Prośba o pomoc z wytepieniem Trojana


(Andzial74) #1

witam

borykam sie od kilku dni i nie moge wywalic troja prosze o pomoc...... !!

Logfile of HijackThis v1.99.1

Scan saved at 21:26:51, on 2005-02-28

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\RunDll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Exif Launcher\QuickDCF.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\TOTALCMD.EXE

C:\Documents and Settings\oem\Pulpit\HijackThis.exe

O4 - HKLM..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM..\Run: [smcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui

O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM..\Run: [sp] rundll32 C:\DOCUME~1\oem\USTAWI~1\Temp\se.dll,DllInstall

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU..\Run: [spyKiller] C:\Program Files\SpyKiller\spykiller.exe /startup

O4 - HKCU..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [bestPopUpKiller] C:\Program Files\BestPopUpKiller\BestPopupKiller.exe /startup

O4 - Global Startup: Exif Launcher.lnk = C:\Program Files\Exif Launcher\QuickDCF.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: *.mt-download.com (HKLM)

O15 - Trusted IP range: 64.127.104.144

O15 - Trusted IP range: 64.127.104.144 (HKLM)

O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)


(123448) #2

a właczyłaś/eś tryb powracania wina?

tutaj nie jestem pewny:

O15 - Trusted Zone: *.mt-download.com (HKLM)

O15 - Trusted IP range: 64.127.104.144

O15 - Trusted IP range: 64.127.104.144 (HKLM)

nie wiem co to za aplikacje, jak ich nie znasz to odinstaluj:

O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM..\Run: [sp] rundll32 C:\DOCUME~1\oem\USTAWI~1\Temp\se.dll,DllInstall

usuń na 100 %:

[O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)

następnie przeskanuj skanerami on-line dostępnymi na tym vortalu i pobierz ETd Security Scannner z http://www.download.com - dobry program, polecam :wink:

potem jeszcze przeskanuj programami antyszpiegowskimi które znasz czyli ad-aware cwShredder, spubot s&d itd i wklej ponownie log z Hijack.

musisz mieć ciagle właczonego firewalla a w tym momencie nie masz. na marginesie - jak nie używasz meesengera to odinstaluj.


(Kuz5) #3

Do usunięcia w trybie awaryjnym z wyłączonym przywracaniem systemu i netem:

O4 - HKLM..\Run: [sp] rundll32 C:\DOCUME~1\oem\USTAWI~1\Temp\se.dll,DllInstall

O15 - Trusted Zone: *.mt-download.com (HKLM)

O15 - Trusted IP range: 64.127.104.144 (HKLM)

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)

Możesz wyłączyć w autostarcie:

Start=>Uruchom=>Wpisz polecenie msconfig=>Zakładka Uruchamianie i odchacz:

dumprep 0 -u

NeroCheck

Jeżeli nie używasz Windows Messenger to go usuń:

Start=>Uruchom=>Wpisz polecenie

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

Lub programem Xp-AntiSpy PL

Możesz wyłączyć CTFMON.EXE: Panel sterowania => Opcje regionalne=> Języki => Szczegóły => Zaawansowane => zaznaczasz wyłącz zaawansowane usługi tekstowe

Wyczyść katalog TEMP

Start=>Uruchom=>%temp%=>wywal wszystko


(Maniooo666) #4

Witam,

wszystko oczywiście tryb awaryjny i wyłączone przywracanie systemu.

Zrzut pamięci po zwisie.

Jakieś szczątki CWS-a.. (Ostatnie posty poczytaj).

TUTAJ twierdzą, że to też won.

Do tego to, co pogrubione ręcznie wywal.

Fałszywy antyspy. POCZYTAJ.

I następny. POCZYTAJ. Zainstaluj np. SpyBOT S&D.

I teraz najważniejsze i niewybaczalne!

Nie można usuwać tych wpisów. Na całym świecie się je zostawia, a tylko tutaj wyrzuca.

Dlaczego? Otóż przed chwilą zrobiłem mały test.

Wysłałem pocztę przed usunięciem tych wpisów, później po ich usunięciu,

a dla pewności wpisy przywróciłem, wysłałem pocztę, i znów usunąłem i wysłałem maila.

Oto wyniki przed usunięciem wpisów:

Wyniki po usunięciu wpisów:


(fiesta) #5

To nie aplikacja tylko wpis systemowy świadczący o padnięciu systemu i zrzucie pamięci fizycznej. Jak system "powstał" wszystko jest OK i wpis można śmiało akasować.


(123448) #6

będe wiedział na przyszłośc :wink: