Witam,

załapałem Trojana Banker.ALKQ - ktorego Avast nie wykrywa ( dowiedzialem sie o nim poprzez online scaner F-Secure) . Proszę o pomoc w usunięciu, nie mam zielonego pojecia jak sie go pozbyć.

ponizej log

Logfile of HijackThis v1.99.1

Scan saved at 15:17:05, on 2006-09-17

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Dawid\USTAWI~1\Temp\Rar$EX11.100\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab

O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Log czysty

Usuń Hijackiem ten wpis:

Poza tym jest czysto

Podaj lokalizację zainfekowanego pliku Zrób skan EWIDO po update

Bieniol,

wytłumacz mi proszę krok po kroku jak to zrobić (dla pewności), szczerze powiem jestem “żółtodziobem” :roll: w tym temacie. Ku gwoli scislosci : usunac Hijackiem wpis uzywając funcji “fixcheaked” - tak ? ( czy jescze w jakis inny sposob usuwam ten wpis ?)

za chwile wkleje lokalizacjie pliku zainfekowanego i skan EWIDO

Odpalasz Hijacka --> Do a system scan only i zazanczasz wpis:

I klikasz na dole “fix checked”

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proszę edytuj posta i popraw

Pozdrawiam Gutek2222

Ok. Masz rację Gutek Krótki opis problemu - Internet Expplorer rozłacza się po okol 15m ( komunikat >>strona nie moze byc wyswietlona). Posiadam łacze aster 1 MB, XP SP2, Avast Home Editio. Modeme jest w 99% wporządku, sygnał jest ( potwierdza ta moj dzilajacy telefon). Zabrałem się za skanowanie online F-Secure. W raporcie widnialo info o TRojanie Banker.ALKQ. Leczenie poprzez scaner nie powiodlo sie. Co gorsze Avast skanujac dyski przy rozruch nie widzi Trojana. OK. Wracając do sprawy, po usunieciu wpisu i przeskanowaniu przez EWIDO jest czysto. Natomiast F-Secure wywalił to :

Result: 4 malware found

Possible Browser Hijack attempt (spyware)

System

Tracking Cookie (spyware)

System

System

System

Widząc to usunołem wszystkie Pliki Temporary Internet Files ( Offline) i Cookie. Pózniej utorzyłem loga którego załaczam :

Logfile of HijackThis v1.99.1

Scan saved at 19:04:25, on 2006-09-17

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ewido anti-spyware 4.0\guard.exe

C:\Program Files\ewido anti-spyware 4.0\ewido.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Dawid\USTAWI~1\Temp\Rar$EX00.832\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM…\Run: [!ewido] “C:\Program Files\ewido anti-spyware 4.0\ewido.exe” /minimized

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab

O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe

Zobacz, czy w innej przeglądarce jest tak samo

Log jest już czysty

np z jaką ?

Opera

FireFox

ok. zainstalowałem FireFox - czy ma byc domyślną przeglądarką ?

Decyzja już nalezy do Ciebie. W ogóle radzę przesiąść się na inną przeglądarkę, a IE zostawić na czarną godzinę

Wciąz to samo - nie można wyswietlic strony po 10-15 m :o i nic mi do głowy nie przychodzi :roll:

Złączono Posta : 17.09.2006 (Nie) 21:50

Bieniol, poradz coś

Kto jest Twoim dostawcą internetowym?

Aster Citi CAbel - mam wykupiony pakiet telewizja, telefeon, internet 1MB