TROJAN winjyg32.dll


(Narcyz551) #1

takie coś mam na swoim kompyterze. bardzo proszę o pomoc w prostym języku, bo jestem w tym zielona. z góry dziękuję. ,

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:41:17, on 2009-05-14

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\vsnpstd.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\windows\ld08.exe

C:\windows\pp06.exe

C:\windows\freddy42.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\drivers\svchost.exe

C:\WINDOWS\System32\SYS32DLL.exe

C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

O2 - BHO: 218538 helper - {5E5EFA8F-9F53-418E-B78E-44866667A404} - C:\WINDOWS\System32\218538\218538.dll

O2 - BHO: 199638 helper - {65768B48-B004-4B26-9BAC-A3BAC39643D1} - C:\WINDOWS\System32\199638\199638.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: 796525 helper - {E7F15AC4-E0A9-43F0-921B-70DFEA621220} - C:\WINDOWS\System32\796525\796525.dll

O4 - HKLM..\Run: [bearFlix] "C:\Program Files\BearFlix\bearflix.exe" /pause

O4 - HKLM..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM..\Run: [sysldtray] C:\windows\ld08.exe

O4 - HKLM..\Run: [pp] C:\windows\pp06.exe

O4 - HKLM..\Run: [sysfbtray] C:\windows\freddy42.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU..\Run: [sVCHOST.EXE] C:\WINDOWS\System32\drivers\svchost.exe

O4 - HKCU..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"

O4 - HKCU..\Run: [sYS32DLL] SYS32DLL

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll/206 (file missing)

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.polbank24.pl/pki/xenroll.cab

O16 - DPF: {1E53EA77-34F2-474E-9046-B2B0C86F1821} (OggX Control) - http://www.eska.pl/streamplayers/OggX.ocx

O16 - DPF: {A7196C8E-35A5-4FF0-9E46-E28918B5CAF6} (GameDesire Domino) - http://67.15.101.3/g_bin/pl/domino_2_0_0_28.cab

O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbles&Diamonds&Runes) - http://67.15.101.3/g_bin/pl/marbles_2_0_0_27.cab

O16 - DPF: {AD7013FF-1D9A-4F36-94A6-3CD408A663F9} (GameDesire BreakOut) - http://67.15.101.3/g_bin/pl/breakout_2_0_0_24.cab

O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://67.15.101.3/g_bin/pl/mahjong_2_0_0_24.cab

O17 - HKLM\System\CCS\Services\Tcpip..{1CDF6359-88B6-408C-BCB4-C01E43747FCF}: NameServer = 85.255.113.94,85.255.112.201

O17 - HKLM\System\CCS\Services\Tcpip..{A982423E-DDF1-4864-B778-917B7C3A8570}: NameServer = 85.255.113.94,85.255.112.201

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.201

O17 - HKLM\System\CS1\Services\Tcpip..{1CDF6359-88B6-408C-BCB4-C01E43747FCF}: NameServer = 85.255.113.94,85.255.112.201

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.201

O17 - HKLM\System\CS2\Services\Tcpip..{1CDF6359-88B6-408C-BCB4-C01E43747FCF}: NameServer = 85.255.113.94,85.255.112.201

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.94 85.255.112.201

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: winjyg32 - C:\WINDOWS\SYSTEM32\winjyg32.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O24 - Desktop Component 0: (no name) - http://www.trucks.nl/TruckPics/size2/429026_3.jpg

--

End of file - 5386 bytes


(96jasio96) #2

:arrow: Sfiksuj w HijackThis

Pobierasz ComboFix , ale nie uruchamiasz go . Tworzysz dokument tekstowy o nazwie CFScript . Zapisujesz w nim

.

Zapisujesz go obok ComboFix'a . Przeciągasz CFScript na ikonke ComboFix i upuszczasz . Ma się rozpocząć usuwanie . (Tak jak na rysunku)

CFScript-8a-4.gif

Daj log z usuwania


(Narcyz551) #3

Zapytanie-konsola odzyskiwania-informuje mnie ż nie mam zainstalowane KONSOLI ODZYSKIWANIA SYSTEMU WINDOWS, I CHCE JĄ TERAZ ZAINSTALOWAĆ, instalować?


(96jasio96) #4

Tak, zainstaluj .


(dethloe123) #5

Narcyz551 tutaj się nie wkleja logów! Są specjalne strony np. http://www.wklej.org/ a w poście dajesz tylko link.


(Narcyz551) #6

http://www.wklej.org/id/90801/

-- Dodane 14.05.2009 (Cz) 21:37 --

jesteś jeszcze?

-- Dodane 14.05.2009 (Cz) 21:47 --

hallo, pomocy, czy ktoś mi powie co dalej robić??


(Leon$) #7

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Narcyz551) #8

ale to był log z usuwania combofix.. czy ja czegoś nie rozumiem?


(Leon$) #9

ale w tym logu jest to co jest i masz zrobić skan Combofixem uruchamiając go z pliku który podałem

:slight_smile:


(Narcyz551) #10

http://www.wklej.org/id/90829/ zrobione:)


(Leon$) #11

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

:slight_smile:


(Narcyz551) #12

wyczyść rejestr- znaczy uruchom cleaner, czy napraw? bo zrobiłam analizę i skanuj żeby znaleźćproblem


(Leon$) #13
  1. uruchom cleaner

2.zakładka rejestr - skanuj by znaleźć problemy - napraw zaznaczone problemy

:slight_smile:


(Narcyz551) #14

TĄ INSTALKĘ COMBOFIX NORMALNIE ODINSTALOWAĆ CAŁY PROGRAM, CZY TYLKO USUNĄĆ? nie bardzo jeszcze rozumiem tą optymalizację uruchamiania;)) jestem słaba w te klocki.niestety


(Leon$) #15

usunąć

start >> uruchom >> msconfig >> uruchamianie >> wyczyść krateczki przy

zastosuj

:slight_smile: