Trojan


(ryczka) #1

Przeskanowałem kompa Kaspersky Online i okazało się że jest zainfekowany trojanem. Na forum przeczytałem że najlepiej skorzystać z HijackThis i podać loga do sprawdzenia,a co dalej nie mam zielonego pojęcia.Może by mnie oświecono.

Logfile of HijackThis v1.99.1

Scan saved at 14:13:23, on 2006-11-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Winamp\winampa.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

E:\Folder pobierań\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Proszę o pomoc


(adam9870) #2

Pozamykaj porty robakom. W tym celu użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Log masz ok.

Proszę podać dokładną ścieżkę do zainfekowanego pliku.


(Gutek) #3

Jest czysto, podaj lokalizację trojana


(ryczka) #4

Lokalizacja:E\Trojan.Win32.KillProc.p


(adam9870) #5

Ale chodzi o dokładną ścieżkę, a nie partycję na której zainfekowany plik się znajduje.

Czy ścieżka wygląda np. tak:

C:\WINDOWS\System32\svcchost.exe


(ryczka) #6

Nie mam pojęcia, przepisałe to co pisało w raporcie po przeskanowaniu. Prosze o wyrozumiałość jestem zieloniutki.


(adam9870) #7

Hmmm... pokaż treść raportu.

A jeśli nie to puść jeszcze raz skanowanie i tam powinno pisać (albo w raporcie albo jakiś alert wyskoczy) gdzie konkretnie znajduje się zainfekowany plik.


(ryczka) #8

Znaczki pozmieniałem na zielone jeden został żółty.

Złączono Posta : 06.11.2006 (Pon) 16:40

Podaję treść raportu:

----------------------------------------------

 KASPERSKY ONLINE SCANNER REPORT

 6 listopad 2006 16:36:55

 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

 Kaspersky Online Scanner wersja: 5.0.83.0

 Ostatnia aktualizacja Kaspersky Anti-Virus 6/11/2006

 Liczba wpisów w bazie danych Kaspersky Anti-Virus225078

-------------------------------------------------------------------------------


Ustawienia skanowania:

	Skanowanie przy użyciu następujących baz danych: standardowe

	Skanuj archiwa: tak

	Skanuj pocztowe bazy danych: tak


Obszar skanowania - Foldery:

	E:\


Statystyki skanowania:

	Liczba skanowanych obiektów: 11711

	Liczba wykrytych wirusów: 1

	Liczba zainfekowanych obiektów: 4 / 0

	Liczba podejrzanych obiektów: 0

	Czas trwania skanowania: 00:07:52


Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

E:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominięty

E:\System Volume Information\_restore{D8D42B7F-AEB0-4113-A875-60D3C4D2544D}\RP8\A0000858.exe/stream/data0004	Zainfekowanych: Trojan.Win32.KillProc.p	pominięty

E:\System Volume Information\_restore{D8D42B7F-AEB0-4113-A875-60D3C4D2544D}\RP8\A0000858.exe/stream	Zainfekowanych: Trojan.Win32.KillProc.p	pominięty

E:\System Volume Information\_restore{D8D42B7F-AEB0-4113-A875-60D3C4D2544D}\RP8\A0000858.exe	NSIS: zainfekowany - 2	pominięty

E:\System Volume Information\_restore{D8D42B7F-AEB0-4113-A875-60D3C4D2544D}\RP8\A0000858.exe	UPX: zainfekowany - 2	pominięty


Proces skanowania został zakończony.

Złączono Posta : 06.11.2006 (Pon) 17:34

Czy może mi ktoś pomóc w usunięciu tego trojana w sposób przystępny?


(Bbieniol) #9

Wyłącz na chwilę przywracanie systemu:

Panel sterowania --> System --> Przywracanie systemu

Tam zaznacz opcję Turn off System Restore lub Turn off System Restore on all drives (Wyłącz przywracanie na wszystkich dyskach). Zatwierdzasz wszystkie zmiany.