Trojan smss.exe


(system) #1

witam,

otóż mam taki problem z tym wirusem i nie mam pojęcia jak go usunąć, czytałem stertę tematów o nim ale nie pomagają te sposoby i postanowiłem wkleić loga

mam nadzieję że mi pomożecie

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:33:48, on 2009-11-01

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWSP\System32\smss.exe

C:\WINDOWSP\system32\winlogon.exe

C:\WINDOWSP\system32\services.exe

C:\WINDOWSP\system32\lsass.exe

C:\WINDOWSP\system32\svchost.exe

C:\WINDOWSP\System32\svchost.exe

C:\WINDOWSP\Explorer.EXE

C:\WINDOWSP\system32\spoolsv.exe

C:\WINDOWSP\system32\acs.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\System\smss.exe

C:\WINDOWSP\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [TWCU] "C:\Program Files\TP-LINK\TWCU\TWCU.exe" -nogui

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero 7\InCD\NBHGui.exe

O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe

O4 - HKLM\..\Run: [SearchSettings] C:\Program Files\Search Settings\SearchSettings.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWSP\system32\spool\drivers\w32x86\3\hpztsb08.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWSP\system32\ctfmon.exe

O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden

O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S

O4 - HKCU\..\Run: [Wru] f:\Program Files\Wru\Wru.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWSP\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWSP\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWSP\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWSP\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: autostart.exe

O4 - Startup: ord32.exe

O4 - Startup: smgr32.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWSP\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWSP\bdoscandel.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {B1D0DBA5-8AB5-4501-A7A0-633FF370B035} (CraypasWebCtrl Class) - http://channel.dontblynk.com/Launcher/KAWebStarter.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{8E7CA03C-3DA8-497B-B246-46CDB406E3B7}: NameServer = 10.10.5.1,194.204.152.34

O17 - HKLM\System\CS1\Services\Tcpip\..\{8E7CA03C-3DA8-497B-B246-46CDB406E3B7}: NameServer = 10.10.5.1,194.204.152.34

O17 - HKLM\System\CS2\Services\Tcpip\..\{8E7CA03C-3DA8-497B-B246-46CDB406E3B7}: NameServer = 10.10.5.1,194.204.152.34

O23 - Service: TP-LINK Configuration Service (ACS) - Unknown owner - C:\WINDOWSP\system32\acs.exe

O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWSP\system32\GameMon.des.exe (file missing)


--

End of file - 5667 bytes

(Pan Ziombl) #2

to nie jest trojan


(system) #3

dzięki..a teraz powiedz jak usunąć to robactwo ;p


(jessica) #4

A właśnie, że to jest Trojan!

C:\WINDOWSP\System32\smss.exe - ten jest prawidłowy - porównaj ścieżki.

Ze względu na obecność także innych infekcji, a zwłaszcza GODZILLI, chyba najlepiej byłoby użyć > ComboFix

jessi


(Pan Ziombl) #5

mój błąd.rzeczywiście ą infekcje i to nie jedna

scan spybotem


(system) #6

logo z ComboFixa

http://wklej.org/hash/7c0402b311/


(jessica) #7

Część ComboFix już usunął.

Wklej do Notatnika :

File::

c:\documents and settings\owned\ord32.dll

c:\documents and settings\owned\Menu Start\Programy\Autostart\autostart.exe

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

jessi


(system) #8

no i powstało to :smiley:

http://wklej.org/hash/1091af981c/


(jessica) #9

Jest OK.

Usuń ręcznie folder C:**** Qoobox.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(system) #10

spoko dzięki za poświęcony czas :smiley: