Problem z trojanem win32...:(


(Jackkk83) #1

witam... mam problem z którym nie mogę sobie poradzić prosze o pomoc...chodzi o te wirusy...nie wiem jak je usunąć #-o pozdrawiam

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 07:26:24, on 2008-02-24

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Azureus\Azureus.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM..\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe

O4 - HKLM..\Run: [ntuser] C:\WINDOWS\system32\drivers\ctfmon.exe

O4 - HKLM..\Run: [iSTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU..\Run: [ntuser] C:\WINDOWS\system32\drivers\ctfmon.exe

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - Winlogon Notify: tuvsspq - tuvsspq.dll (file missing)

O21 - SSODL: CDBurn - {C653CF12-545F-6FF1-51AC-F623D452C63D} - C:\WINDOWS\system32\DirectX.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Harmonogram zadań (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\ctfmon.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

--

End of file - 4907 bytes


(impassive) #2

Do wywalenia:

O4 - HKLM…\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe

O20 - Winlogon Notify: tuvsspq - tuvsspq.dll (file missing)


(Jackkk83) #3

mam to wywalic po przez hijack fix z trybu awaryjnego czy jak?? sory za problem ale nie zabardzo wiem co i jak z tym robic;/ pozdrawiam


(JNJN) #4

Przeczytaj tematy przyklejone w tym dziale i popraw posta, opcja edytuj.JNJN


(impassive) #5

Tak, FixIt.


(Jackkk83) #6

usunęlem tak jak kazałes ale wlaczam kompa a tam znowu ten Win32:Small-JMK [Trj] :expressionless: pokazuje mi w avast ze to ftpdll.dll taki plik jest zainfekowany wklejam kolejnego loga z hijacka …pzdr

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:11:11, on 2008-02-24

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\drivers\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM…\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM…\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [Google Desktop Search] “C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe” /startup

O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1033

O4 - HKLM…\Run: [ntuser] C:\WINDOWS\system32\drivers\ctfmon.exe

O4 - HKLM…\Run: [autoload] C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [ntuser] C:\WINDOWS\system32\drivers\ctfmon.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O21 - SSODL: CDBurn - {C653CF12-545F-6FF1-51AC-F623D452C63D} - C:\WINDOWS\system32\DirectX.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Harmonogram zadań (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\ctfmon.exe

End of file - 4429 bytes


(jessica) #7

Masz Trojana “Agent-GSG”.–> http://www.sophos.com/security/analyses/viruses-and-spyware/trojagentgsg.html

Ściągnij -->ComboFix. (starego ComboFixa usuń!).

Wklej do Notatnika :

File::

C:\WINDOWS\system32\drivers\ctfmon.exe

C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe


Driver::

Schedule


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ntuser"=-

"autoload"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"ntuser"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>CFScript3.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.

To chyba też trzeba będzie usunąć, o ile tego nie znasz.

Czy znasz?

EDIT:

Ale zrób tak, jak zalecił Moderator, bo w Śmietniku nie dostaniesz żadnej pomocy.

jessi


(Jackkk83) #8

hi jessi. sluchaj przenosze ten plik z notatnika na combofix ale wyskakuje mi blad. nie moge wogole odpalic tego combofix. pisze data erroe i check your setting… zalamka:( help…

p.s. co mam zrobic jak radzil moderator bo nie skumalem :x


(Dawidex11) #9

Po tym wszystkim możesz przelecieć komputer CCleaner’em :arrow: http://forum.dobreprogramy.pl/viewtopic.php?t=76580

Do tego Optymalizacja i odchudzanie Windowsa XP :arrow: http://forum.dobreprogramy.pl/viewtopic.php?t=76580

Sorry za wcześniejszego posta. (Musiałem na coś go przerobić :stuck_out_tongue: )


(jessica) #10

Moderator poradził Ci, żebyś wyedytował swój pierwszy post i zmienił tytuł wg:

>http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=66889

Logi nie daje się do postu lecz na wklej.org wg:

>http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=213350.

To oczywiście nie moja sprawa, ale szkoda, żeby temat wylądował w Smietniku.

Jeśli chodzi o ComboFixa, to napisałam w swoim poprzednim poście, że masz usunąć ComboFixa i ściągnąć od nowa, przy wyłączonym Antivirusie.

jessi


(Jackkk83) #11

jessi nie wiem co jest. wylączyłem avasta sciągnęłem od nowa combofix i dalej jak chce uruchomic wyskakuje mi data error i check your setting:(:(:frowning: help


(jessica) #12

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ntuser"=-

"autoload"=-


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"ntuser"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"CDBurn"=-

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru). Potem: Ściągnij -->Avenger. wklej do niego ten tekst:

Files to delete:


C:\WINDOWS\system32\drivers\ctfmon.exe

C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe

C:\WINDOWS\system32\DirectX.dll


Drivers to unload:


Schedule

Klikasz w Execute i zatwierdzasz reset kompa.

Zrestartuj komputer.Log z Avengera znajduje się w C:\avenger.txt.

Daj też nowy log z DSS (usuń DSS I ściągnij od nowa >>DSS. (niżej na stronie linku)

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

jessi


(Jackkk83) #13

zrobilem wszystko jak zalecone:)

tutaj log z avengera : http://wklej.org/id/2934f7e75a

tutaj z dss : http://wklej.org/id/c7e87545a1

ale avast dalej mi wykrywa tego trojana


(Dawidex11) #14

Otwórz Notatnik i wklej:

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: “Wszystkie pliki” >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).

Ściągnij -->Avenger. http://swandog46.geekstogo.com/avenger2/avenger.exe

Wklej do niego to:

Klikasz w Execute i zatwierdzasz reset kompa.

Zrestartuj komputer.Log z Avengera znajduje się w C:\avenger.txt.

C:\Documents and Settings\LocalService\Local Settings\Application Data\spool.exe plik zaznaczony na czerwono skasuj w trybie awaryjnym z wyłączonym przywracaniem systemu .