Wyskakuje okienko - trojan na kompie


(Jacek8526) #1

Witam

Prosze kogos doswiadczonego o sprawdzenie loga, cala noc walczylem z tym zeby mi filmiki na stronkach chodzily i wgrywalem codeki nio i … wiadomo :confused:

i w procesach nagle pojawilo sie cos takiego jak pmmon.exe i jeszcze jedem ■■■■ tez z tym związany … walczylem ostro i nic nie pomagalo dopiero po jakims czasie wpadlem na pomysl :mrgreen: zeby to gówienko usunąc z F8 i niby go juz nie ma ale prosze o sprawdzenie loga

symptomy:

  • co chwile wyskakujące okienka ze system zainfekowany Trojanem

  • net chodzil nieco wolniej

  • dodatkowy pasek w przeglądarce pod adresem

Jestem nowy i jesli cos zrobie nie tak to wybaczcie :stuck_out_tongue:


(adam9870) #2

Log masz ok.

Możesz ciachnąć ten wpis:

Miałeś fałszywą paczkę kodeków. Na wszelki wypadek możesz wkleić log z SilentRunners.

Jaka obecnie jest sytuacja ?? Tzn. działają już filmy? Jeśli nie to podaj jakiej przeglądarki używasz, na jakich stronach, czy masz zainstalowany jakiś odtwarzacz etc.


(Jacek8526) #3

Ok wyciąlem ten wpis co sugerowales

Loga nie wkleje bo mi error wyskakuje

“Dostep do hosta skryptów systemu Windows jest wyłaczony na tym komputerze. Skontaktuj sie z administratorem …” bla bla bla

Obecnie jest wporządku … przynnajmniej tak mi sie wydaje :slight_smile: pozatym ze filmiki nie działają np. http://www.maxior.pl/?p=index&id=40571&0 :wink: pojawia sie mala ikonka z kwadracikiem kolkiem i trojkątem :stuck_out_tongue: mam IE6 (wiem wiem dziurawa) ale to cholerne przyzwyczajenie :confused: mam WMP Classic i WMP 10, jedną paczke kodeków KL


(Bbieniol) #4

Poczytaj tutaj -> http://www.searchengines.pl/phpbb203/in … opic=15989

A jak się zachowują filmiki w innych przeglądarkach?


(Jacek8526) #5

Ok poczytam :]

Niestety nie wiem jak sie ma sprawa w innych przegladarkach {jade 8 rok na IE :stuck_out_tongue: ale na starym kompie (tez IE) mi wszystko chula} ale jak np. sciągne taki filmik na dysk i probuje go odpalic dajmy na to BPlayer’em to nie rusza wogole “Cannot render the file”

Wielkie Dzieki za sprawdzenie loga bo ja niewychowany nie podziekowalem Ci jeszcze za to :smiley:


(Bbieniol) #6

Czekamy na log z Silenta :slight_smile:

Spróbuj przeinstalować kodeki :slight_smile:


(Jacek8526) #7

:stuck_out_tongue:

Przeinstalowanie kodeków nic nie daje


(Bbieniol) #8

W temacie, który zlinkowałem wyżej -> http://www.searchengines.pl/phpbb203/in … opic=15989

Masz opisane problemy z Silentem - ten również :slight_smile:


(Jacek8526) #9

Oj sory moj blad … :confused:

Robie tak jak tam piszą (sciąglem noscript) i odpalam Silent’a a tu mi pisze ze "Windows nie moze otworzyc pliku … system win musi wiedziec w ktoryem programie zostal on utworzony " yyy co teraz?


(Bbieniol) #10

Poczytaj dokładnie ten temat. Tam jest wszystko napisane :slight_smile:


(Jacek8526) #11

Sory ale ja sie poddaje ;/ co nie moge rozbic ctego loga to nie moge :confused: jeszcze teraz mi nie rozpoznaje .vbs …

robilem tak:

. metoda poprzez zmianę rozszerzeń:

uzylem noscript.exe i jak otwieralem Silenta to pytalo sie jaki program wybrac do otwarcia aplikacji …wiec lipa bo nie wiedzialem jaki :confused:

pozniej Mój komputer >>> Narzędzia >>> Opcje folderów >>> Typy plików -> Znajdź na liście rozszerzenie *.VBS, podświetl i skasuj

pozniej zeby przywrocic .VBS >>> Zaawansowane >>> Nowa >>> jako nazwa akcji Otwórz a jako aplikacja otwierająca:

C:\WINDOWS\system32\wscript.exe “%1” %*

no i nie mam vbs w “typy plików” :frowning: ani loga ani vbs :confused:


(Bbieniol) #12

Mój komputer -> Narzędzia -> Opcje folderów -> Typy plików

Zaznacz tam rozszerzenie VBS i kliknij Usuń. Następnie kliknij Nowy -> rozszerzenie pliku: VBS , Skojarzone typy plików: VBSscript Script File i ok :slight_smile:

Następnie podświetl dodane rozszerzenie VBS i kliknij na dole Zaawansowane -> w oknie Akcje podświetl Otwórz i kliknij edytuj -> i ustaw tak:

Aplikacja używana do wykonania akcji: C:\WINDOWS\system32\wscript.exe “%1” %*

Zaznacz: Użyj DDE

Komunikat DDE: zostawiasz puste

Aplikacja: WScript

Nieuruchomiona aplikacja DDE: zostawiasz puste

Temat: System

Klikasz OK -> OK -> Zastosuj -> Zamknij :slight_smile:


(Jacek8526) #13

Człowieku podziwiam Cie za cierpliwosc do takich ludków jak ja :slight_smile: wielkie dzieki jeszcze raz teraz jest tak jak bylo :slight_smile: ale co bym nie robil w dalszym ciągu wyswietla mi sie okno

Dostep do Hosta skryptów systemu Wondows jest wyłaczony na tym komputerze :stuck_out_tongue:

No ale system pracuje normalnie zadnych okienek nie ma log z HJT czysty wiec jest OK … tak mysle :stuck_out_tongue:

Jeszcze raz wielkie Dzieki dobry człowieku :!:


(Bbieniol) #14

Logi sprawdzamy tutaj do samego końca :slight_smile:

Wrzuć w takim razie log z ComboFixa :slight_smile:


(Jacek8526) #15

No tu poszlo bez problemów


(Bbieniol) #16

Jest OK :slight_smile:


(Jacek8526) #17

:slight_smile: Dzieki za Pomoc :piwo:


(Adamf1) #18

Logfile of HijackThis v1.99.1

Scan saved at 11:06:58, on 2006-11-19

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\pavsrv51.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\TPSrv.exe

c:\program files\panda software\panda internet security 2007\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Perfect Codec\isamonitor.exe

C:\Program Files\Perfect Codec\pmsngr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

D:\programy\winamp\winampa.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

C:\Program Files\Perfect Codec\pmmon.exe

C:\Program Files\Perfect Codec\isamini.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

D:\programy\kalendarze\Kalendarz XP\Kalendarz.exe

C:\Program Files\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE

c:\program files\panda software\panda internet security 2007\WebProxy.exe

D:\programy\opera\Opera.exe

C:\Documents and Settings\ADAM\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://dc.sabela.pl/files/test/nowy2/_v … 0x550.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programy\pdf\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Program Files\Perfect Codec\isaddon.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: Protection Bar - {bf1ced2c-4b3f-4079-a330-864eda5a4cff} - C:\Program Files\Perfect Codec\iesplugin.dll (file missing)

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime

O4 - HKLM…\Run: [APVXDWIN] “C:\Program Files\Panda Software\Panda Internet Security 2007\APVXDWIN.EXE” /s

O4 - HKLM…\Run: [sCANINICIO] “C:\Program Files\Panda Software\Panda Internet Security 2007\Inicio.exe”

O4 - HKLM…\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM…\Run: [WinampAgent] D:\programy\winamp\winampa.exe

O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime

O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\programy\pdf\Reader\reader_sl.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Kalendarz XP.lnk = D:\programy\kalendarze\Kalendarz XP\Kalendarz.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\programy\ofice\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\programy\ofice\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O21 - SSODL: featherweed - {ab340860-fd81-4a65-b345-82eb77a66b5e} - C:\WINDOWS\system32\jbtazy.dll (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Software\Panda Internet Security 2007\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Internet Security 2007\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Program Files\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\program files\panda software\panda internet security 2007\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Program Files\Panda Software\Panda Internet Security 2007\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Internet Security 2007\TPSrv.exe