Mam jchyba trojan.downloader!

filip170 · 12 Grudzień 2004 14:09

Mam jakiegoś wirusa. Nie wiem co robić. Już wszystkie skanery on-line wyprobowalem i nic. Na moim pulpicie caly czas jest tablica : Warning! Windows has detected… i cos tam dalej. jak klikne obojetne gdzie na pulpicei (oprocz ikon) wyskakuje strona http://www.topantispyware.com/overview.php?30

Pomocy!

Kamcia_18 · 12 Grudzień 2004 14:25

uzyj tych skanerow AV

–F-Secure–

http://support.f-secure.com/enu/home/ols.shtml

–GeCAD (RAV)–

http://www.ravantivirus.com/scan/

sciagnij McAfee AVERT Stinger

http://download.nai.com/products/mcafee … tinger.exe

/skan dysku/

jesli masz antywira AVG to mozesz sobie go od razu wywalic i daj na PW to cos wybierzemy pozadnego

co do antyszpiega sciagnij sobie PestPatrol

http://download.zonelabs.com/bin/free/p … olHome.exe

INFO:

skanujesz partycje systemowa

Ustawiasz na stale ochrone rzeczywista

Options/AutomaticScans

dajesz Launch

w PPMem, PPControl, CookiePatrol.

(Instrukcja, opis)

http://www.searchengines.pl/phpbb203/in … entry72774

oraz

ETD Security Scanner 3.0

http://www.download.com/ETD-Security-Sc … 29424.html

co do Loga wywalasz w /tryb awaryjny/

R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Program Files\SurfSideKick 2\SskBho.dll

[szpieg SurfSideKick]

O3 - Toolbar: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)

O4 - HKLM…\Run: [surfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe

[szpieg SurfSideKick]

O4 - HKCU…\Run: [Zclppk] C:\WINDOWS\System32??plorer.exe

[znasz zostawiasz /NIE/ kasacja]

co do szpiega SurfSideKick

wywal

folder: %program_files%\surfsidekick 2

oraz pliki ssk.exe

w rejestrze wpisy

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SurfSideKick 2

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076}

po tych czynnosciach dajesz nowego Loga

filip170 · 12 Grudzień 2004 15:15

dobra na narzie dzieki jak to zrobie to wkleje loga

O4 - HKCU…\Run: [Zclppk] C:\WINDOWS\System32??plorer.exe

ale jak to mam znalesc???

Kamcia_18 · 12 Grudzień 2004 15:36

Zclppk to folder/nazwa programu ,a

??plorer.exe plik/proces

zreszta narazie to zostaw potem zobaczymy czy to sie pojawi

moze to blad odczytu Hijack (brak nowych wersji)

podalam to bo brak

INFO:

o tym procesie w necie

uzywaj opcji zmien bo moderat. zaraz cie poucza

co do pisania postow

filip170 · 12 Grudzień 2004 17:52

Oto log po zrobieniu tych czynnosci :

Logfile of HijackThis v1.98.2

Scan saved at 18:49:27, on 2004-12-12

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\rundll32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Winamp\winampa.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\WINDOWS\System32??plorer.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Program Files\SurfSideKick 2\SskBho.dll (file missing)

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM…\Run: [AVK Mail Checker] “C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE”

O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM…\Run: [surfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM…\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM…\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM…\RunOnce: [srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - HKCU…\Run: [sp] C:\sp.exe

O4 - HKCU…\Run: [Zclppk] C:\WINDOWS\System32??plorer.exe

O4 - HKCU…\Run: [surfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe

O4 - HKCU…\Run: [ETD Security Scanner] “C:\Program Files\ETD Security Scanner\ETD Security Scanner.exe” /s

O4 - HKCU…\RunOnce: [srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O8 - Extra context menu item: &Szukaj w NetSprint.pl - res://C:\Program Files\NetSprint Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Program Files\RegFreeze\rfsearchhandler.dll (file missing)

O9 - Extra ‘Tools’ menuitem: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Program Files\RegFreeze\rfsearchhandler.dll (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GINBILLARDT Class) - http://gryonline.wp.pl/files/billardt_2_0_0_6.cab

O17 - HKLM\System\CCS\Services\Tcpip…{59E21319-D6EC-4E40-987C-12BC378619E7}: NameServer = 192.168.1.1,194.204.159.1

Kamcia_18 · 12 Grudzień 2004 18:16

cos mi sie zdaje ze niezresetowales kompa

albo nieusunoles tego szpiega tak jak opisuje

foldery, pliki, rejestr

bo widze wpisy ,no chyba ze sa to tylko pozostalosci puste

R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Program Files\SurfSideKick 2\SskBho.dll (file missing)

O4 - HKCU…\Run: [surfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe

powtorz proces co do szpiega SurfSideKick

wywal jeszcze z loga

O4 - HKLM…\RunOnce: [srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

O4 - HKCU…\Run: [sp] C:\sp.exe

O4 - HKCU…\Run: [Zclppk] C:\WINDOWS\System32??plorer.exe

mozesz uzyc do tego jv16 PowerTools 1.4

http://www.macecraft.com/downloads/jv16pt_setup.exe

i na tym koniec

(usuwaj w trybie awaryjnym)

filip170 · 13 Grudzień 2004 19:09

Tego ??plorer.exe i sp.exe nie umiem wogóle zlokalizować

Co do SurfSideKick to zrobilem wszystkie czynności i sprawdzilem wszystko po raz 2 i i tak jest w hijacku.

Oto log:

Logfile of HijackThis v1.98.2

Scan saved at 20:05:30, on 2004-12-13

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\WINDOWS\System32??plorer.exe

C:\WINDOWS\System32\nvsvc32.exe

E:\Football manager 2005\fm2005.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\SYSTEM32\rundll32.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - C:\Program Files\SurfSideKick 2\SskBho.dll (file missing)

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)

O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM…\Run: [AVK Mail Checker] “C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE”

O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM…\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM…\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKCU…\Run: [sp] C:\sp.exe

O4 - HKCU…\Run: [Zclppk] C:\WINDOWS\System32??plorer.exe

O4 - HKCU…\Run: [surfSideKick 2] C:\Program Files\SurfSideKick 2\Ssk.exe

O4 - HKCU…\Run: [ETD Security Scanner] “C:\Program Files\ETD Security Scanner\ETD Security Scanner.exe” /s

O8 - Extra context menu item: Szukaj w NetSprint.pl - res://C:\Program Files\NetSprint Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Program Files\RegFreeze\rfsearchhandler.dll (file missing)

O9 - Extra ‘Tools’ menuitem: Search and Remove Spyware - {CDB280E8-BE43-4128-8A5A-3FCD094E2D88} - C:\Program Files\RegFreeze\rfsearchhandler.dll (file missing)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra ‘Tools’ menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GINBILLARDT Class) - http://gryonline.wp.pl/files/billardt_2_0_0_6.cab

O17 - HKLM\System\CCS\Services\Tcpip…{59E21319-D6EC-4E40-987C-12BC378619E7}: NameServer = 192.168.1.1,194.204.159.1