Problem z koniami trojańskimi!


(Pawpie) #1

Ratunku!

Przez długi czas nie skanowałem systemu w celu wykrycia wirusów.

Zemściło się na mnie. Teraz przy każdym włączeniu komputera pojawia mi się komunikat avast, że wykryto konia trojańskiego. Ile bym ich nie skasował to pojawiają się znowu. Korzystam z darmowej wersji avasta i avg anty-spyware. Przy każdym skanowaniu wykrywają nowe wirusy. Do ściągania plików używam bearshare... ale czy to jest przyczyna? Co zrobić żeby pozbyć się całkowicie wirusów? Chcę mieć znowu zdrowy komputer :frowning: .


(jessica) #2

Daj tu logi z HijackThis oraz z z ComboFix (na dole tej strony z linku) -

Log z ComboFixa wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi


(Pawpie) #3

Oto log z combofix:

http://up.wklej.org/download.php?id=6e7 ... ac73a332d2

I hijack:


(jessica) #4

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\augtpd.exe

C:\WINDOWS\system32\bzqd.bat

C:\WINDOWS\system32\blwncr.exe

C:\WINDOWS\system32\ipxjmwo.exe

C:\WINDOWS\system32\mxkauu.exe

C:\WINDOWS\system32\dgtmoqu.exe

C:\WINDOWS\system32\zjrq.exe

C:\WINDOWS\system32\dharyakr.exe

C:\WINDOWS\system32\zorujnib.bat

C:\WINDOWS\system32\gbsprrhr.exe

C:\WINDOWS\system32\qsnk.exe

C:\WINDOWS\system32\rtwd.exe

C:\WINDOWS\system32\xnrms.exe

C:\WINDOWS\system32\fprqeda.exe

C:\WINDOWS\system32\uhgtgg.exe

C:\WINDOWS\system32\asooot.exe

C:\WINDOWS\system32\dsjso.exe

C:\WINDOWS\system32\navrp.exe

C:\WINDOWS\system32\jjotw.exe

C:\WINDOWS\system32\dqzo.exe

C:\WINDOWS\system32\dgobaf.exe

C:\WINDOWS\system32\fpfb.exe

C:\WINDOWS\system32\gfuyje.exe

C:\WINDOWS\system32\jqhxi.exe

C:\WINDOWS\system32\ipbxfy.exe

C:\WINDOWS\system32\dwpc.exe

C:\WINDOWS\system32\euzfzo.exe

C:\WINDOWS\system32\saddsi.exe

C:\WINDOWS\system32\rbkr.exe

C:\WINDOWS\system32\jxfl.exe

C:\WINDOWS\system32\pwkg.exe

C:\WINDOWS\system32\oepafpc.exe

C:\WINDOWS\system32\cecp.exe

C:\WINDOWS\system32\ksuyl.exe

C:\WINDOWS\system32\kmqq.exe

C:\WINDOWS\system32\husjftd.exe

C:\WINDOWS\system32\gome.exe

C:\WINDOWS\system32\mjuq.exe

C:\WINDOWS\system32\msjtdkt.exe

C:\WINDOWS\system32\tfvnuzuj.exe

C:\WINDOWS\system32\aubfm.exe

C:\WINDOWS\system32\jiyukpw.exe

C:\WINDOWS\system32\ghinid.exe

C:\WINDOWS\system32\rqrtzu.exe

C:\WINDOWS\system32\rapudfl.exe

C:\WINDOWS\system32\ibrnsjy.exe

C:\WINDOWS\system32\xgnbnn.exe

C:\WINDOWS\system32\lphgtmej.exe

C:\WINDOWS\system32\toyy.exe

C:\WINDOWS\system32\omoyyed.exe

C:\WINDOWS\system32\irqljs.exe

C:\WINDOWS\system32\rizakd.exe

C:\WINDOWS\system32\vbuceam.exe

C:\WINDOWS\system32\bhrdwljd.exe

C:\WINDOWS\system32\qggg.exe

C:\WINDOWS\system32\samq.exe

C:\WINDOWS\system32\imuha.exe

C:\WINDOWS\system32\wlyzv.exe

C:\WINDOWS\system32\nyaga.exe

C:\WINDOWS\system32\zwco.exe

C:\WINDOWS\system32\imjx.exe

C:\WINDOWS\system32\sxztqs.exe

C:\WINDOWS\system32\thoqcwx.exe

C:\WINDOWS\system32\noosrgv.exe

C:\WINDOWS\system32\kwkdgbks.exe

C:\WINDOWS\system32\wcfgpa.exe

C:\WINDOWS\system32\pdzviftp.exe

C:\WINDOWS\system32\wfxwdv.exe

C:\WINDOWS\system32\jyzlfeuw.exe

C:\WINDOWS\system32\wpdbooz.exe

C:\WINDOWS\system32\pxxmjn.exe

C:\WINDOWS\system32\gkez.exe

C:\WINDOWS\system32\vehzm.exe

C:\WINDOWS\system32\iowqxhc.exe

C:\WINDOWS\system32\byuy.exe

C:\WINDOWS\system32\mnaukrnw.exe

C:\WINDOWS\system32\ulrep.exe

C:\WINDOWS\system32\nvakqve.exe

C:\WINDOWS\system32\xmfeo.exe

C:\WINDOWS\System32\winamp.exe

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku --> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Potem:

Użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

Potem daj tu:

1) raport SDFix

2) log Hijacka

3) log z ComboFix wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi


(Pawpie) #5

Logfile of HijackThis v1.99.1

Scan saved at 16:01:08, on 2007-09-25

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Labtec Wireless Desktop\MagicKey.exe

C:\Program Files\Labtec Wireless Desktop\MulMouse.exe

C:\Program Files\Labtec Wireless Desktop\OSD.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

E:\Moje dokumenty\Moje programiki\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: XBTP01621 - {F6104497-54FD-4688-9162-5115CC8AB0FB} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll (file missing)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [PhiBtn] %SystemRoot%\System32\drivers\PhiBtn.exe

O4 - HKLM\..\Run: [Traymin900] %SystemRoot%\System32\drivers\Tray900.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: Enable Labtec Wireless Desktop.lnk = C:\Program Files\Labtec Wireless Desktop\MagicKey.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

http://up.wklej.org/download.php?id=f44 ... 8544a8da27


(Bbieniol) #6

Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot i All Files , w polu full path of file wklej ścieżkę:

C:\WINDOWS\system32\xsdjhkjj.exe

C:\WINDOWS\system32\zxvkvyc.exe

C:\WINDOWS\system32\vcgxiis.exe

Klikasz X po każdej ścieżce i po usunięciu ostatniej restart kompa :slight_smile:

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):

Po zabiegach raz jeszcze nowe logi :slight_smile:


(Pawpie) #7

SDFix: Version 1.107


Run by Administrator on 2007-09-25 at 18:17


Microsoft Windows XP [Wersja 5.1.2600]


Running From: C:\SDFix


Safe Mode:

Checking Services: 



Restoring Windows Registry Values

Restoring Windows Default Hosts File


Rebooting...



Normal Mode:

Checking Files: 


No Trojan Files Found





Removing Temp Files...


ADS Check:


C:\WINDOWS

No streams found. 


C:\WINDOWS\system32

No streams found. 


C:\WINDOWS\system32\svchost.exe

No streams found.


C:\WINDOWS\system32\ntoskrnl.exe

No streams found.




                                 Final Check:


Remaining Services:

------------------





Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]


Remaining Files:

---------------



Files with Hidden Attributes:


Sun 21 Jan 2007 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Wed 15 Nov 2006 19,456 ...H. --- "C:\Documents and Settings\Agnieszka\Dane aplikacji\Microsoft\Word\~WRL0003.tmp"

Mon 29 Jan 2007 33,280 ...H. --- "C:\Documents and Settings\Agnieszka\Dane aplikacji\Microsoft\Word\~WRL0004.tmp"

Wed 15 Nov 2006 23,040 ...H. --- "C:\Documents and Settings\Agnieszka\Dane aplikacji\Microsoft\Word\~WRL0982.tmp"

Mon 29 Jan 2007 34,816 ...H. --- "C:\Documents and Settings\Agnieszka\Dane aplikacji\Microsoft\Word\~WRL1133.tmp"

Wed 15 Nov 2006 20,992 ...H. --- "C:\Documents and Settings\Agnieszka\Dane aplikacji\Microsoft\Word\~WRL1793.tmp"

Wed 15 Nov 2006 19,968 ...H. --- "C:\Documents and Settings\Agnieszka\Dane aplikacji\Microsoft\Word\~WRL3258.tmp"

Wed 15 Nov 2006 22,528 ...H. --- "C:\Documents and Settings\Agnieszka\Dane aplikacji\Microsoft\Word\~WRL3511.tmp"

Mon 29 Jan 2007 35,840 ...H. --- "C:\Documents and Settings\Agnieszka\Dane aplikacji\Microsoft\Word\~WRL3833.tmp"


Finished!

http://up.wklej.org/download.php?id=d75 ... e2a3cb29f4


(Novi00) #8

Ja już tutaj nic nie widzę.

"No Trojan Files Found" czyli czysto i W HjiackThis'ie również czysto.

Pozdrawiam


(Pawpie) #9

Wielkie dzięki za pomoc. Jak zwykle się na Was nie zawiodłem :slight_smile:


(Gutek) #10

usuń wpis HJT

Czyszczenie rejestru:

RegCleaner - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=177

możesz rejestr przelecieć albo

jv16 PowerTools - http://www.dobreprogramy.pl/index.php?dz=2&t=29&id=509

Opis RegCleaner - http://www.agavk.p9.pl/strony/progra_regcleaner.php

Zobacz - Obsługa jv16 PowerTools