420368733}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6319A1F1-9410-9654-3201-345FFA349136}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6C8D1401-A58D-A81C-CD24-A5915C4517C6}] 

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}] 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{6319A1F1-9410-9654-3201-345FFA349136}"=-

"{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}"=-

"{33512378-9874-5641-1025-985420368733}"=-

"{13FD5987-65D2-C58D-D87E-987451F12531}"=-

"{6C8D1401-A58D-A81C-CD24-A5915C4517C6}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"JavaView"=-

"ThunderAdvise"=-

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org

stockfish · 31 Maj 2008 14:15

Dzięki wielki oto log :

http://www.wklej.org/id/8efcdd040f

huber2t · 31 Maj 2008 14:22

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\dhugtj.cfg

C:\WINDOWS\AppPatch\Jview.dll

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.org

stockfish · 31 Maj 2008 14:33

Nowy log

http://www.wklej.org/id/f01bc4aba2

Dzięki

huber2t · 31 Maj 2008 14:35

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

Pobierz OTMoveIt i usuń z systemu pozostałości po narzędziach czyszczących.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

JNJN · 31 Maj 2008 15:07

Proszę zmienić temat postu na konkretny, opcja edytuj i popraw.JNJN

stockfish · 31 Maj 2008 18:52

Wielki dzięki

raport z kaspesky:

http://wklej.org/id/114b43082b

Leon1 · 31 Maj 2008 19:05

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

Files to delete: C:\Documents and Settings\Kuba\Local Settings\Temp\11.gif C:\Documents and Settings\Kuba\Local Settings\Temp\12.gif C:\Documents and Settings\Kuba\Local Settings\Temp\14.gif C:\Documents and Settings\Kuba\Local Settings\Temp\16.gif C:\Documents and Settings\Kuba\Local Settings\Temp\2.gif C:\Documents and Settings\Kuba\Local Settings\Temp\21.gif C:\Documents and Settings\Kuba\Local Settings\Temp\3.gif C:\Documents and Settings\Kuba\Local Settings\Temp\6.gif C:\Documents and Settings\Kuba\Local Settings\Temp\9.gif C:\Documents and Settings\Kuba\Local Settings\Temp\down.gif C:\Documents and Settings\Kuba\Local Settings\Temp\wmsetup.dll C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\8FY073WB\12[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\8FY073WB\16[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\8FY073WB\down[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\8FY073WB\update[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\91KDUB5C\21[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\91KDUB5C\2[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\BS7WQF0K\3[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\BS7WQF0K\6[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\PKU1O2F3\11[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\PKU1O2F3\14[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\PKU1O2F3\9[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\PKU1O2F3\root[1].gif C:\Documents and Settings\NetworkService.NT AUTHORITY\Local Settings\Temporary Internet Files\Content.IE5\OIK6F3LY\root[1].gif C:\WINDOWS\Temp\wmsetup.dll

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

stockfish · 31 Maj 2008 19:15

Tradycyjne dzięki

http://wklej.org/id/ae533f56c9

Leon1 · 31 Maj 2008 19:24

tego nie usunęło

C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\8FY073WB\12[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\8FY073WB\16[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\8FY073WB\down[1].gi C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\91KDUB5C\21[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\91KDUB5C\2[1].gi C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\BS7WQF0K\3[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\BS7WQF0K\6[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\PKU1O2F3\11[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\PKU1O2F3\14[1].gif C:\Documents and Settings\Kuba\Local Settings\Temporary Internet Files\Content.IE5\PKU1O2F3\9[1].gif

spróbuj to usunąć ręcznie odkryj ukryte i systemowe

stockfish · 31 Maj 2008 19:28

Nie ma tam tych plików, ale wywaliłem całą zawartość ‘…\Temporary Internet Files’

Chyba już koniec tej bitwy ? :))

Jeszcze raz wielkie dzięki dla wszystkich i pozdrawiam

Kuba

huber2t · 1 Czerwiec 2008 02:11

Jeśli to usunołeś to powinno byc ok