Trojan - Potrzebuję pomocy

Dla specjalistów Bezpieczeństwo
#1

Witam - Mam zainfekowany system jakimś robalem którego nie mogę usunąć . Nie daje rady Avast i MKS on line ale go znajduje :

taka nazwa :C /WINDOWS /system32/zlbw.dll Znaleziono Trojan.Proxy.Lager.agm

Jak się tego dziadostwa pozbyć ???

Hijacka odpaliłem i wywaliłem wszystko co było nie dobre (mam wzorcowy log gdy komputer byl czysty)

Teraz jestem w trybie awaryjnym .

Co robić ??

GG jestem też 3656242

#2

Ściągasz narzędzie KillBox, zaznaczasz Delete on Reboot, potem klikasz All Files i wklejasz do pola Full Path of File to Delete ścieżkę:

C:\WINDOWS\system32\zlbw.dll

Klikasz X i reset sysa.

Wklejasz logi > http://forum.dobreprogramy.pl/viewtopic.php?t=36654 :slight_smile:

#3

Witam ponownie . Odpaliłem killboxa wyczyściłem co się dało …ewido znalazł jeszcze dużo syfu też wywaliłem ale nie jestem do końca pewien czy już jest czysto . Wklejam loga z hijacka a silenta nie mogę odpalić - wyskakuje jakies tam okienko że coś jest nie tak .

hijack:

Logfile of HijackThis v1.99.1

Scan saved at 08:41:22, on 2006-12-21

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\MsPMSPSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\PLANET\Plannet Wireless Lan Configure Utility\RtlWake.exe

C:\Program Files\NEC-Mitsubishi\Brightness Controller\BrightnessController.exe

D:\programy_uzytkowe\programy antyspy\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - Startup: Brightness Controller.lnk = C:\Program Files\NEC-Mitsubishi\Brightness Controller\BrightnessController.exe

O4 - Global Startup: WL-8303.lnk = C:\Program Files\PLANET\Plannet Wireless Lan Configure Utility\RtlWake.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O15 - Trusted Zone: http://mks.com.pl

O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner2k7/SkanerOnline.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
#4

Czysto :slight_smile:

#5

Dzięki Bieniol … ale czy jest jeszcze jakaś mozliwość że syf dalej gdzieś siedzi? Bo przed chwilą Ewido znowu coś znalazł - usunałem ale skąś się to bierze . Pisało coś że jakiś Trojan Smill czy coś w tym stylu . Mks nic nie wykrywa.

A może dałbyś radę jeszcze coś wymyslić z moim innym problemem w tym temacie :

http://forum.dobreprogramy.pl/viewtopic.php?p=821725#821725

#6

Pozamykaj porty robakom. W tym celu użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

… zamknięcie portów powinno zmniejszyć prawdopodobieństwo infekcji.

#7

Używam tego programu od dawna i jest wszystko tak jak piszesz…

Złączono Posta : 21.12.2006 (Czw) 16:49

Syf nadal powraca - jak się tego pozbyć ? Poradźcie coś proszę . Wklejam screna z programu Ewido który zawsze po restarcie coś znajduje…

http://img185.imageshack.us/my.php?image=ewidoax8.jpg

#8

spróbuj tym :

http://www.pctools.com/pl/spyware-doctor/?ref=google

cookie można usunąć ręcznie lub AdAware SE lub SpyBot-Search and Destroy (używam obydwu razem) do pobrania tu:http://www.dobreprogramy.pl/index.php?dz=1&t=82 :wink:

#9

Co Ty polecasz?

Spyware Doctor jest aplikacją wątpliwej reputacji. Pokazuje np. dobre rzeczy jako śmieci etc. dlatego nie jest zalecana jego instalacja.

luki Poczytaj o tym jak usuwać śmieci z folderu System Volume Information:

http://forum.dobreprogramy.pl/viewtopic … 398#822398\

a potem przeskanuj raz jeszcze ewido i na wszelki wypadek pokaż zestaw nowych logów.

#10

Tak - ale wszystkich narzędzi trzeba używać z “umiarem i taktem” coby sobie i innym sprzętom krzywdy nie zrobić (mając tylko młotek nie naprawisz drzwi).

Piszę to półżartem - ale przy wywalaniu świństw TRZEBA myśleć a nie tylko mechanicznie wykonywać polecenia.

a luki wygląda na myślącego

A nawiasem - dzięki Adam za sprawdzenie logów :slight_smile:

#11

zrobiłem wszystko co pisaliście wyżej i skaner on line Kaspersky dalej wykrywa szkodniki … raport ze skanowania poniżej …

>

Oczywiście te wpisy najbardziej mnie wkurzają :

#12

Zrób skan AVG AntySpyware 7.5 po update :slight_smile:

Wrzuć po tym koniecznie nowe logi :slight_smile:

#13

AVG nic nie wykrył tylko że nie wiem czy dobrze zrobiłem bo skanowałem w trybie awaryjnym .

> ::Report end

I jeszcze pytanie kiedy mogę włączyć spowrotem przywracanie systemu bo cały czas mam wyłączone po tym jak zaczałem walczyć z tym syfem i ktoś tam wczesniej na forum kazał mi wyłaczyć …

Log z HT nic nie pokazuje szkodliwego…chyba :

  • Logfile of HijackThis v1.99.1
#14

Wrzuć log z ComboFix

#15

proszę o sprawdzenie - to już dla mnie całkowita nowość …

Madzia - 06-12-22 19:35:25,64 Dodatek Service Pack 2
#16

Usuń ręcznie z dysku ten plik: C:\ !KillBox

Poza tym już jest wszystko dobrze. Przywracanie systemu możesz włączyć :slight_smile:

#17

Dla pewności wklejam jeszcze raz nowy log po ponownym uruchomieniu komputera i włączeniu przywarcania systemu…

Zapomniałem wcześniej napisać że użyłem w trybie awaryjnym programu SmitFraudFix i to własnie chyba on wywalił dużo śmieci…skasowałem raport ale było parę wpisów .

Proszę jescze raz o sprawdzenie tego loga i serdecznie dziękuję za pomoc .Gdyby coś jednak nie tak było to proszę o wskazówki.

Madzia - 06-12-22 21:00:15,21 Dodatek Service Pack 2
#18

Log z ComboFix’a czysty :slight_smile:

#19

Ht czysty i skaner On-line Kasperski też już nic nie wykrywa…

Dziękuję wszystkim za pomoc i życzę WeSoŁyCh ŚwIąT !!