Wirus! Win32:Agent-JJU [trj]


(Bogdan Korzonek) #1

MAm b. duży problem na komputerze mej nieobecnej kuzynki pojawil sie wirus "Win32:Agent-JJu[trj]...

Zarazil plik w folderze Win32:| a dokladniej vtr323.dll...

Chcialbym sie go pozbyc przed powrotem kuzynki...

Sam wirus zablokowal jakiekolweik mozliwosci.....

Nie moge wlaczyc Panelu sterowania.....

Prosze o pomoc....jak najszybciej:)

Z gory dziekuje ....

Bogdan.


(Krzychuu) #2

Wrzuć logi z HiJack This i Silent Runners.

Oraz log z ComboFix.


(Bogdan Korzonek) #3

Sorki ale mozesz mowic jasniej......ja w takich zeczaach jestem ciemnota...

Software to co innego niz Hardware :D:D:D...


(Krzychuu) #4

xbit3 wejdź na linki, które podałem i się dowiesz.


(Bogdan Korzonek) #5

Logfile of HijackThis v1.99.1

Scan saved at 23:33:09, on 2007-08-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\soundman.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\NEOSTR~1\taskbaricon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Common Files\MicroWorld\Agent\MWASER.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\MicroWorld\Agent\MWAgent.exe

C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\NEOSTR~1\ComComp.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\NEOSTR~1\Watch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Gosia\Pulpit\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O4 - HKLM..\Run: [soundMan] soundman.exe

O4 - HKLM..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\taskbaricon.exe

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [Picasa Media Detector] C:\Documents and Settings\Gosia\Moje dokumenty\Picasa2\PicasaMediaDetector.exe

O4 - HKLM..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [iNTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip..{9106BE1A-DEDF-45E0-83FE-8199A15AB404}: NameServer = 194.204.152.34 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\WINDOWS\system32\hrum323.txt

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Program Files\Common Files\MicroWorld\Agent\MWASER.EXE

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - D:\Nowy folder\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - D:\Nowy folder\Spyware Doctor\swdsvc.exe


(boczi) #6

xbit3 proszę poczytać zasady działu, przyklejone tematy: http://forum.dobreprogramy.pl/viewforum.php?f=16

objąć log tagami i używać polskich znaków w pisowni.


(Bogdan Korzonek) #7

Tutaj jest to co wyskoczyło wg. instrukcji....

Czekam na odpowiedż:slight_smile:


(jessica) #8

Miałeś dać jeszcze logi z ComboFixa i Sillenta.

Ale przed zrobieniem logu z ComboFixa zrób to:

Plik >>> zapisz pod nazwą CFScript.txt. Plik przeciągnij i upuść na ikonę ComboFixa. Ma się rozpocząć usuwanie.

Wklej do Notatnika :

File::

C:\WINDOWS\system32\hrum323.txt

C:\WINDOWS\system32\printer.exe

C:\WINDOWS\system32\vtr323.dll

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– tak jak na tym obrazku -->

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. Powinien jednocześnie powstać log.

Po restarcie usuń ręcznie folder C: **** Qoobox.

Tego "vtr323.dll" nie widać w logu, ale dałam do usuwania, bo należy do tej samej infekcji, co "hrum323.txt" i "printer.exe".

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem daj:

1) log z Hijacka

2) log z Sillenta - Log wklej na http://wklej.org/, a w poście daj tylko link.

3) log z ComboFixa - Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi