Problem z trojanem ErrorSafe


(Kulus1989) #1

Mam problem byłem na jakiejś stronie i avast! pokazał że trojan mi się włamał potem pokazywała się informacja żebym zainstalował ErrorSafe, niestety to zrobilem no i avast zaczal szalec oraz wycztalem ze to jest trojan ten ErrorSafe. Zadziałałem Ad-Avare SE Professional no iusunal 34 bledy krytyczne lecz zauwazyłem, że w folderze "Mój Komputer" jest folder "ErrorSafe Free" co prawda zostal tam tylko jeden plik: "WASmon" lecz nadal pokazuje sie co 5 minut informacja zeby jeszcze raz zainstalowac ErrorSafe, nie wiem co robic licze na pomoc.

Tutaj jest log z HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 20:26:00, on 2007-06-17

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\WIDCOMM\Oprogramowanie interfejsu Bluetooth\bin\btwdins.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\D-Tools\daemon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\excel1205.exe

C:\WINDOWS\iemon.exe

C:\Program Files\ErrorSafe Free\WASmon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\WIDCOMM\Oprogramowanie interfejsu Bluetooth\BTTray.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\PROGRA~1\WIDCOMM\OPROGR~1\BTSTAC~1.EXE

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\ErrorSafe Free\WASmon.exe

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\Program Files\Neostrada TP\Watch.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\Daniel\Pulpit\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\yxsncuhv.dll",realset

O4 - HKLM\..\Run: [RegistryMonitor] C:\WINDOWS\excel1205.exe

O4 - HKLM\..\Run: [chkdrv] C:\WINDOWS\iemon.exe

O4 - HKLM\..\Run: [was_check] C:\Program Files\ErrorSafe Free\WASmon.exe

O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-T8FI0.exe" /REG

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [ErrorSafeFree] C:\Program Files\ErrorSafe Free\uers.exe /scan

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Wyślij do interfejsu &Bluetooth - C:\Program Files\WIDCOMM\Oprogramowanie interfejsu Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Oprogramowanie interfejsu Bluetooth\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Oprogramowanie interfejsu Bluetooth\btsendto_ie.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP provider 'rsvp322.dll' missing

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_29.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{E7A06D98-11A7-4CF4-9926-447C98BA9E63}: NameServer = 194.204.152.34 217.98.63.164

O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Oprogramowanie interfejsu Bluetooth\bin\btwdins.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Usługa numeru seryjnego multimediów przenośnych WmdmPmSNose (WmdmPmSNose) - Unknown owner - *&€|ű.exe (file missing)

pills11.com :wink:)


(qrczak13) #2

Pobierz Windows Worms Doors Cleaner, ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Pobierz LSP - FIX zaznacz " I know what I’m doing",

następnie w okienku Keep zaznacz bibliotekę rsvp322.dll i za pomocą strzałki (>>) przenieś ją do okienka Remover i kliknij Finish i restart.

W trybie awaryjnym użyj VundoFix, FixVundo, VirtmundoBeGone

Po wykonaniu w/w daj log z ComboFix.


(JNJN) #3

(Kulus1989) #4
W trybie awaryjnym użyj VundoFix, FixVundo, VirtmundoBeGone

Przepraszam ale jestem dosyć zielony, więc powiedz jak wejść w tryb awaryjny i użyć tych 3 rzeczy, byłbym wdzięczny

pills11.com ;))

Złączono Posta : 18.06.2007 (Pon) 19:18

Mam użyć wszystkie czy tylko jeden?

pills11.com ;))


(Gutek) #5

zastosuj się do prośby. Wszystkich masz użyć softów.


(Kulus1989) #6

Jak mam zmienić temat?

pills11.com ;))


(Gutek) #7

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Daj log z Combofix


(Kulus1989) #8

tlyko dwa na dole sa na zielono a dwa na górze są na czerwono no i netbios jest na żółto i nie daje rady tego zmienić

pills11.com ;))

Złączono Posta : 19.06.2007 (Wto) 14:32

Drugi od góry jest albo żółty albo czerwony

pills11.com ;))

Złączono Posta : 19.06.2007 (Wto) 16:01

no i co o tym myślicie:

ComboFix 07-06-18.2 - C:\Documents and Settings\Daniel\Pulpit\ComboFix.exe

(qrczak13) #9

Ściągnij The Avenger,

wypakuj > uruchom > Input script manually > klikasz w lupkę > w nowo otwartym oknie wklejasz:

Po wklejeniu > Done > klik na zielone światło > ok i będzie restart. Po restarcie wchodzisz gdzie masz The Avenger i wklejasz raport C:\avenger.txt

Przeskanuj na http://www.virustotal.com/vt/ i wklej raport po skanowaniu.

I nowy log combofix.


(Kulus1989) #10

a to co mam wkleić to mogę skopiować z tego forum od Ciebie co zacytowałeś?

Złączono Posta : 20.06.2007 (Sro) 11:50

tu masz z avengera ten raport:

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.

Error code: 0

Line: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | "ErrorSafeFree



//////////////////////////////////////////

Złączono Posta : 20.06.2007 (Sro) 12:01

a tu z ComboFixa:

ComboFix 07-06-18.2 - C:\Documents and Settings\Daniel\Pulpit\ComboFix.exe

(adam9870) #11

Użyj narzędzia SmitFraudFix z opcji numer 2 w trybie awaryjnym.

Sprawdź czy masz na dysku folder C:\Program Files\ErrorSafe Free a jeśli tak to go usuń ręcznie w trybie awaryjnym.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Give4Free Plugin jest programem wątpliwej reputacji dlatego proponuję rozważyć jego usunięcie jednak ostateczna decyzja o jego usunięciu należy do Ciebie.

Po wykonaniu wklej nowy log z ComboFix oraz raport z SmitFraudFix -> zawartość pliku c:\rapport.txt


(Kulus1989) #12
SmitFraudFix v2.195


Scan done at 19:27:36,21, 2007-06-20

Run from C:\Documents and Settings\Daniel\Pulpit\SmitfraudFix

OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode


»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!Attention, following keys are not inevitably infected![/code]

[code]ComboFix 07-06-18.2 - C:\Documents and Settings\Daniel\Pulpit\ComboFix.exe


(Gutek) #13

Już jest Ok


(Kulus1989) #14

Na pewno wszystko jest ok??

ComboFix 07-06-21.3 - C:\Documents and Settings\Daniel\Pulpit\ComboFix.exe

(qrczak13) #15

Usuń folder w trybie awaryjnym.

Poza tym ok.

Czyszczenie rejestru - jv16 PowerTools 2006 1.5.2.350

Poczytaj o zbędnikach w autostarcie.

Optymalizacja i odchudzanie Windows XP