Trojan w32/DLoader.INNB

adamk800719 · 14 Sierpień 2008 08:49

Witam,

Mam nadzieję, że piszę w odpowiednim wątku. Mam problem z trojanem w32/DLoader.INNB… znalazł go skaner Norman_Malware_Cleaner z tym że nie był go w stanie usunąć. Próbowałem znaleźć jakieś wskazówki w necie jak się pozbyć tego świństwa ale nie dały one rezultatu. Proszę o pomoc. Z góry dziękuję.

huber2t · 14 Sierpień 2008 08:51

Podaj log z Combofix

adamk800719 · 14 Sierpień 2008 09:04

Niesetety to jest Windows Server 2003 i Combofix na nim nie działa mam co prawda HiJackThis to jest z niego log:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:50:12, on 2008-08-14 Platform: Windows 2003 Dodatek SP2 (WinNT 5.02.3790) MSIE: Internet Explorer v7.00 (7.00.6000.16705) Boot mode: Normal Running processes: C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Kaspersky\avp.exe D:\Kaspersky\avp.exe d:\Mobiletech\ATRAX_GPS\GPRS\SerwerGPRSsvc.exe d:\Mobiletech\ATRAX_GPS\FB15\bin\fbserver.exe C:\WINDOWS\system32\Dfssvc.exe C:\WINDOWS\System32\dns.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\ismserv.exe C:\WINDOWS\system32\ntfrs.exe C:\WINDOWS\system32\servicePolonica.exe C:\WINDOWS\system32\lserver.exe C:\WINDOWS\System32\tssdis.exe C:\Program Files\Emapa\MapCenter\Bin\eMapaHTTPIntegrServer.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE D:\Kaspersky\avp.exe C:\Program Files\Broadcom\BACS\BacsTray.exe C:\WINDOWS\system32\ctfmon.exe E:\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\winlogon.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll O4 - HKLM…\Run: [AVP] “D:\Kaspersky\avp.exe” O4 - HKLM…\Run: [bacstray] C:\Program Files\Broadcom\BACS\BacsTray.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [spybotSD TeaTimer] E:\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-20…\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-21-2548456983-2084975609-1151927124-1155…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User ‘sekretariat’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - HKUS.DEFAULT…\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User ‘Default user’) O4 - S-1-5-21-2548456983-2084975609-1151927124-1155 Startup: OpenOfficePL Standard 2006.lnk = C:\Program Files\OpenOfficePL Standard 2006\program\quickstart.exe (User ‘sekretariat’) O4 - S-1-5-21-2548456983-2084975609-1151927124-1155 User Startup: OpenOfficePL Standard 2006.lnk = C:\Program Files\OpenOfficePL Standard 2006\program\quickstart.exe (User ‘sekretariat’) O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SDHelper.dll O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\SPYBOT~1\SDHelper.dll O10 - Broken Internet access because of LSP provider ‘c:\documents and settings\administrator\windows\system32\mswsock.dll’ missing O15 - ESC Trusted Zone: http://download.f-secure.com O15 - ESC Trusted Zone: http://worldmap.f-secure.com O15 - ESC Trusted Zone: http://www.f-secure.com O15 - ESC Trusted Zone: http://www.f-secure.pl O15 - ESC Trusted Zone: http://www.pwik.suwalki.pl O15 - ESC Trusted Zone: http://download.windowsupdate.com O15 - ESC Trusted Zone: http://*.windowsupdate.com O15 - ESC Trusted Zone: http://runonce.msn.com (HKLM) O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM) O15 - ESC Trusted IP range: http://192.168.1.53 O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus … nicode.cab O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 9020152740 O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wodociagi.suwalki.pl O17 - HKLM\Software…\Telephony: DomainName = wodociagi.suwalki.pl O17 - HKLM\System\CCS\Services\Tcpip…{65EB38C7-4ACC-4E6D-A7B8-431B2B862073}: NameServer = 192.168.1.53,194.204.159.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = wodociagi.suwalki.pl O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = wodociagi.suwalki.pl O23 - Service: Lavasoft Ad-Aware Service (aawservice) - - (no file) O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Kaspersky\avp.exe O23 - Service: AX_DataCareSvc - Unknown owner - d:\Mobiletech\ATRAX_GPS\DataCare\DataCareSVC.exe O23 - Service: AX_GUARDIANsvc - Unknown owner - D:\Mobiletech\ATRAX_GPS\Guardian\GuardianSVC.exe O23 - Service: AX_KopiaZapasowa - Unknown owner - D:\Mobiletech\ATRAX_GPS\KopiaZapasowa\KopiaZapasowaSVC.exe O23 - Service: AX_SerwerGPRSsvc - Unknown owner - d:\Mobiletech\ATRAX_GPS\GPRS\SerwerGPRSsvc.exe O23 - Service: AX_SerwerXMLsvc - Unknown owner - d:\Mobiletech\ATRAX_GPS\XML\SerwerXMLsvc.exe O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Firebird Project - D:\Mobiletech\ATRAX_GPS\FB15\bin\fbserver.exe O23 - Service: MapCenterIntegr Server (MapCenterIntegr) - Emapa - C:\Program Files\Emapa\MapCenter\Bin\eMapaHTTPIntegrServer.exe O23 - Service: OracleMTSRecoveryService - Unknown owner - D:\oracle\product\10.1.0\Client_2\bin\omtsreco.exe O23 - Service: ServeRAID Manager Agent (ServeRAIDManagerAgent) - IBM Corporation - C:\Program Files\IBM\ServeRAID Manager\RaidServ.exe O23 - Service: Serwer licencji LexPolonica - Unknown owner - C:\WINDOWS\system32\servicePolonica.exe – End of file - 6965 bytes

Mam nadzieję, że to pomoże

huber2t · 14 Sierpień 2008 09:06

W logu nic nie widzę

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

adamk800719 · 14 Sierpień 2008 09:20

Ok jak to zrobię to od razu wrzucę. A mam pytanie co może być przyczyną, że po kliknięciu zeskanowanej aplikacji wyżej opisanym programem Norman w menadżerze zadań uruchamiają się dziwne procesy o nazwach typu np LIQJ3X.exe i zapisują się w C:/Windows/system/ mając wygląd ikony strony html? Czy to może mieć związek z tym Trojanem? Czy może jest jakiś sposób na usunięcie tego problemu?

P.S. Raport wrzucę niedługo

Przepraszam nie w C:/Windows/System tylko w C:/Windows/

huber2t · 14 Sierpień 2008 09:21

moze miec, ale jelsi combofxi niedziała to nie sprawdzimy mozesz ewentualnie podac log z Deckard’s System Scanner

Gutek · 14 Sierpień 2008 09:55

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

adamk800719 · 14 Sierpień 2008 10:21

Log z Deckard’s System Scanner

http://wklejto.pl/7936

Gutek · 14 Sierpień 2008 16:13

Użyj programu HostsXpert i ustaw domyślne ustawienia plikowi hosts.

Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz Administrator messaagers

Skan http://www.kaspersky.pl/virusscanner.html