PASKUDNY TROJAN!prosze o pomoc!

moni74 · 3 Maj 2005 20:38

jak w temacie.buuu.bardzo prosze o pomoc.

prawdopodobnie mam jakies paskudztwo, ktorego nie moge sie pozbyc.

skanera on line nie moge zrobic, gdyz przy pobieraniu skladnikow rozlacza polaczenie z internetem.raz jedyny wyswietlila sie informacja, ze zablokowany jest dostep do pliku c:/program files/skaner on line/sofiles-cod.dat

mam zaistalowanego fire walla zone alarm.

co jakis czas jakies dziwne programy prosza o access np

w?nword

emse

salm.

nie mam pojecia co to jest, przypuszczam, ze jakies paskudztwo.

probowalam znalesc w sieci, co to jest to w?nword,na niemieckojezycznej stronie znalazlam, ze to trojan.

za ich rada pobralam tez program hijack this,cos przeskanowalam.ale nie potrafie wkleic wyniku, bo nie mozna tego skopiowac, a widze ze ludzie prosza o sprawdzenie tej listy.

mam windowsa xp.

czy ktos mogly mi pomoc i oswiecic laika?bede bardzo wdzieczna.

McDracullo · 3 Maj 2005 20:45

Hijack this --> “do a system scan and save a logfile” i po przesnakowaniu w folderze Hicjak this’a pojawia Ci sie nowy plik .txt odpalasz go kopiujesz i i juz

Wklej loga i niech go ktoś sprawdzi.

a dopkoi nikt go nie przejrzy to przeskanuj system ad-awerem moze cos wykryje

moni74 · 3 Maj 2005 20:51

zrobilam :lol:

Logfile of HijackThis v1.99.1

Scan saved at 22:51:16, on 2005-05-03

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\sm56hlpr.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe

C:\WINDOWS\System32\CTHELPER.EXE

C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE

C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe

C:\WINDOWS\System32\rundll32.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\temp\salm.exe

C:\DOCUME~1\MiD\USTAWI~1\Temp\SAHAGE~1.EXE

C:\Program Files\Media Access\MediaAccK.exe

C:\Program Files\Media Pass\MediaPassK.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Media Pass\MediaPass.exe

C:\Program Files\Media Access\MediaAccess.exe

C:\Documents and Settings\MiD\Dane aplikacji\emse.exe

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\w?nword.exe

C:\Program Files\Teledat\IWatch.exe

C:\WINDOWS\system32\Ctsvccda.exe

C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

C:\Program Files\Network Associates\VirusScan\Mcshield.exe

C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\wanmpsvc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\fxssvc.exe

C:\program files\internet explorer\iexplore.exe

C:\Programme\boersenreport_boersenreport.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\WinAce\WinAce.exe

C:\Program Files\Network Associates\VirusScan\MCCONSOL.EXE

C:\Documents and Settings\MiD\Ustawienia lokalne\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://G609.tjaw.com/searchbar.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://G609.tjaw.com/searchbar.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://G609.tjaw.com/searchbar.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://G609.tjaw.com/searchbar.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://G609.tjaw.com/searchbar.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll

O2 - BHO: C:\WINDOWS\lbbho.dll - {9A3F863B-2AE3-4868-8B4E-4CF270598B8C} - C:\WINDOWS\lbbho.dll (file missing)

O2 - BHO: rlpqoibecitmmjzendhj - {a2620189-e9c5-4b74-9552-0afa38e6b480} - C:\DOCUME~1\MiD\DANEAP~1\ostbltlssh.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {D8A8ADC4-6D74-64D8-5F88-6F53070241C2

m89 · 3 Maj 2005 20:59

może jeszcze jakimś skanerem on-line przeskanuj a po skanie usuń kontrolki po tym skanerze w hijack-u tu masz jeden taki skaner pandy

moni74 · 3 Maj 2005 21:02

probowalam juz kilkoma skanerami on line.zaczyna pobierac jakies skladniki skanera, po czym rozlacza mnie z internetem, wiec przeskanowanie jest niemozliwe.probowalam, nic z tego nie wyszlo

moni74 · 3 Maj 2005 21:05

:shock: w ogole, to napisalam w dziale problemy, ale chyba jakas niewidzialna reka przeniosla moje wypociny

dziekuje wszystkim za chec pomocy i cierpliwosc do baby przed komputerem

Kojot · 3 Maj 2005 21:06

Hej a np. C:\WINDOWS\System32\w?nword.exe

Przecież Microsoft Office Word nazywa się winword.exe i NIE jest odpalany z C:\WINDOWS\System32. :?

m89 · 3 Maj 2005 21:07

no i to możesz raczej spokojnie fixować tylko ten jeden to nie wiem

moni74 · 3 Maj 2005 21:08

jak wpisalam takie haslo w google to wyskoczylo mi np na niemieckojezycznej stronie ze to trojan.w ogole niewiele jest info na jego temat :?

moni74 · 3 Maj 2005 21:11

a to jest programik do laczenia sie z internetem, potrzebny

usuwam poprzez hijacka czy w trybie awaryjnym??? :oops:

m89 · 3 Maj 2005 21:14

nie wiem czy wszysktie ale ten od netu to zostaw a jak usuwasz to z wyłączonym przywracaniem systemu a jak w trybie awaryjnym to na pewno nie zaszkjodzi

m89 · 3 Maj 2005 21:15

tych nie musisz usuwać jak chcesz ale można ( ja takie kasuje)

moni74 · 3 Maj 2005 21:16

a co z tym delikwentem??? :evil:

wieszak · 3 Maj 2005 21:17

E cosik mi się wydaje że ten log jest nie pełny :?

I używaj opcji zmień

moni74 · 3 Maj 2005 21:17

:oops: :oops: a jak sie wylacza przywracanie systemu??? :oops: :oops: :oops: ja goopia jestem w obsludze tej maszyny :oops: :oops:

m89 · 3 Maj 2005 21:23

prawym myszy klikasz na mój komputer i właściowści bierzesz potem powinna być zakładka przywracanie systemu i to tam się robi

wieszak · 3 Maj 2005 21:23

No teraz już lepiej 8)

moni74 · 3 Maj 2005 21:24

ten drugi jest chyba caly…moze za 1 razem zle skopiowalam, ale drugi powinien byc prawidlowy.

moni74 · 3 Maj 2005 21:25

dziekuje

ale mi wstyd za te niewiedze :oops:

wieszak · 3 Maj 2005 21:32

Po 1 Używaj opcji zmień po to ona jest

Po2 Poczytaj ten dział od początku tam są porady i skanery on- line to na początek

Przeskanuj nimi wszystkimi i później wklej log raz jeszcze.