Zaku
(Żaku)
21 Październik 2006 21:03
#1
Witam
Mam następójący problem, a raczej mój kolega. Dostał dzisiaj trojana a raczej go odkrył, dowidziałem się o tym ja bo zadzwonił szef naszej osiedlówi że użytkownik **** ma trojana i ,psóje" sieć. Akurat szef był w górach więc nie mógł sie zając tym osobiście, poszedłęm do niego z antywiramy takimy jak Kaspersky Ad-aware i regvac, jakieś dobre 2 godziny walczyliśmy z tymi wirusamy, co dziwnie zanim to usuneliśmi były 3 rzeczy niepokojące 1.:
w menadżerze urządzeń procesów było 53 z czego 20 to był plik o tej samej nazwie(niestety nie mam screena bo sie niedało) jego nazwa była zwązana z słowem windows i jakiś numer początek to 346…jakoś tak tych procesów było 20 o tej samej nazwie
2:
przez jakiś czas żaden z antywirów nie potrafił usunąć wirusów dopiero za 3 skanem uprał się z niemi, po po końcowym skanie te procesy(ad1) znikneły
3:
przec cały czas zamiast tapety, było coś takiego: całe tło było niebieskie a na środku na czryn tle był taki napis
ta tapeta nie znikneła poderzewamy, że po wirusie zostały jakieś pierwaistki czy wie ktoś co to może być jak temu zaradzić, aha i jeszcze jedno podpieliśmy potem neta i gg działa, podczas pobierania auktualizacji pobiera, z expolrem sie nie łączy(bardzo prosiłbym o szybką odopowiedź)
p.s. przepraszam za to, że niema screenów, które bardzo by sie przydały ale to było niewykonalne przy takim stanie kompótera
boczi
(boczi)
21 Październik 2006 21:07
#2
Wklej logi z HijackThis i Silentrunners.
duce
(Miniuka)
21 Październik 2006 21:08
#3
W przypadku
pomoże wwdc dostępny na vortalu
Bieniol
(Bbieniol)
21 Październik 2006 21:09
#4
Przed tym użyj narzędzia -> SmitFraudFix (w trybie awaryjnym z opcji 2 )
Dopiero później wklej logi. Opis tutaj -> http://forum.dobreprogramy.pl/viewtopic.php?t=36654
duce
(Miniuka)
21 Październik 2006 21:11
#5
moze miec problem z wklejeniem loga
Zaku
(Żaku)
21 Październik 2006 21:24
#6
Z logami niema problemu to już robiłem:)
Złączono Posta : 21.10.2006 (Sob) 23:26
Słuhajcie panowie wielkie dzienki tą czyność co podał Beniol wykonam jutro i jutro dam odpowidz czy sie udało
mikrej
(piotrskonieczny)
21 Październik 2006 22:15
#7
A tak poza tematem to weź Żaku , skoro tak kochasz Firefox’a, zainstaluj sobie najnowszą wersję tej przeglądarki.
Tam jest taka fajna opcja jak sprawdzanie pisowni przydałaby Ci się
Pozdrawiam
Zaku
(Żaku)
22 Październik 2006 10:39
#8
Logfile of HijackThis v1.99.1 Scan saved at 12:38:48, on 2006-10-22 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMTray.exe C:\WINDOWS\System32\winalert.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Agata\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell= O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM…\Run: [Windows Update Alert] “C:\WINDOWS\System32\winalert.exe” O4 - HKLM…\Run: [KAVPersonal50] “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe” /minimize O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU…\Run: [Winsvr] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstk] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstg] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstw] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstp] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstu] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstc] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsts] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsth] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstx] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstb] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstq] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsti] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsty] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsto] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstd] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstt] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstj] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstz] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winste] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstm] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstr] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstn] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winsta] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstv] C:\WINDOWS\temp\wincss3216384.exe O4 - HKCU…\Run: [Winstf] C:\WINDOWS\temp\wincss3216384.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O20 - Winlogon Notify: chk - chke.dll (file missing) O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file) O23 - Service: Usługa Kaspersky Anti-Virus (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
o to logi Hijack
przeskanowałem kompa SmitFraundFix i ta dziwna tapeta znkneła Dziękuję
adam9870
(adam9870)
22 Październik 2006 10:50
#9
Proszę otworzyć Notatnik i wkleić w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT i uruchom go w trybie awaryjnym.
Dzięki temu usuniesz z dysku wszystkie możliwe śmieci, które pokazał HijackThis.
A poniższe wpisy skasuj w hijacku (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
Po wykonaniu w/w dajesz nowy log z HijackThis plus z SilentRunners .
Zaku
(Żaku)
22 Październik 2006 12:25
#12
Bardzo dziękuję wszytkim użytkownikom co dali mi rady :mrgreen: :mrgreen:
Myszak
(Myszonus)
22 Październik 2006 13:11
#14
fugas761 postaw własny temat i opisz problem. I wklej tego loga. Wtedy ktoś napewno Ci sprawdzi.