magi2
(Magi2)
1 Styczeń 2007 13:29
#1
Mam trojana z data 21.12.2006 oczywiscie zaifekowany przez link z gg nie moge sobie porazic z jego usunieciem co chwilke tworza sie inne kompie mam system xp jest ktos mi w stanie pomoc jak to usunac
boczi
(boczi)
1 Styczeń 2007 13:30
#2
Odłącz neta
Przeskanuj sobie kompa antywirusem np Avastem jak nie masz innego
Przekanuj antyspyware
SpyBot+Ad-aware+ApywareTerminator (chociażby)
Użyj programu Windows Worms Door Cleaner i pozamykaj porty
Bieniol
(Bbieniol)
1 Styczeń 2007 13:35
#4
Przede wszystkim wrzuć zestaw logów - HijackThis + Silent Runners
magi2
(Magi2)
1 Styczeń 2007 14:10
#5
tutaj zrobiłem loga :
Logfile of HijackThis v1.99.1 Scan saved at 15:16:17, on 2007-01-01 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\LEXBCES.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\LEXPPS.EXE D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\Program Files\Alwil Software\Avast4\ashServ.exe D:\Program Files\ewido anti-spyware 4.0\guard.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\wscntfy.exe D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\WINDOWS\system32\devldr32.exe D:\Program Files\Alwil Software\Avast4\ashWebSv.exe D:\Program Files\Maxthon\Maxthon.exe D:\WINDOWS\system32\taskdir.exe D:\net\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM…\Run: [Agent] D:\WINDOWS\system32\alsys.exe O4 - HKLM…\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\RunServices: [systemTools] D:\WINDOWS\system32\kernels88.exe O4 - HKCU…\Run: [Agent] D:\WINDOWS\system32\alsys.exe O4 - HKCU…\Run: [taskdir] D:\WINDOWS\system32\taskdir.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 8490008762 O16 - DPF: {6ABE4BC3-7253-418E-85E8-F334A73154D3} (CSmartClient Object) - http://www.smart-clip.com/activex/SmartClip.cab O17 - HKLM\System\CCS\Services\Tcpip…{3546E7D1-ABD8-4B2A-8687-7B43C31A619E}: NameServer = 193.29.205.128 O17 - HKLM\System\CCS\Services\Tcpip…{B6A3EBB6-DB5E-4349-9D4D-8DAF3E3A3EDF}: NameServer = 193.29.205.128 O17 - HKLM\System\CCS\Services\Tcpip…{B6DBCFEB-120F-4D9C-A771-15C885647348}: NameServer = 193.29.205.128 O17 - HKLM\System\CCS\Services\Tcpip…{F36EF55D-2F9C-415C-B8B9-222100A6DA38}: NameServer = 193.29.205.128 O17 - HKLM\System\CS1\Services\Tcpip…{3546E7D1-ABD8-4B2A-8687-7B43C31A619E}: NameServer = 193.29.205.128 O17 - HKLM\System\CS2\Services\Tcpip…{3546E7D1-ABD8-4B2A-8687-7B43C31A619E}: NameServer = 147.178.1.5 O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - D:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Program Files\ewido anti-spyware 4.0\guard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE O23 - Service: ServiceLayer - Nokia. - D:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
nie wiem czy cos jest nie potrzebnego
adam9870
(adam9870)
1 Styczeń 2007 14:37
#6
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.
Ściągasz program KillBox , zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:
D:\WINDOWS\system32\alsys.exe
D:\WINDOWS\system32\kernels88.exe
D:\WINDOWS\system32\taskdir.exe
po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, a dopiero po wklejeniu ostatniej zgadzasz się na restart.
Uruchamiasz HijackThis => klikasz Do a system scan only => pokaże się lista wpisów => stawiasz ptaszek przy wpisach:
=> klikasz Fix checked i potwierdzasz usunięcie.
Po wykonaniu proszę pokazać nowy log z HijackThis plus z SilentRunners .
magi2
(Magi2)
1 Styczeń 2007 15:01
#7
Logfile of HijackThis v1.99.1 Scan saved at 16:06:25, on 2007-01-01 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\LEXBCES.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\LEXPPS.EXE D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\Program Files\Alwil Software\Avast4\ashServ.exe D:\Program Files\ewido anti-spyware 4.0\guard.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\Program Files\Alwil Software\Avast4\ashWebSv.exe D:\WINDOWS\Explorer.EXE D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE D:\WINDOWS\system32\spoolsvv.exe D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\Windows\xpupdate.exe D:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe D:\WINDOWS\system32\devldr32.exe D:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe D:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe D:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe D:\Program Files\Outlook Express\msimn.exe D:\WINDOWS\system32\wuauclt.exe D:\Program Files\Common Files\Teleca Shared\Generic.exe D:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe D:\Program Files\Maxthon\maxthon.exe D:\WINDOWS\system32\wscntfy.exe D:\WINDOWS\system32\wuauclt.exe D:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM…\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [PCSuiteTrayApplication] D:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup O4 - HKLM…\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [LXSUPMON] D:\WINDOWS\system32\LXSUPMON.EXE RUN O4 - HKLM…\Run: [system] D:\WINDOWS\system32\kernels88.exe O4 - HKLM…\Run: [spoolsvv] D:\WINDOWS\system32\spoolsvv.exe O4 - HKLM…\Run: [sony Ericsson PC Suite] “D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” /startoptions O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe O4 - HKCU…\Run: [PcSync] D:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe” O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 8490008762 O16 - DPF: {6ABE4BC3-7253-418E-85E8-F334A73154D3} (CSmartClient Object) - http://www.smart-clip.com/activex/SmartClip.cab O17 - HKLM\System\CCS\Services\Tcpip…{3546E7D1-ABD8-4B2A-8687-7B43C31A619E}: NameServer = 203.115.193.156 O17 - HKLM\System\CCS\Services\Tcpip…{B6A3EBB6-DB5E-4349-9D4D-8DAF3E3A3EDF}: NameServer = 203.115.193.156 O17 - HKLM\System\CCS\Services\Tcpip…{B6DBCFEB-120F-4D9C-A771-15C885647348}: NameServer = 203.115.193.156 O17 - HKLM\System\CCS\Services\Tcpip…{F36EF55D-2F9C-415C-B8B9-222100A6DA38}: NameServer = 203.115.193.156 O17 - HKLM\System\CS1\Services\Tcpip…{3546E7D1-ABD8-4B2A-8687-7B43C31A619E}: NameServer = 203.115.193.156 O17 - HKLM\System\CS2\Services\Tcpip…{3546E7D1-ABD8-4B2A-8687-7B43C31A619E}: NameServer = 80.251.80.8 O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - D:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - D:\Program Files\ewido anti-spyware 4.0\guard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE O23 - Service: ServiceLayer - Nokia. - D:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
Złączono Posta : 01.01.2007 (Pon) 16:04
adam9870
(adam9870)
1 Styczeń 2007 15:15
#8
Czy aby na pewno użyłeś Windows Worms Doors Cleanera , tak jak radziłem ??
Ściągasz program KillBox , zaznaczasz Delete on reboot , w polu full path of file wklej ścieżki:
D:\WINDOWS\system32\spoolsvv.exe
C:\Windows\xpupdate.exe
po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, a dopiero po wklejeniu ostatniej zgadzasz się na restart.
Usuń w hjt.
Po wykonaniu nowe logi. Tylko tym razem z silenta ma być cały, bo teraz jest ucięty.
asterisk
(Asterisk)
1 Styczeń 2007 15:40
#9
magi2 - proszę używać tagów
boczi
(boczi)
1 Styczeń 2007 15:40
#10
magi2 proszę poprawić wiadomości, używając opcji Zmień. Logi obejmujemy w tagi. Informacja: http://forum.dobreprogramy.pl/viewtopic.php?t=36654