Trojan install.exe

ryszard · 16 Sierpień 2005 16:40

Mam problem z pojawiającą się (niemal codziennie) na moim komuterze aplikacją " install.exe". Dodatkowo tworzy się plik informacyjny (otwierany za pomocą notatnika), w którym istnieje krótki zapis “open=install.exe”. Jest to uciążliwy trojan, którego codziennie usuwam przy pomocy skanera on-line (bo Avast go nie potrafi powstrzymać), a on pojawia się następnego dnia poprzez połączenie internetowego. W Hi-Jacku nic podejrzanego nie widać, ale widocznie gdzieś ulokował się punkt zaczepny. Aplikacja “install.exe” pojawia się zawsze w tym samym katalogu, w którym przetrzymuję jedynie archiwalne zdjęcia. Podczas skanowania on-line ten właściwy trojan siedzi w katalogu WINNT. Ma różne nazwy. Ostatnio " bartent32.exe worm.gaobat.gen.89312.mx".

Nie rozumiem jednego. Dlaczego wciąż się pojawia, skoro usuwam go skanerem on-line (z powodzeniem). Praktycznie powinno go nie być, ale widocznie aplikacja “install.exe” ma jakiś punkt zaczepienia.

boczi · 16 Sierpień 2005 16:42

Usuwaj ten syf tak.

W trybie awaryjnym [F8] w czasie bootowania komputera z wyłączonym przywracaniem systemu. Gdybyś nie wiedział, jak to zrobić, zobacz TU.

Skan programami:

Dodatkowy skan programami:

PestPatrol

Spybot Search & Destroy 1.4

Ad-aware SE Personal

CWShredder

Zaopatrz się w firewalla, by blokować podejrzane połączenia, jeśli jeszcze nie masz!

np. http://www.kerio.tk

ryszard · 16 Sierpień 2005 16:45

Ja posiadam tylko Avasta. Czy skanowanie Avastem w trybie awaryjnym pozwoli pozbyć się go?

detektyw · 16 Sierpień 2005 16:47

moze a moze nie. Przeskanuj dysk tymi programami co podał boczi 8)

musg · 16 Sierpień 2005 16:56

jesli chcesz sie pobawic i go wywalic to warto sprawdzic klucze rejestru:

start>>uruchom>>regedit>>ok

idz sciezką :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

i zobacz czy po prawej stronie nie masz wpisu mniej wiecej takiego:

ntvbm, ntvbm.exe

jesli jest to usun

ps

nie wiem czy masz fajerłola ,czy masz sp2 i jaki masz system?

Potrzeba wiecej danych

ryszard · 16 Sierpień 2005 18:01

Avast go nie wykrył.

Mam Win 2000 Professional.

Czy do powyższego też wchodzi się przez tryb awaryjny?

Złączono Posta : 16.08.2005 (Wto) 20:06

A czy któryś z tych programów jest darmowy?

musg · 16 Sierpień 2005 18:10

wejdz w trybie normalnym, bo wtedy te pliki powinny sie uruchamiac

chodzi o przeskanowanie on-line(kaspersky oczywiscie tu odpada ,bo skanuje tylko pojedyncze pliki)

ryszard · 16 Sierpień 2005 18:25

W WINNT/System32 znalazłem ntvdm.exe. Plik ten różni się jedną literką. Zamiast “b” jest “d”. Czy wykasować go?

musg · 17 Sierpień 2005 07:12

nie ,to prawidlowy wpis

mozesz zarzucic log z hijacka

ps

Nie rozumiem jednego. Dlaczego wciąż się pojawia, skoro usuwam go skanerem on-line (z powodzeniem).

Musi gdzies miec swoje wpisy wlasnie w rejestrze

ryszard · 17 Sierpień 2005 15:34

Log powinien być w porządku, bo na razie trojan jeszcze nie pojawił się, a wczoraj usunąłem go skanerem online.

Logfile of HijackThis v1.99.0

Scan saved at 17:42:00, on 2005-08-17

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINNT\system32\msiexec.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINNT\System32\sistray.EXE

C:\WINNT\System32\khooker.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\PROGRA~1\SPRINT~1.0\Sprint\CAgent.exe

C:\Program Files\Adobe\Acrobat 5.0 CE\Distillr\AcroTray.exe

C:\Program Files\ScannerU\AM32.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mojastrona.com.pl/prasa/index.shtml

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM…\Run: [siS Tray] C:\WINNT\System32\sistray.EXE

O4 - HKLM…\Run: [siS KHooker] C:\WINNT\System32\khooker.exe

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM…\Run: [ABBYY Community Agent] C:\PROGRA~1\SPRINT~1.0\Sprint\CAgent.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0 CE\Distillr\AcroTray.exe

O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 3239952105

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{1A85A52C-B568-407E-8FBB-145586DD5A7B}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CCS\Services\Tcpip…{E7E95E80-10C2-4B82-913E-EC7E77D4E4E5}: NameServer = 194.204.159.1,194.204.152.34

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Usługa administracyjna Menedżera dysków logicznych - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

boczi · 17 Sierpień 2005 15:36

Log jest czysty.