Wyskaujące okienko informujące o infekcji

prosze o sprawdzenie loga, mam jakiegos trojana ale antivir nie moze go usunac poniewaz “dostep do niego jest zabroniony”.

Proszę użyć narzędzia Windows Worms Doors Cleaner i zmienić w nim znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw). Po użyciu wymagany jest restart.

Podaj gdzie dokładnie jest wykrywany ten śmieć (ścieżka).

Po logu podejrzewam pliczek busterek.exe.

W trybie awaryjnym skasuj zaznaczony plik ręcznie a wpisy w hjt.

Po wykonaniu pokaż nowy log z hjt oraz SilentRunners

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

tak, jego sciezka to:

c:\windows\system32\systemxpsp2.dll

Backdoor.Trojan

ciagle mi wyskakuje okienko z antivirusa i nie moze go on ani usunac, ani poddac kwarantannie :frowning:

problem w tym, że w c:\windows\system32\

nie widze tego pliku, mam zaznaczone aby pokazywalo ukryte pliki

Uruchamiasz narzędzie KillBox, zaznaczasz Delete on reboot , w polu full path of file wklej ścieżkę:

C:\WINDOWS\System32\systemxpsp2.dll

Klikasz X i restart kompa :slight_smile:

Po zabiegach nowy log z Hijacka + log z Silent Runners

niestety :frowning: po zabiegach które zaproponowales plik istnieje nadal. próbowałem tez z opcjami takimi unregister .dll before deleting

a komp nadal zamulony i net wolno chodzi :frowning: a wszystko przez brata co na chwile wyłaczył antivira…

Zastosuj się do tego :slight_smile:

Hmm… dziwne, że nie chce się usunąć ale poradzimy sobie.

Pobierz Gmera.

Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.

  • W zakładce CMD -> podopcja CMD.EXE wklej jeśli jeszcze woogle nie zabrałeś sie za usuwanie.

A jeśli skasowałeś już plik busterek.exe to wklej tylko to:

  • Kliknij Uruchom.

Teraz reset i poproszę nowe logi - hijack i silent.

W razie jakiś wątpliwości dotyczących Gmera zajrzyj tutaj:

http://forum.dobreprogramy.pl/viewtopic.php?t=101848

hmm dziwne…gdy kliknąłęm uruchom, i widac bylo juz tylko tapete, wyskoczyło mi z tego gmera ze problem z usunieciem pliku wystąpił. Komp sie zawiesił, zresetowałem, a gdy uruchomił sie ponownie antivir zakomunikował ze usunął tego wieprza systemxpsp2.dll

nie wiem, teraz bede zawsze tak robił, wielkie dzięki za pomoc! !!

Złączono Posta : 20.10.2006 (Pią) 14:06

hmm dziwne…gdy kliknąłęm uruchom, i widac bylo juz tylko tapete, wyskoczyło mi z tego gmera ze problem z usunieciem pliku wystąpił. Komp sie zawiesił, zresetowałem, a gdy uruchomił sie ponownie antivir zakomunikował ze usunął tego wieprza systemxpsp2.dll

nie wiem, teraz bede zawsze tak robił, wielkie dzięki za pomoc! !!

a oto log:

Logfile of HijackThis v1.99.1

Scan saved at 14:06:48, on 2006-10-20

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Norton Personal Firewall\IAMAPP.EXE

C:\Program Files\Java\j2re1.4.2_11\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\crypserv.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton Personal Firewall\NISUM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Raxco\PerfectDisk\PDAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Norton Personal Firewall\SymProxySvc.exe

C:\Program Files\Norton Personal Firewall\NISSERV.EXE

C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

D:\Program Files\firefox\firefox.exe

C:\Documents and Settings\Ghor\Pulpit\HijackThis\HijackThis.exe


O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll

O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Personal Firewall\IAMAPP.EXE

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_11\bin\jusched.exe

O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [1qaw3edr5] C:\WINDOWS\System32\busterek.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [1qaw3edr5] C:\WINDOWS\System32\busterek.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_11\bin\npjpi142_11.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_11\bin\npjpi142_11.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{7CD9AFB4-AC77-4D2D-AD39-B568AE5203AC}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISSERV.EXE

O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\NISUM.EXE

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Personal Firewall\SymProxySvc.exe

Po wydaniu poleceń w Gmerze i kliknięciu Uruchom komputer sam powinien się zrestartować i usunąć plik ale skoro mówisz, że Twój program AV potem sobie już z nim poradził to ok.

W logu nadal widać:

więc skasuj wpisy i pokaż nowy log z hjt oraz koniecznie z silenta.