Need help!


(Gutar) #1

Witam. A więc tak. Siostra pracowała na kompie chyba z miesiąc bez zadnego zabezpieczenia. Wkoncu komp jej tak chodzil, ze trzeba bylo cos z tym zrobic :stuck_out_tongue: zainstalowalem jej firewalla i avasta. No i avast zaczął cały czas wywalać info o wirusach, razem do tej pory tego było 65 (a co chwile wyskakuja nowe), ale niestety kilka sie nie udalo usunac. Wiekszosc to reklamiarze itp. ale był tez ZAFI-D (imiennik kolegi z naszego forum :D:D). MKS skaner on-line usunal 60 trojanow i innych, ale takze z kilkoma sobie nie poradził. Spy bot nic nie znalazł, ad-aware ponad 300 ( !!

Logfile of HijackThis v1.99.1

Scan saved at 18:38:56, on 2005-07-07

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\temp\salm.exe

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Winamp3\winampa.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

c:\windows\system32\bxqccn.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\cc\Pulpit\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

O2 - BHO: C:\WINDOWS\lbbho.dll - {15297164-4CB1-47BE-A182-88AB90DE235B} - C:\WINDOWS\lbbho.dll

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [dfotvzn] c:\windows\system32\bxqccn.exe r

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Image Transfer.lnk = ?

O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

(boczi) #2

Wszystkie czynności wykonujesz w trybie awaryjnym [F8] w czasie bootowania komputera z wyłączonym przywracaniem systemu. Gdybyś nie wiedział, jak to zrobić, zobacz TU.

I tak, usuń cały folder:

C:\ *temp*

Kasacja pogrubionych:

c:\windows\system32\ bxqccn.exe

C:\WINDOWS\ lbbho.dll

Kasacja wpisu, jeśli już nie używasz oprogramowania Neo:

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

W Dodaj/Usuń programy znajdź New.Net lub NewDotNet i odinstaluj.

Ściągnij LSP-FIX i powiedz, jakie pliki pokazał.

http://www.cexx.org/lspfix.htm


(Bunio) #3

tzn. usuń jego zawartość tylko :smiley:


(boczi) #4

Nie. Cały.

oryginalny folder TEMP - systemowy znajduje się w katalogu WINDOWS. :?

Po czynnościach oczywiście nowy log.


(Gutar) #5

c:\windows\system32\bxqccn.exe

C:\WINDOWS\lbbho.dll

NIe było tych plików. Moze dlatego, ze przed tym wszystkim zrobilem jeszcze raz scan spybotem i znalazl 10 zagrozeen, usunolem je.


LSP-FIX w KEEP wyswietlił

mswsock.dll , winrnr.dll , rsvpsp.dll (tego nie robilem w awaryjnym bo zapomnialem :D:D)

Log po wykonaniu czynnosci:

Logfile of HijackThis v1.99.1

Scan saved at 19:29:15, on 2005-07-07

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\Program Files\VIAudioi\SBADeck\ADeck.exe

C:\Program Files\Winamp3\winampa.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe

c:\windows\system32\yfbudc.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\cc\Pulpit\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: C:\WINDOWS\lbbho.dll - {15297164-4CB1-47BE-A182-88AB90DE235B} - C:\WINDOWS\lbbho.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [nditafe] c:\windows\system32\yfbudc.exe r

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Image Transfer.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

(boczi) #6

Spróbuj jeszcze wywalić te pliki przez KillBox w trybie awaryjnym.

http://www.downloads.subratam.org/KillBox.zip

Info:

Odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę (przykład):

C:\WINDOWS\System32\xxx.exe

następnie program będzie pytał o restart (oczywiście zgadzasz się).

Więc kasujesz:

c:\windows\system32\ yfbudc.exe

C:\WINDOWS\ lbbho.dll

Po usunięciu kasujesz wpisy pochodne:

O2 - BHO: C:\WINDOWS\lbbho.dll - {15297164-4CB1-47BE-A182-88AB90DE235B} - C:\WINDOWS\lbbho.dll

   	O4 - HKLM\..\Run: [nditafe] c:\windows\system32\yfbudc.exe r

Czyścisz katalogi TEMP i Prefetch znajdujące się w katalogu systemowym WINDOWS.

LSP-FIX zostaw, jest już OK.

Kosmetyka

MSN Messenger jeśli nie używasz, usuń tym:

http://www.amnezja.org/modules.php?name ... e&sid=4369

Zainstaluj firewalla!


(Johny) #7

Niech zmieni przegłądarkę z IE na Firefoxa,nie wchodzi na nieznane strony z programami freeware i nie ściąga nieznanych programów,ja tak wczoraj złapałem chyba trzy szpiegi, mimo zainstalowanego SP2,niektóre programy instalują ze sobą szpiega,a SP2 był zainstalowany przed ?,bo jak są trojany to może nawet się nie zainstalować


(Gutar) #8

A więc tak. Usunąłem te dwa pliki killboxem w trybie awaryjnym. Usunąłem tez wpis:

O2 - BHO: C:\WINDOWS\lbbho.dll - {15297164-4CB1-47BE-A182-88AB90DE235B} - C:\WINDOWS\lbbho.dll

Niestety tego drugiego nie bylo.

Prefeth wyczyszczony w Temp tez, zostalo tylko 3 co nie dalo sie usunac, odmowa dostepu.

Firewall zainstalowany jest cały czas.

Ja teraz spadam do domu, reszte poczytam z domu :stuck_out_tongue:

thx za pomoc


(boczi) #9

Czyli wszystko już powinno być OK.

:slight_smile:


(Gutar) #10

nie. zainstalowalem jej sp2 dwa dni temu. dzis dokonczylem i zainstalowalem antywirusa i inne programy. no i po reszte przyszedlem tutaj. Boczi pomogl wiec pochwała :stuck_out_tongue:

Złączono Posta : 07.07.2005 (Czw) 20:33

Można było też usunąc jakoś wpisując coś do uruchom. Jeżeli możesz to napisz jak.:slight_smile:


(Tomulus2) #11

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

:wink:


(Gutar) #12

dzieki :slight_smile: