edytom
(Edytom)
8 Listopad 2006 14:06
#1
Prosze o sprawdzenie, ciągle AVG pokazuje mi: Trojan Horse Dialer.COH i nie wiem jak sie tego pozbyć.
Dziękuje za pomoc
Logfile of HijackThis v1.99.1 Scan saved at 15:06:31, on 2006-11-08 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Program Files\Spyware Doctor\sdhelp.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Total Commander\TOTALCMD.EXE C:\Program Files\Outlook Express\msimn.exe C:\Program Files\Miranda IM\miranda32.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\BitComet\BitComet.exe C:\DOCUME~1\Pixelweb\USTAWI~1\Temp_tc\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O15 - Trusted Zone: http://arcaonline.arcabit.com O15 - Trusted Zone: http://*.mks.com.pl O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
Myszak
(Myszonus)
8 Listopad 2006 14:08
#2
W logu nic nie widać ale :
nie odpalaj HjT z tempa.
edytom:
Trojan Horse Dialer.COH
podaj lokalizację.
edytom
(Edytom)
8 Listopad 2006 14:43
#3
Występuje w plikach tymczasowych:
c:\windows\Temp…
c:\Document and Settings\edytom\Ustawienia lokalne\Temporary Internet Files\Content.IE5…
adam9870
(adam9870)
8 Listopad 2006 14:48
#4
Uruchom system w trybie awaryjnym, wybierz start => uruchom => cmd => i w wierszu poleceń, który zostanie otwarty wpisz kolejno dwie następujące komendy:
RD /S /Q "C:\Documents and settings\edytom\Ustawienia lokalne\Temp"
RD /S /Q "C:\Documents and settings\edytom\Ustawienia lokalne\Temporary internet files"
edytom
(Edytom)
8 Listopad 2006 15:12
#5
nie pomogło nadal przy przeglądaniu stron www wyskakuje że AVG znalazło tego trojana
adam9870
(adam9870)
8 Listopad 2006 15:21
#6
Hmm…
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.
A może chodzisz po jakiś nie za bardzo bezpiecznych stronach, na których można złapać syf?
Czy nie wystąpiły żadne problemy podczas wydawania poleceń tzn. czy wszystko poszło dobrze?
edytom
(Edytom)
8 Listopad 2006 15:55
#7
Chyba pomogło, bo po kilku minutach w sieci nic nie wyskakuje.
Co do niebezpiecznych stron to nie wchodze na takie i nie wiem skąd wzioł się ten dialer, system mam nowo instalowany (z 2 tygodnie temu), orginalny z wszystkimi łatkami Microsoftu.
DZIĘKUJE BARDZO ZA POMOC
Złączono Posta : 08.11.2006 (Sro) 16:57
nie pomogło
Znów wyskoczyło okienko z informacją o dialerze
edytom
(Edytom)
8 Listopad 2006 20:14
#9
Bieniol
(Bbieniol)
8 Listopad 2006 20:18
#10
Uzyj tego narzędzia -> http://www.idg.pl/ftp/pc_9705/ATF.Cleaner…html
I opróżnij nim wszystkie foldery tymczasowe
edytom
(Edytom)
9 Listopad 2006 08:57
#11
Nie pomogło, teraz oprócz Trojan horse Dialer.COH mam jeszcze:
Trojan horse Downloader.Zlob.EUN
Trojana horse Dawnloader.Zlob.FAD
Trojana horse Dawnloader.Zlob.FAC
Trojana horse Generic2.HAE
Adware Generic.RLL
Adware Generic.RLM
Adware Generic.RLI
i wszystki w plikach tymczasowych które sie tworzą przy chodzeniu po sieci (nieważna na jakiej stronie jestem: Onet, Allegro …)
Może ktoś ma jeszcze jakieś pomysły
Przskanowałem kompa AVG, Pandą, Kasperskim, MKSem, Spyware Doctorem i nie pomaga, każdy z nich coś wykrywa i usuwa.
Bieniol
(Bbieniol)
9 Listopad 2006 16:26
#12
Ściągnij i odpal narzędzie GMER
W zakładce CMD -> CMD wklej:
Przejdź do zakłdki procesy i kliknij opcję Zabij wszystko . Następnie wróć do zakłdki CMD i kliknij na Uruchom