Marcin26
(Marcin Czwordon)
13 Czerwiec 2006 09:08
#1
Witajcie.Mam taki oto problem a mianowicie przegladając strony internetowe avast wykrywa mi jakiegoś wirusa: Znaleziono konia trojańskiego Plik: C:\XP\system32\1024\Id COA3.temp[upack]
Nazwa pasożyta Win 32:Zlob-BN [Trj].Wklejam log
Logfile of HijackThis v1.99.1 Scan saved at 11:03:50, on 2006-06-13 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\XP\System32\smss.exe C:\XP\system32\winlogon.exe C:\XP\system32\services.exe C:\XP\system32\lsass.exe C:\XP\system32\Ati2evxx.exe C:\XP\system32\svchost.exe C:\XP\System32\svchost.exe C:\XP\system32\Ati2evxx.exe C:\XP\Explorer.EXE C:\XP\system32\LEXBCES.EXE C:\XP\system32\spoolsv.exe C:\XP\system32\LEXPPS.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\XP\SOUNDMAN.EXE C:\XP\system32\nvraidservice.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\Program Files\Neostrada TP\taskbaricon.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\XP\system32\wbem\unsecapp.exe C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Neostrada TP\Watch.exe C:\Documents and Settings\x\Pulpit\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [NVRaidService] C:\XP\system32\nvraidservice.exe O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\XP\system32\NeroCheck.exe O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\Program Files\Neostrada TP\taskbaricon.exe O4 - HKLM…\Run: [AVK Mail Checker] “C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE” O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Program Files\ShopperReports\Bin\1.1.0.0\ShprRprt.dll (file missing) O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\Program Files\ShopperReports\Bin\1.1.0.0\ShprRprt.dll (file missing) O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol … _en_dl.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\XP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\XP\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\XP\system32\LEXBCES.EXE O23 - Service: ServiceLayer - Unknown owner - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe (file missing)
kuz5
(Kuz5)
13 Czerwiec 2006 10:12
#2
Jeżeli w Dodaj/Usuń będzie ShopperReports , to odinstaluj
Foldery na czerwono usuń ręcznie z dysku a wpisy w HijackThis (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
Usuń jeszcze ten cały folder:
Pobierz program Ewido zrób update i przeskanuj
Marcin26
(Marcin Czwordon)
13 Czerwiec 2006 11:07
#3
Nie moge wywalić tych wpisów w hijack this oczywiście tak jak napisałeś że w trybie awaryjnym i z wyłączonym przywracaniem systemu oraz nigdzie nie moge znaleźć Shopper Reports.
Myszak
(Myszonus)
13 Czerwiec 2006 11:08
#4
C:\Program Files\ShopperReports\Bin\1.1.0.0\ShprRprt.dll (file missing)
Folder ShopperReports usuń ręcznie z dysku.
jakiś komunikat albo coś :?: wróżek nie ma
kuz5
(Kuz5)
13 Czerwiec 2006 11:22
#5
Bo folderu fizycznie może nie być, mogą to być resztki w rejestrze
Wklej loga SilentRunners
W awaryjnym,
skasuj w hjt:
wyszukaj i skasuj plik regperf.exe (prawdopodobnie w c:\windows\system32)
otwórz notatnik i wklej
Plik>>>zapisz jako>>zmień rozszerzenie z .txt na wszystkie pliki>>>zapisz pod nazwą FIX.REG i uruchom
użyj jeszcze smitfraudfix
Przeczyść rejestr np. programem jv16 PowerTools 1.3.0.195
nowe logi
kuz5
(Kuz5)
15 Czerwiec 2006 11:55
#9
Jest ok
Wklej jeszcze log Silenta
adam9870
(adam9870)
17 Czerwiec 2006 08:35
#11
Log z Silent Runners jest ucięty. Poczekaj aż program skończy - poinformuje wtedy odpowiednim komunikatem
Bądź cierpliwy ;]
Gutek
(Gutek)
17 Czerwiec 2006 09:40
#12
zrób tak, otwórz notatnik i wklej:
Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa
Daj już cały loog z Silenta
C:\Program Files\ HbTools \Bin\4.7.2.1\HbtHostIE.dll - folder usuń ręcznie w trybie awaryjnym
Bieniol
(Bbieniol)
17 Czerwiec 2006 09:43
#13
Do usunięcia jeszcze ten folder:
C:\Program Files\ ShopperReports