Troja jak go usunąć


(system) #1

hejka nie moge grać na serwera z PB w call of duty nic niedzialalo wiec pomyslalem ze jakis wirus moze to powodowac wiec skanuje nod32 i znalazle takiego cwaniaczka

trojan Win32/TrojanDownloader.Zlob.AMF.

no i tu nasuwa sie moje pytanie jak go wytepic z komputera i to na dobre


(Heniu133) #2

Wklej logi


(sdar) #3

Proszę zmienić tytuł na konkretniejszy (użyj opcji icon_edit.gif


(system) #4
Logfile of HijackThis v1.99.1

Scan saved at 21:01:42, on 2006-12-17

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\Program Files\Eset\nod32kui.exe

D:\dane z 80 part 1\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Messenger\msmsgs.exe

D:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Eset\nod32.exe

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

E:\Program Files\Mozilla Firefox 2 Beta 1\firefox.exe

C:\Documents and Settings\user\Pulpit\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.yahoo.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [OPSE reminder] "C:\Program Files\ScanSoft\OmniPageSE2.0\EregEng\Ereg.exe" -r "C:\Program Files\ScanSoft\OmniPageSE2.0\EregEng\ereg.ini"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [Skype] "D:\dane z 80 part 1\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Startup: RollerCoaster Tycoon 3 Registration.lnk = C:\Documents and Settings\user\Ustawienia lokalne\Temp\{529C7917-C9D1-45EF-8691-0D4DC5BAFD1F}\{907B4640-266B-4A21-92FB-CD1A86CD0F63}\ATR1.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_43.cab

O16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://67.15.101.3/g_bin/pl/slots70_2_0_0_30.cab

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

oto logi ktore zrobil program prosze o szybka odpowiec


(Joan Sunshine) #5

W HJT zaznaczasz wpis i klikasz na dole "Fix checked" :

Użyj ATF-Cleaner – wyczyści tempy.

Po zabiegach nowe logi z HiJacka oraz Silent Runners (zaznaczasz No i czekasz aż skończy pracować w tle). :slight_smile:


(system) #6

mugł byś rozpisać troche bardziej te dwa zdania co mam wcisnac dokladnie ipt


(adam9870) #7

Pobierasz ATF-Cleaner => uruchamiasz => zaznaczasz opcję All Users Temp oraz Current user temp . Potem tylko potwierdzasz (Empy selected) i możesz uruchomić ponownie komputer.

Opis Silenta znajduje się TUTAJ.

Dodatkowo proszę podać gdzie wykrywany ten śmieć, o którym wspomniałeś (dokładna ścieżka).


(system) #8

Zbiór C:\System Volume Information_restore{52229E8D-0025-48C2-BAA8-D0E82289F757}\RP116\A0063907.exe jest zainfekowany - trojan Win32/TrojanDownloader.Zlob.AMF.

Zbiór C:\System Volume Information_restore{52229E8D-0025-48C2-BAA8-D0E82289F757}\RP117\A0064148.exe jest zainfekowany - trojan Win32/TrojanDownloader.Zlob.AMF.

oto 2 pelne nazwy zrobilem tak jak kazaliscie skanuj jeszcze raz i dale siedza na komputerze co teraz

aha lind do tego drugie programu nie dziala na stronie maja jakis blad


(adam9870) #9

Wyłącz przywracanie systemu (opis tutaj) i usuń ręcznie pliki z dysku zainfekowane pliki pod trybem awaryjnym.

Tylko włącz pokazywanie ukrytych plików i folderów bo folder System Volume Information jest ukryty. Mój komputer => narzędzia => opcje folderów => zakładka widok => zaznacz Pokaż ukryte pliki i foldery.


(system) #10

cytat Bieniol

ja tez mam wrzucac zestaf logow czy poprostu. zatwierdzic wszystkie zmiany wlaczyc w trybie awaryjnym znalesc te 2 trojany usunac je recznie wlczyc ponownie kompute i zobaczyc czy na 100% ich nie ma


(adam9870) #11
  1. Włączasz pokazywanie plików i folderów

  2. Wyłączasz przywracanie systemu

  3. Uruchamiasz system w trybie awaryjnym

  4. Usuwasz zainfekowane pliki

  5. Uruchamiasz system w trybie normalnym

  6. Wyłączasz pokazywanie ukrytych plików i folderów

  7. Włączasz przywracanie systemu

Logi nie są potrzebne. Co najwyżej możesz na wszelki wypadek pokazać potem log z Silenta.


(system) #12

gdy chce wejsc do folder w ktorym znaduje sie trojan C:\System Volume Information nie moge tam wejsc wyskakuje Odmowa dostepu co zrobic


(Joan Sunshine) #13

Wyłączasz przywracanie systemu (Panel sterowania -> System -> Przywracanie systemu -> zaznaczasz „Wyłącz przywracanie systemu” ).

Może to wystarczy :slight_smile:

Przeskanuj potem kompa antywirem, wklej raport.


(system) #14

tak przy wszystkich moich 3 dyska pisze wylaczone tak jak mialem zrobic dopiero gdy chc wejsc do tego foldery pojawia sie klopot czyli odmowa dostepu


(adam9870) #15

Start => uruchom => services.msc => znajdź Usługa przywracania systemu => prawy klawisz na nią => właściwości => Typ uruchamiania ustaw Wyłączony. Przy Stan usługi kliknij Zatrzymaj.

Jeśli mimo to będzie wyświetlał się komunikat Odmowa dostępu podczas wchodzenia do folderu to (przy wyłączonym przywracaniu) przeskanuj NOD'em lub AVG Anti-Spyware po update i jeśli zostaną znalezione śmieci w System Volume Information , po prostu kliknij Usuń w programie i powinno być ok.

Jeśli tak się uda to włącz przywracanie jeśli masz taką potrzebę i problem rozwiązany.


(system) #16

gdy skanowałem nod32 2z tymi co pokzałem nie mogłem niz zrobic jedyna opja jaka byla to pozostaw byl jeszcze 3ale tego akurat mogle bez problem usunac zaraz zrobie tak jak pisales jak by dalej cos niegralo to napisze licze a wasza pomoc ;]

Złączono Posta : 17.12.2006 (Nie) 23:01

niestety daej odmowa dostepu sciagne tego AVG d ktorego dales linka moze on sobie poradzi z tym badziewiem

Złączono Posta : 18.12.2006 (Pon) 0:06

chcialbym podziekowac przeskanowalem AVG potem nod32 i nic juz nie ma wielkie dzieki za pomoc ale jak chce grac w gre to komp nadal sie wiesza ;]


(Bbieniol) #17

Wrzuć raport z AVG.

Przeczyść rejestr (polecam do tego jv16 PowerTools), zrób defragmentację, oraz przejrzyj: Optymalizacja XP

Wejdź: Start -> uruchom -> msconfig i w zakładce uruchamianie odznacz (według Ciebie) niepotrzebne przy autostarcie programy :slight_smile:


(Monczkin) #18

pulpecik16 proszę używać na forum polskiej pisowni.