Trojan-Downloader.win32Ani.c. - prośba o spr. loga


(Suska 81) #1
Logfile of HijackThis v1.99.1

Scan saved at 16:55:19, on 2006-08-20

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\acs.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\soundman.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\PLANET WL-8310\WLANPRO.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Dom\USTAWI~1\Temp\Rar$EX01.154\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [C-Media Speaker Configuration] E:\Ściągnięte\drv\Setup.exe /SPEAKER

O4 - HKLM\..\Run: [SoundMan] soundman.exe

O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause

O4 - HKLM\..\Run: [AntiVirus Update Scheduler V2.14C] "C:\WINDOWS\system32\winsock32.exe"

O4 - HKLM\..\RunOnce: [Register C:\WINDOWS\system32\Macromed\Flash\Flash.ocx] rundll32.exe "C:\WINDOWS\system32\Macromed\Flash\Flash.ocx",DllRegisterServer

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Niezbędnik Internauty] C:\Program Files\HT NETWORKS\Niezbędnik Internauty\Niezb.exe

O4 - Global Startup: PLANET WL-8310 Configuration Utility.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\System32\acs.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe

(Myszonus) #2

  1. Startujesz do trybu awaryjnego i wyłączasz przywracanie systemu.

  2. Pliki/foldery na czerwono skasuj z dysku.

  3. Wpisy skasuj Hijackiem.


(Suska 81) #3

Zrobiłam wszystko

Przeskanowałam system jeszcze kaspersky'm i nadal mam informację, że po moim kopmie grasuje trojan: Trojan-Downloader.win32Ani.c.

Robiłam też skan a-squared2.0, ale on go nie znalazł (chyba dziwne, nie?). Jak się pozbyć tego paskudztwa?

To mój log:

Dzięki za pomoc.


(Myszonus) #4

Podaj jego lokalizację. Daj log z Silenta.

W HjT nic nie widać.


(Suska 81) #5

Log z Silenta (mam nadzieję, że jest cały):

Lokalizacja trojana:

C:\Documents and Settings\Dom\Ustawienia lokalne\Temporary Internet Files\Content.IE5\EP08KA2V\cursor[1].anr (chyba to to:))

Złączono Posta : 20.08.2006 (Nie) 22:10

O przepraszam! chyba jednak nie był cały:


(Myszonus) #6

Zrób to w awaryjnym : Start --> uruchom --> cmd wklep :


(Suska 81) #7

Zrobiłam, co kazałeś i dostałam komunikat:

"C:\Documents and Settings\Dom\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat - Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces."

Co teraz?...


(adam9870) #8

Czy było to wykonywane w trybie awaryjnym i czy przy wchodzeniu wybrałaś swoje konto a nie Administratora ?

Przy okazji możesz TEMP'a przeczyścić:

Start => Uruchom => wpisz cmd => RD /S /Q "C:\Documents and Settings\ Nazwa Twojego konta \Ustawienia lokalne\Temp"


(Suska 81) #9

Czy było to wykonywane w trybie awaryjnym i czy przy wchodzeniu wybrałaś swoje konto a nie Administratora ?

Tak :slight_smile:


(adam9870) #10

Dziwne. Użyjemy w takim razie czegoś potęrzniejszego.

  1. Ściągnij Gmera

  2. Uruchom go.

  3. W zakładce Procesy wybierz opcję Zabij wszystko

  4. Przejdź do zakładki CMD i zaznacz tam podpunkt CMD

  5. Wklej te dwie komendy, oczywiście nazwę swojego konta wpisujesz w odpowiednich miejscach w poleceniach.

  1. Klikasz Uruchom i resecik kompa.

Gmera możesz pobrać pod normalnym a użyć w awaryjnym.


(Suska 81) #11

OK, zrobione. Oczywiście w awaryjnym i na moim koncie.

  • groźnie to zabrzmiało...:slight_smile:

Własciwie to co ja zrobiłam? Ufam Wam bezgranicznie:) hmm...

Teraz log z HjT wygląda tak:

A log z Silenta wygląda tak:

Kaspersky skanuje. Na razie nic nie znalazł.

P.S. A teraz idę spac, bo jutro mam pobudkę o 4:50 :frowning: Będę walczyc jutro. Dobranoc!


(Myszonus) #12

W logach czysto.

wyczyściłaś tmpa i temorary internet files - gdzie KAV wykrywał wiry :wink:


(Suska 81) #13

Dzięki wielkie! !!


(boczi) #14

http://forum.dobreprogramy.pl/viewtopic.php?t=66889

Proszę poprawić temat na konkretny.

Należy opisywać swój problem.