Sprzątanie po trojanach - przegląd loga z HThis i SRunner


(Sziwa88) #1

Proszę, rzućcie okiem na logi. Swoje kłopoty z infekcją opisałam w poście pt. Backdoor.Imailer - poradziłam sobie jak potrafiłam przy udziale dodatkowych skanerów, ale nie wiem, czy usunęłam wszystkie śmieci.

Chciałabym posprzątać dobrze, ale nie wiem jak:

1) nie wiem, co ewentualnie się wpisało/dopisało i gdzie?

2) nie wiem, czy mi się coś nie wszczepiło (trojan win32.patched.c w hh.exe chyba) i jak to naprawić?

3) nie wiem, co jest zbędne i mogę usunąć?

* np. program InCD jest związany z Nero, ale ja go odinstalowałam dawno temu (o ile pamiętam...)

* Tlen też już odinstalowałam i skasowałam foldery, które zostały, a tu proszę...

* co to za ostrzeżenie w Silent o plikach "battery alarm(...).job" is corrupt? (bateria mi pada ostatnio, ale to chyba nie ma związku... ładuje się już tylko 10 minut i chodzi do pół godziny, kicha...)

* dlaczego svchost.exe występuje w menadżerze zadań aż sześć razy?

* czy mogę usunąć hh.exe z kwarantanny skanera ostatecznie?

* czy "NkbMonitor.exe" jest potrzebne w autostarcie (pojawił się po instalacji Picture Project z Nikona), skoro zdjęcia ładuje przez PP? co to w ogóle za program?

Jeśli ktoś ma ochotę oświecić laika, to bardzo proszę:


(matio) #2

moim zdaniem trzeba wywalić to (ale z wywalaniem poczekaj na opinie innych, bardziej doświadczonych):


(Myszonus) #3

matio91 przestań głosić herezję :x

Logi są ok.

nie przejmuj się :slight_smile:

Otwórz notatnik i wklej :

Plik --> Zapisz jako --> Zmień rozszerzenie z TXT na Wszystkie pliki --> Zapisz pod nazwą FIX.REG i uruchom w trybie awaryjnym.

skanera czego ?


(matio) #4

a z kąd ty wiesz, co trzeba wywalić, a co nie? znasz to na pamięć?


(Kuz5) #5

Dostajesz ostrzeżenie :evil:

Kolejny raz popełniłes poważny błąd

Usuniecie tych wpisów niesie za soba poważne konsekwencje, czyli utrata neta

Logi nie są dla ciebie, więc nie łap sie za nie

Kupa czasu poświęconego na obserwowaniu i nie tylko


(Sziwa88) #6

dzięki Myszak,

fix.reg zrobiony i odpalony, tlen zniknął, jak chciałam.

Skanowałam online (http://www.windowsecurity.com) na trojany i program znalazł mi win.32.patched.c właśnie w hh.exe - "oddałam" plik do kwarantanny, żeby unieszkodliwić drania i sprawdzić, czy wszystko działa bez niego. Wydaje mi się, że wszystko chodzi, ale nie wiem za co odpowiada ten plik...

Czy ten drugi dawno zdeinstalowany program (InCD) mogę walnąć per analogiam?

Co z pozostałymi moimi pytaniami? :mrgreen:


(Myszonus) #7

podaj lokalizację.

hmm - zrób tak :


(Sziwa88) #8

ten trojan wystąpił w dwóch miejscach:

C:\WINDOWS.0\hh.exe

C:\WINDOWS.0\$hf_mig$\KB896358\SP2GDR\hh.exe

Co do czyszczenia rejestru to zrobiłam wszystko, jak trzeba (wersja programu z tego vortalu to 1.3 bez obrazków :smiley: ale się znalazłam). "Pozycji, które można bezpiecznie usunąć" zaznaczyło mi 426 (z wszystkich 635), nacisnęłam "Usuń" i... nic. Kolor niebieski zmienił się na szary i już. Może trzeba zrestartować kompa?


(Myszonus) #9

To jest Trojan.Ghook

Użyj programu Killbox. Uruchamiasz zaznaczasz Delete on reboot, w polu full path of file wklej ścieżkę :

C:\WINDOWS.0\hh.exe

C:\WINDOWS.0\$hf_mig$\KB896358\SP2GDR\hh.exe

Klikasz X i reset kompa.

Inaczej. Otwórz notatnik i wklej :

Plik --> Zapisz jako --> Zmień rozszerzenie z TXT na Wszystkie pliki --> Zapisz pod nazwą FIX.REG i uruchom w trybie awaryjnym.


(Sziwa88) #10

Zrobiłam, jak napisałeś, ale obie ścieżki nie chcą wejść na raz (dopiero teraz znalazłam Paste from Clipboard :))

Tego drugiego nie mogę znaleźć, a w folderze \SP2GDR\ są następujące pliki:

hhctrl.ocx

hhsetup.dll

itircl.dll

itss.dll

Skanuję tym samym programem, co znalazł mi trojana, dysk C. Czysto.

Odpalę czyszczenie rejestru wg poprzednich wskazówek, zobaczymy, czy zadziała...

...dalej nie chce usunąć wpisów. Jest jednak drobna różnica: przedtem do usunięcia było zaznaczonych 426 z 635, a teraz jest 424 z 633, które można bezpiecznie usunąć.

dziwne, ale jv16 się wreszcie odpalił (przedtem albo żadnej reakcji na 'usuń' albo komunikat o błędzie: Access violation at address 004021F0 in module 'jv16 PowerTools.exe'. Write of address 00000026. przy zamykaniu programu). Po prostu wreszcie zadziałał, tylko chyba przy tej okazji wyrzucił mi Firewalla z autostartu (jak to zmienić?), bo muszę go odpalać ręcznie z menu... wyrzucił 330 wpisów, zostawił 209 i to też jest dziwne, bo nie zgadza się z poprzednimi liczbami...

... a do tego właśnie teraz na ekranie pojawił się mały niebieski pasek jako pozostałość po menu z którego wybierałam polecenie - wczoraj zdarzyło mi się to dwa razy, pasek jest na wierzchu i nie działa na niego odświeżanie pulpitu... a do tego nie mogę obejrzeć loga z avastu! pliki są ale nie otwiera się z menu avastu (czy ma znaczenie, że avast! zasygnalizował dziś rano podwójny atak sieciowy?)

Z wpisem InCD sobie poradziłam przez fix.reg, dzięki.

Ale z resztą to ja już nie wiem, czy to jeszcze jakiś wirus/trojan, czy błąd systemu... dać świeże logi?

Złączono Posta : 24.08.2006 (Czw) 18:45

Nie mam zwyczaju dręczyć ludzi przez wiadomości prywatne bez zaproszenia, więc ponawiam prośbę o pomoc w porządkach na forum.

Sprawdziłam kompa mks_virem, spybotem, a-squared skanerem (który znalazł wcześniej plik hh.exe i przedstawił mi go jako trojana, a teraz nic nie znajduje). Killbox widzi hh.exe i nie może go skasować na restarcie, ale może to i lepiej, bo właśnie doczytałam, że to niekoniecznie trojan tylko plik systemowy... :?

Zatem czy ktoś mógłby mi ostatecznie podpowiedzieć, czy mój komputer potrzebuje już tylko generalnych porządków czy też chowa się w nim jakieś świństwo?

Aha i skąd wziął mi się prawie 60MB plik rejestru w Moich Dokumentach? Z datą ostatniej modyfikacji 20.08, a przecież doklejałam coś w trybie awaryjnym 23.08?

Dołączam logi: