Monolito
(Jarzy2001)
7 Styczeń 2008 16:23
#1
Komp zainfekowany został trojanem Trojan.vb.aqt i nie moge się go pozbyć.Usunięty i tak wraca Zamieszczam log z HiJackThis:
Logfile of HijackThis v1.99.1 Scan saved at 17:20:42, on 2008-01-07 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\System32\DVDRAMSV.exe C:\Program Files\ewido anti-spyware 4.0\guard.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\RAMASST.exe C:\WINDOWS\explorer.exe C:\Program Files\Winamp\winamp.exe C:\PROGRA~1\mozilla.org \Mozilla\mozilla.exe C:\Documents and Settings\Lukasz\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.toshiba.com/search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://users.iptelecom.net.ua/~codecs/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://toshibadirect.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: Shell= F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet Helper - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM…\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM…\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” O4 - HKCU…\Run: [Mozilla Quick Launch] “C:\Program Files\mozilla.org \Mozilla\Mozilla.exe” -turbo O4 - HKCU…\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU…\Run: [bitComet] “C:\Program Files\BitComet\BitComet.exe” O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.toshiba.com O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
adam9870
(adam9870)
7 Styczeń 2008 16:47
#2
Uwaga : na czas wykonywania czynności wyłącz SpybotSD TeaTimer. W przeciwnym wypadku naniesione zmiany mogą nie zostać zapisane.
F2 - REG:system.ini: Shell= F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
Usuń powyżej przedstawione wpisy HijackThis.
Gdzie ten trojan jest wykrywany? W jaki sposób próbowałeś go usunąć?
Wklej log z ComboFix .
Gutek
(Gutek)
7 Styczeń 2008 17:56
#3
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350
Monolito
(Jarzy2001)
7 Styczeń 2008 19:10
#4
Log z ComboFix: http://wklej.org/id/72edde116a
Do skanowania używałem:Ewido Antyspyware 4.0,Ad-Ware SE,Spyware Terminator,Spybot S&D a do ochrony używam Spywere Blaster’a.
adam9870
(adam9870)
7 Styczeń 2008 19:56
#5
Na czas wykonywania czynności wyłącz SpybotSD TeaTimer. .
Wklej do Notatnika:
File::
C:\autorun.inf
C:\WINDOWS\Tasks\AC6453D790FFC833.job
Folder::
c:\docume~1\lukasz\applic~1\knobbl~1
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo
Gutek
(Gutek)
7 Styczeń 2008 20:04
#6
Monolito
(Jarzy2001)
8 Styczeń 2008 15:52
#7
Zrobiłem wg.wskazówek.Oto log z CombiFix’a: http://wklej.org/id/20a05d4c21
Gutek
(Gutek)
8 Styczeń 2008 20:33
#8
Monolito
(Jarzy2001)
10 Styczeń 2008 17:35
#9
Jakiś trefny ten program-znajduje jakiś spyware,ale nie ma żadnych przycisków do usuwania go
Monolito
(Jarzy2001)
13 Styczeń 2008 15:37
#11
Chodzi mi o ten online’owt skaner.On sie w trakcie zatrzymuje,daje znać o spywarze i nie ma opcji usuwania tego szajsu!W dodatku ctfmon.exe został znowu wykryty przez Ewido i usunięty.Jest jakiś program,który chroni przed wejściem tego trojana do systemu?
Monolito
(Jarzy2001)
13 Styczeń 2008 17:43
#13
Raport z SDfix —> http://wklej.org/id/f247413ccc
Tak na marginesie to chciałbym sie dowiedzieć w jaki spsób ochronić sie przed inwazją Trojaa.vb.aqt W innym wątku zamieściłem logi z kompa koleżanki,która też ma tego samego trojana.Nie ma ona jednak internetu i jedyna opcja wywalenia od niej tego trojana to przenoszenie logów i programów czyszczących na pendrivach,które są drogą przekazywania tego upierdliego trojana.Jest jakaś możliwośc,żebym mógł przez pendriva przenosić do niej potrzebne pliki i jednocześnie nie wracał z trojanem na pendrivie?Który program na pewno usunąłby ewentualnego trojana na pendrivie,po tym jak użyje go moja qmpela w swoim kompie?
Gutek
(Gutek)
13 Styczeń 2008 19:11
#14
Masz zarażonego Pendrive :mrgreen:
Ściągnij Perlovga Removal Tool - http://www.softpedia.com/get/Security/S … Tool.shtml
Monolito
(Jarzy2001)
14 Styczeń 2008 21:58
#15
Mam ten program.Uruchamiam narzędzie w tryie awaryjnym i daje remove.Ale czy przypadkiem trojan nie zdąż przeskoczyć na kompa z pendriva zanim go usune Prelovgiem?
Monolito
(Jarzy2001)
29 Styczeń 2008 15:18
#17
Czy jest jakiś sposób,żeby uchronić sie przed infekcją Trojan.vb.aqt?Co z teog,że dam tu setke logów i kolejne tysiąc trojanów wywale skoro i tak wrócą :(?
Gutek
(Gutek)
29 Styczeń 2008 20:01
#18
Jest - nie wchodzić na strony porno, nie ściągać cracków itd.
Monolito
(Jarzy2001)
30 Styczeń 2008 14:25
#19
Ha ha!Bardzo śmieszne Nie bawie sie w strony porno i nie ściągam cracków.Chodziło mi bardziej o zapobieganie w postacie jakiegoś firewalla czy czegoś w podobie
Gutek
(Gutek)
30 Styczeń 2008 15:39
#20