Trojan Adclicker

foniok · 6 Czerwiec 2008 14:27

witam

mam kłopot z laptopem, bardzo wolno się uruchamia oraz często rozłącza internet…

log z hijackthis:

http://www.wklej.org/id/94c0b78252

log z combofix

http://www.wklej.org/id/64e1370d22

W dniu 05.06.2008 , o godzinie 15:32 został dopisany post przez foniok

![-o<

W dniu 05.06.2008 , o godzinie 17:38 został dopisany post przez foniok

już wiem że jest to Trojan.Adclicker tylko nie wiem jak sie go pozbyć, a tu ciągle cisza… helpppp

W dniu 06.06.2008 , o godzinie 16:27 został dopisany post przez foniok

nikt nie jest w stanie mi pomóc? jest coraz gorzej, komputer po około 5 minutach sięza każdym razem zawiesza… znaczy zaczyna czytac cos z dysku i przestaje reagowac na cokolwiek…

kacper1344 · 6 Czerwiec 2008 18:22

fix w Hijackthis.

Otwórz notatnik i wklej

File::

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Leon1 · 6 Czerwiec 2008 19:19

Nie usuwaj tego to są prawidłowe wplisy i pliki

Otwórz notatnik i wklej

File:: C:\sqmdata06.sqm C:\sqmnoopt06.sqm C:\sqmdata05.sqm C:\sqmnoopt05.sqm C:\sqmdata04.sqm C:\sqmnoopt04.sqm C:\sqmdata03.sqm C:\sqmnoopt03.sqm C:\sqmdata02.sqm C:\sqmnoopt02.sqm C:\sqmdata01.sqm C:\sqmnoopt01.sqm C:\sqmdata00.sqm C:\sqmnoopt00.sqm C:\WINDOWS\AppPatch\AcXtrnel.dll Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “TFncKy”=- [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\My Web Search Bar Search Scope Monitor] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Email Plugin] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

foniok · 7 Czerwiec 2008 14:41

dziękuję za podpowiedzi,ale czekajac na pomoc troche juz walczyłem z tym kompem, niestety jest coraz bardziej zawirusowany najnowsze logi:

hijackthis:

http://www.wklej.org/id/ae779a7991

probowalem wywalic w trybie awaryjnym te dziwne pliki .dll ale nie moge, nie chca sie usunac

combofix:

http://www.wklej.org/id/33dd950b06

ratunkuuuuuuu

Leon1 · 7 Czerwiec 2008 15:52

Otwórz notatnik i wklej

File:: C:\WINDOWS\system32\tyjert.cfg C:\WINDOWS\system32\fsrgeb.dll C:\WINDOWS\system32\jggtsr.dll C:\WINDOWS\system32\hgfhk.cfg C:\WINDOWS\system32\ciwdaapi.sys C:\WINDOWS\system32\xdhdg.cfg C:\WINDOWS\system32\tiwxattb.sys C:\WINDOWS\system32\lesxachu.sys C:\WINDOWS\AppPatch\AcXtrnel.dll C:\WINDOWS\AppPatch\AcSpecf.dll(1).VIR C:\WINDOWS\AppPatch\AcPlugin.dll(1).VIR C:\WINDOWS\AppPatch\Jview.dll C:\WINDOWS\system32\336A806A48.sys C:\WINDOWS\system32\aitlasys.exe C:\WINDOWS\system32\aoqnabib.sys C:\WINDOWS\system32\axptajpg.exe C:\WINDOWS\system32\bcsxachu.sys C:\WINDOWS\system32\dehkj.dll C:\WINDOWS\system32\dfqnabib.exe C:\WINDOWS\system32\dtrgjy.dll C:\WINDOWS\system32\fassaplo.sys C:\WINDOWS\system32\fstlbsys.sys C:\WINDOWS\system32\fydgky.dll C:\WINDOWS\system32\fzptbjpg.sys C:\WINDOWS\system32\ghwxattb.exe C:\WINDOWS\system32\gpsgajba.sys C:\WINDOWS\system32\hjmh.dll C:\WINDOWS\system32\jkhjsd.dll C:\WINDOWS\system32\lkssaplo.exe C:\WINDOWS\system32\lpmxajkl.exe C:\WINDOWS\system32\lpsgajba.exe C:\WINDOWS\system32\mpwdeapi.dll C:\WINDOWS\system32\newxbttb.sys C:\WINDOWS\system32\rnmxajkl.sys C:\WINDOWS\system32\sefawe.dll C:\WINDOWS\system32\sfsxachu.exe C:\WINDOWS\system32\siwdaapi.exe C:\WINDOWS\system32\snfybbyt.sys C:\WINDOWS\system32\spwdbapi.sys C:\WINDOWS\system32\thef.dll C:\WINDOWS\system32\tjfyabyt.exe C:\WINDOWS\system32\ukrth.dll C:\WINDOWS\system32\xsdjbbmp.sys C:\WINDOWS\system32\xzfhbjpg.sys C:\WINDOWS\system32\yzztimsn.dll C:\WINDOWS\system32\zsdjabmp.exe C:\WINDOWS\system32\zxfhajpg.exe C:\WINDOWS\system32\swsxachu.dll C:\WINDOWS\system32\skqncbib.dll C:\WINDOWS\system32\oswxcttb.dll C:\WINDOWS\system32\nhmxcjkl.dll C:\WINDOWS\system32\apsgdjba.dll C:\WINDOWS\system32\ozfyebyt.dll C:\WINDOWS\system32\ypdjfbmp.dll C:\WINDOWS\system32\yxfhcjpg.dll C:\WINDOWS\system32\zxptejpg.dll C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll C:\WINDOWS\system32\zdesfx.dll C:\WINDOWS\system32\jggtsr.dll C:\WINDOWS\system32\wyrsdj.dll C:\WINDOWS\system32\fsrgeb.dll Registry:: [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{13FD5987-65D2-C58D-D87E-987451F12531}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{32023698-6984-8541-9654-698745012523}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{33512378-9874-5641-1025-985420368733}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{37AC9076-C898-B098-D098-A18319080973}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{4FD45A54-9875-698F-E56E-65102358FDF4}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{55694105-5108-9405-3695-954187462155}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{5A069845-2036-6084-9054-6087502480A5}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{81954FAC-1023-154F-895A-1458258AD818}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{91698482-6555-3666-1222-954784129019}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{9490415F-65F8-B5C5-D8BA-9405FB120549}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{97421D0D-E07F-40DF-8F07-99597B9585AD}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SmoothView”=- “TFncKy”=- [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] “{13FD5987-65D2-C58D-D87E-987451F12531}”=- “{33512378-9874-5641-1025-985420368733}”=- “{9490415F-65F8-B5C5-D8BA-9405FB120549}”=- “{1DB3C525-5271-46F7-887A-D4E1ADAA7632}”=- “{5A069845-2036-6084-9054-6087502480A5}”=- “{4FD45A54-9875-698F-E56E-65102358FDF4}”=- “{81954FAC-1023-154F-895A-1458258AD818}”=- “{83BA45AF-FAAA-CDDD-BEEE-BCDE1234AB38}”=- “{37AC9076-C898-B098-D098-A18319080973}”=- “{91698482-6555-3666-1222-954784129019}”=- “{32023698-6984-8541-9654-698745012523}”=- “{45AADFAA-DD36-42AB-83AD-0521BBF58C24}”=- “{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}”=- “{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}”=- “{55694105-5108-9405-3695-954187462155}”=- “{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] “JavaView”=- “ThunderAdvise”=- [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] “AppInit_DLLs”=- “AppInit_DLLs”="" [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\My Web Search Bar Search Scope Monitor] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Email Plugin] [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/Sy … ineer.html

przeskanuj daj log

foniok · 7 Czerwiec 2008 18:34

prosze bardzo.

combofix:

http://www.wklej.org/id/452a4c702b

system repair engineer:

http://www.wklej.org/id/b7d1f613a2

Leon1 · 7 Czerwiec 2008 19:27

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

foniok · 9 Czerwiec 2008 19:04

z tą konsolą jest coś nie tak, bo zrobiłem jak pisałeś i log dalej mówi że jest wyłączona…

log z combofix:

http://www.wklej.org/id/5d7d8933e7

Leon1 · 9 Czerwiec 2008 20:14

Otwórz notatnik i wklej

File:: C:\WINDOWS\system32\tdggrz.dll C:\WINDOWS\system32\hgfhk.cfg C:\WINDOWS\system32\tiwxattb.sys C:\WINDOWS\system32\ddserh.dll C:\WINDOWS\system32\wyrsdj.dll C:\WINDOWS\system32\fsrgeb.dll C:\WINDOWS\system32\tyjert.dll C:\WINDOWS\system32\tyjert.cfg C:\WINDOWS\system32\rgghjj.cfg C:\WINDOWS\AppPatch\AcXtrnel.dll C:\WINDOWS\AppPatch\Jview.dll C:\WINDOWS\system32\fassaplo.sys C:\WINDOWS\system32\ghwxattb.exe C:\WINDOWS\system32\hjmh.dll C:\WINDOWS\system32\lkssaplo.exe C:\WINDOWS\system32\mpmydapi.dll C:\WINDOWS\system32\mpwddapi.dll C:\WINDOWS\system32\newxbttb.sys C:\WINDOWS\system32\oswxdttb.dll C:\WINDOWS\system32\sefawe.dll C:\WINDOWS\system32\siwdaapi.exe C:\WINDOWS\system32\spmybapi.sys C:\WINDOWS\system32\spwdbapi.sys C:\WINDOWS\system32\ukrth.dll C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll Registry:: [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{43512378-9874-5641-1025-985420368734}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{45694105-5108-9405-3695-954187462154}] [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{97421D0D-E07F-40DF-8F07-99597B9585AD}] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] “{45694105-5108-9405-3695-954187462154}”=- “{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}”=- “{A9895933-6636-4281-BC58-EE6DE2AF96E3}”=- “{EA5D4B0E-B8CE-4761-8C7E-5D26369F0EC6}”=- “{43512378-9874-5641-1025-985420368734}”=- “{4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4}”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] “JavaView”=- “ThunderAdvise”=-

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

potem Pobierz System Repair Engineer

http://www.cybertrash.pl/images/tata/Sy … ineer.html

przeskanuj daj log

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

foniok · 9 Czerwiec 2008 20:30

tylko pytanie… bo jeśli uruchamiam combofix w normalnym trybie to niestety zawiesza sie, zostawilem laptopa na ponad 3 godziny i nic, tylko w trybie awaryjnym przechodzi do konca… moze byc w trybie awaryjnym, czy mam probowac cos innego:?:

Leon1 · 9 Czerwiec 2008 20:42

może być tryb awaryjny

foniok · 12 Czerwiec 2008 18:37

log z combofix

http://www.wklej.org/id/66ce0c18ff

log z SRE

http://www.wklej.org/id/388bf67aa7

niestety raport z kasperskiego ma 15mb i po otwarciu w przegladarce zawiesz mi system… nie mam go jak wkleic

Leon1 · 12 Czerwiec 2008 18:56

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

foniok · 13 Czerwiec 2008 06:47

raport z programu

http://www.wklej.org/id/a00f4a3cb7

mam tez jedno pytanie, bo na komputerze sa 3 konta uzytkownikow. 2 z nich sa administracyjne z brakiem dostepu do swoich folderow nawzajem (NTFS) skanowanie antywirusowe mam zrobic na obu kontach? raport z kasperskiego ma ponad 13mb poniewaz wypisuje wszystkie pliki z folderow drugiego uzytkowika z info ze obiekt jest pominiety…

Leon1 · 13 Czerwiec 2008 17:16

nie zaszkodzi

przy każdym pliku pisze pominięty ponieważ online nie usuwa tylko szuka i lokalizuje

raport chyba wycięty bo brak ok. 50 zainfekowanych plików

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

podziel na mniejsze kawałki możliwe do wklejenia

foniok · 14 Czerwiec 2008 07:24

podzielony log z kasperskiego…

http://www.wklej.org/id/5b9351d48e

http://www.wklej.org/id/7635823067

http://www.wklej.org/id/b522b6af80

http://www.wklej.org/id/a42935f7de

http://www.wklej.org/id/a684302a61

http://www.wklej.org/id/466b09c5df

http://www.wklej.org/id/7b69e61983

http://www.wklej.org/id/9195eb40fe

http://www.wklej.org/id/18bc081d9d

http://www.wklej.org/id/820d056afa

log z programu avenger:

http://www.wklej.org/id/a23f0b9542

huber2t · 14 Czerwiec 2008 10:59

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\JOLA\Ustawienia lokalne\Temp\wmsetup.dll

C:\Documents and Settings\JOLA\Ustawienia lokalne\Temporary Internet Files\Content.IE5\NM5HJLJS\update[1].gif

C:\Documents and Settings\JOLA\Ustawienia lokalne\Temporary Internet Files\Content.IE5\XQZU26W8\root[1].gif

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Przeczyść komputer Ccleanerem

Powinno być ok

foniok · 17 Czerwiec 2008 17:12

log z avengera:

http://www.wklej.org/id/43272d7b12

komputer przeczyściłem, chyba już będzie ok…

Gutek · 17 Czerwiec 2008 18:32

Skan http://www.kaspersky.pl/virusscanner.html

aluska · 13 Luty 2009 21:47

Najlepszy program do usuwania trojanów i wszelkiego badziectwa ,tez miałam i tym programem wszystko usunęłam pozdrawiam

– Dodane 13.02.2009 (Pt) 22:48 –

http://www.pctools.com/pl/spyware-docto … tAodfV3Gbw -----to jest linka prerzepraszam ,ale zapomiałam wkleic