hades
(Jakijahades)
#1
Ostatnio w tajemniczych okolicznosciach zlapalem pare ladnych trojanow
mam tu loga z hijack i prosze o sprawdzenie
Jest jeszcze jedna sprawa program avast znalazł mi trojana w pliku Znajduje się on w C:\WINDOWS\system\Loader.dll i nie moze go wywalić
Na jakims forum znalazłem ze trzeba zamknac proces i dopiero wywalic plik.
Moje pytanie:
Jaki proces? Który proces?
A to jest log:
Logfile of HijackThis v1.99.1
Scan saved at 19:28:02, on 05-05-29
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\PROGRAMY\PUTTY\PUTTY.EXE
C:\PROGRAM FILES\THE BAT!\THEBAT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\TOTALCMD\TOTALCMD.EXE
C:\PROGRAM FILES\WINAMP\WINAMP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\MOJE DOKUMENTY\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url=http://searchcentral.cc/search.php?v=4&aff=3435]http://searchcentral.cc/search.php?v=4&aff=3435[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url=http://searchcentral.cc/index.php?v=4&aff=3435]http://searchcentral.cc/index.php?v=4&aff=3435[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://searchcentral.cc/index.php?v=4&aff=3435]http://searchcentral.cc/index.php?v=4&aff=3435[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url=http://www.eu.microsoft.com/poland/]http://www.eu.microsoft.com/poland/[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: IE SP2 AddOn - {5CB21380-CE9A-11D9-9765-0002446FF191} - C:\WINDOWS\SYSTEM\SPMIS.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\SYSTEM\kernels32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\SYSTEM\kernels32.exe
O4 - HKLM\..\RunServices: [Shell] Explorer.exe C:\WINDOWS\SYSTEM\kernels32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = e-wroc
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.198,195.225.176.153
O21 - SSODL: OLE Module - {203B1C4D9-BC71-8916-38AD-9DEA5D213614} - C:\WINDOWS\SYSTEM\bre.dll
Wielkie dzieki za pomoc
p.s. czy na forum lepiej pisac z polskimi znakami czy bez ?
Damian
(Damian)
#2
Wszystko fixujesz ręcznie w Hijacku, wyróżnione pozycje kasujesz ręcznie z dysku:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=3435
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=3435
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchcentral.cc/index.php?v=4&aff=3435
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: IE SP2 AddOn - {5CB21380-CE9A-11D9-9765-0002446FF191} - C:\WINDOWS\SYSTEM\SPMIS.DLL
O4 - HKLM…\Run: [system] C:\WINDOWS\SYSTEM\kernels32.exe
O4 - HKLM…\RunServices: [systemTools] C:\WINDOWS\SYSTEM\kernels32.exe
O4 - HKLM…\RunServices: [shell] Explorer.exe C:\WINDOWS\SYSTEM\kernels32.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O21 - SSODL: OLE Module - {203B1C4D9-BC71-8916-38AD-9DEA5D213614} - C:\WINDOWS\SYSTEM\bre.dll
Pytanie :lol: Pewnie, że polskimi 
musg
(Musg)
#3
usuwasz hijackiem i pogrubione recznie z dysku
masz dziurawa i starą IE ,a najlepiej przestan uzywac tego smiecia i zmien na godną przegladarke
dajesz nowy log po czyszczeniu 
ps.
to zostawiasz
hades
(Jakijahades)
#4
Dziex
To log po fixie:
Logfile of HijackThis v1.99.1
Scan saved at 20:43:52, on 05-05-29
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\WINAMP\WINAMPA.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\PROGRAMY\PUTTY\PUTTY.EXE
C:\PROGRAM FILES\THE BAT!\THEBAT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\WINAMP\WINAMP.EXE
C:\PROGRAM FILES\DC++\DCPLUSPLUS.EXE
C:\TOTALCMD\TOTALCMD.EXE
C:\MOJE DOKUMENTY\HIJACKTHIS.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAM FILES\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = e-wroc
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.198,195.225.176.153
Dziex za odpowiedź
p.s. Jaką przeglądarke proponujecie?
p.s.2 A co z tym C:\WINDOWS\system\Loader.dll ?
musg
(Musg)
#5
poczytaj:
http://www.dobreprogramy.pl/index.php?dz=1&t=17
mozesz dac srena z avasta i dokladną lokalizacje
a w logu juz nic nie usuwaj bo i tak za duzo juz poleciało
w logu niestety go nie widac
Gutek
(Gutek)
#6
brakuje takiego wpisu:
skasuj ręcznie plik w trybie awaryjnym 
musg
(Musg)
#7
faktycznie o taki plik sie rozchodzi(wiem skad go sciagnales) ,jednak on u siebie tego nie ma
hijack u niego nie pokazuje i zastanawiam sie cicho czy avast czegos nie kombinuje
Gutek
(Gutek)
#8
Jak jego tam nie ma - lokalizacja C:\WINDOWS\SYSTEM\Loader.dll , to pomyłka avasta
hades
(Jakijahades)
#9
Widocznie
Sprawdziłem i nie ma tego pliku.
Wielkie Dziex za pomoc
Pozdrawiam