wito1988
30 Sierpień 2006 08:15
#1
Witam wszystkich, wczoraj wieczorem zaatakowały mnie trojany z którymi nie jestem w stanie sobie poradzić. Wyskakują podczas uruchomienia Internetu. Wykasowały mi wszystkie story z ulubionych a mój antywirus (avast) chyba sobie z nimi nie radzi bo mimo że daję kwarantannę, albo usuń trojany znowu wracają i zatruwają mi życie.
Dołączam swoje logi i bardzo proszę kogoś bardziej cykniętego niż ja o ich sprawdzenie i instrukcję jak postępować. Pozdrawiam.
Logfile of HijackThis v1.99.1 Scan saved at 10:06:23, on 2006-08-30 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Moje Programy\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Moje Programy\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\lssc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Moje Programy\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Moje Programy\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sucker.exe C:\WINDOWS\System32\sucker.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\PROGRA~1\MOJEPR~1\ALWILS~1\Avast4\ashDisp.exe C:\PROGRA~1\MOJEPR~1\A4Tech\Mouse\Amoumain.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Moje Programy\Hotkey\Hotkey.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe C:\PROGRA~1\NEOSTR~1\ComComp.exe C:\PROGRA~1\NEOSTR~1\Watch.exe C:\WINDOWS\system32\cmd.exe G:\Programy\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Moje Programy\Adobe reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\MOJEPR~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [WheelMouse] c:\PROGRA~1\MOJEPR~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [Hotkey] C:\Program Files\Moje Programy\Hotkey\Hotkey.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [Windows MS Update 32] sucker.exe O4 - HKLM…\RunServices: [Windows MS Update 32] sucker.exe O4 - HKLM…\RunOnce: [Windows MS Update 32] sucker.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Moje Programy\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [Windows MS Update 32] sucker.exe O4 - HKCU…\RunOnce: [Windows MS Update 32] sucker.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Moje Programy\Adobe reader\Reader\reader_sl.exe O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MOJEPR~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip…{5577DA6F-C90F-44EB-B465-2C458143C9E7}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Moje Programy\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Moje Programy\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Moje Programy\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Moje Programy\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Network Location Manager - Unknown owner - C:\WINDOWS\system32\lssc.exe
“Silent Runners.vbs”, revision 46, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” FATAL ERROR! ------------ “Silent Runners” cannot use WMI to identify the operating system. This is caused by corruption of the WMI installation. WMI is complex and it is recommended that you use a Microsoft tool, “WMIDiag.vbs,” to diagnose WMI on your system. It can be downloaded here: http://go.microsoft.com/fwlink/?LinkId=62562
Bieniol
30 Sierpień 2006 08:26
#2
Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe Network Location Manager
W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):
Co do Silenta, to poczytaj tutaj --> http://www.searchengines.pl/phpbb203/in … opic=15989 <-- tam masz opis wszystkich błędów
Po zabiegach dajesz nowy log z Hijacka + log z Silenta
MarS
30 Sierpień 2006 08:28
#3
Żaden trojan nie może Ci niczego zniszczyć. Ty masz po prostu infekcję wirusową, której Twój Avast nie potrafi wyleczyć.
Ja gołym okiem widzę do usunięcia:
C:\WINDOWS\System32\sucker.exe
C:\WINDOWS\System32\sucker.exe
O4 - HKLM…\Run: [Windows MS Update 32] sucker.exe
O4 - HKLM…\RunServices: [Windows MS Update 32] sucker.exe
O4 - HKLM…\RunOnce: [Windows MS Update 32] sucker.exe O4 - HKCU…\Run: [Windows MS Update 32] sucker.exe
O4 - HKCU…\RunOnce: [Windows MS Update 32] sucker.exe
Dodatkowe infromacje:
http://www.sophos.com/security/analyses … botgj.html
Poza tym zainstaluj jakiś porządny program antywirusowy jak NOD32 http://www.nod32.pl
Do trojanów natomiast uzywa się The Cleanera http://www.moosoft.com
wito1988
30 Sierpień 2006 09:35
#4
Wykonałem wszystko zgodnie z instrukcją.
Nie udało mi się znaleźć po Skanie hijackiem wpisu
O23 - Service: Network Location Manager - Unknown owner - C:\WINDOWS\system32\lssc.exe
A to skan hijacka
Logfile of HijackThis v1.99.1 Scan saved at 11:21:04, on 2006-08-30 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Moje Programy\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Moje Programy\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\PROGRA~1\MOJEPR~1\ALWILS~1\Avast4\ashDisp.exe C:\PROGRA~1\MOJEPR~1\A4Tech\Mouse\Amoumain.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Moje Programy\Hotkey\Hotkey.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Moje Programy\Adobe reader\Reader\reader_sl.exe C:\Program Files\Moje Programy\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Moje Programy\Alwil Software\Avast4\ashMaiSv.exe C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe C:\PROGRA~1\NEOSTR~1\ComComp.exe C:\PROGRA~1\NEOSTR~1\Watch.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\ftp.exe C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Moje Programy\Adobe reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\MOJEPR~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [WheelMouse] c:\PROGRA~1\MOJEPR~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [Hotkey] C:\Program Files\Moje Programy\Hotkey\Hotkey.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\RunOnce: [ATIPRB] C:\WINDOWS\system32\rundll32.exe /g O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Moje Programy\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Moje Programy\Adobe reader\Reader\reader_sl.exe O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MOJEPR~1\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip…{5577DA6F-C90F-44EB-B465-2C458143C9E7}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Moje Programy\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Moje Programy\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Moje Programy\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Moje Programy\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
Jak chcę zrobić skan Silent Runners to wyskakuje mi jakiś błąd i robi tylko to
“Silent Runners.vbs”, revision 46, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” FATAL ERROR! ------------ “Silent Runners” cannot use WMI to identify the operating system. This is caused by corruption of the WMI installation. WMI is complex and it is recommended that you use a Microsoft tool, “WMIDiag.vbs,” to diagnose WMI on your system. It can be downloaded here: http://go.microsoft.com/fwlink/?LinkId=62562
system
30 Sierpień 2006 10:00
#6
