Pomocy, bardzo złośliwy trojan.

Main Page -> Forum Index -> Computer Service -> Computer Software -> Pomocy, bardzo złośliwy trojan.

Author

Message

JollyRoger
Poziom 18

Joined: 04 Jan 2005
Posts: 593
Location: Poznań

15 May 2005 10:10

Pomocy, bardzo złośliwy trojan.

Witam, od niedawna nie moge sie pozbyć trojana (wlasciwie dwóch):
C:\WINDOWS\system32\antk15.dll Trojan.Plims.A1
C:\WINDOWS\system32\hdp15.dll Trojan.Plims.A2
C:\WINDOWS\system32\hdf15.dll Trojan.Mand

Najgorsze jest to, że z plików korzysta m.in USERINIT.exe i nie da się ich usunąć. Nawet po usunięciu ich (pod linuxem) pliki na nowo są tworzone.

Czy ma ktoś pomysł co je może tworzyć?

--------------------------

Właśnie się dowiedziałem że trojan mógł podmienić orginalny plik USERINIT.exe (dziwne, o w moim systemie nie ma go wcale), kto mi wyśle ogrinalny plik ;)?

childmaker
Poziom 22

Joined: 16 Oct 2004
Posts: 2273

#2 15 May 2005 10:16

Re: Pomocy, bardzo złośliwy trojan.

Ściągnij sobie HijackThis, przeskanuj kompa i wklej tu log.
http://www.merijn.org/files/hijackthis.zip

Nic nie kombinuj!

JollyRoger
Poziom 18

Joined: 04 Jan 2005
Posts: 593
Location: Poznań

15 May 2005 10:20

Re: Pomocy, bardzo złośliwy trojan.

Tylko sie nie smiejcie z moich programów ;P

Code:

Logfile of HijackThis v1.99.1
Scan saved at 10:52:06, on 2005-05-15
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\HHVcdV5Sys\VC5SecS.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\EPOX\USDM\USDM.EXE
C:\Program Files\HHVcdV5Sys\VC5Play.exe
C:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\CloneCD\CloneCDTray.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\mozilla.org\Mozilla\Mozilla.exe
E:\stara\dddd\FreeRAM\FreeRAM\FreeRAM.exe
C:\Program Files\Timex\Data Link USB\DataLinkLauncher.exe
E:\n7650\connmngmntbox.exe
E:\n7650\ectaskscheduler.exe
C:\Program Files\United Devices\UD.EXE
E:\Programy\GG\gg.exe
e:\n7650\Elogerr.exe
C:\Program Files\Virtual CD v5\System\VC5Tray.exe
C:\Program Files\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe
C:\Program Files\United Devices\ud_7174683.exe
C:\Program Files\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
e:\n7650\BROADC~1.EXE
e:\n7650\SCRFS.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 203.252.45.206:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - {CFBFAEA6-B9D4-11D0-9C78-00C04FD64497} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\flashget\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\flashget\fgiebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NvMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [EPoXUSDM] "C:\Program Files\EPOX\USDM\USDM.EXE" "5000"
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [VC5Player] C:\Program Files\HHVcdV5Sys\VC5Play.exe
O4 - HKLM\..\Run: [ServiceLayer] C:\Program Files\Common Files\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Program Files\Common Files\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\corel12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=052305 serial=DR12WTX-9999998-YSP lang=EN
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\userinit.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [BySoft FreeRAM] E:\stara\dddd\FreeRAM\FreeRAM\FreeRAM.exe
O4 - Startup: Skrót do POWERGG.exe.lnk = E:\Programy\GG\POWERGG.exe
O4 - Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.EXE
O4 - Startup: Lava.lnk = E:\lavalamp\Lava.exe
O4 - Global Startup: Timex Data Link USB Launcher.lnk = ?
O4 - Global Startup: PCSuiteForNokia7650 Detect.lnk = ?
O4 - Global Startup: PCSuiteForNokia7650 TS.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\flashget\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\flashget\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\flashget\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\flashget\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {0957C19A-D854-482A-A4F9-18856C723D7D} (XNC600NetCam Control) - http://213.199.246.152/XNC600NetCam.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: Virtual CD v5 Security service (VC5SecS) - H+H Software GmbH - C:\Program Files\HHVcdV5Sys\VC5SecS.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Spróbowalem przegrać od kumpla orginalny plik userinit.exe i nawet niemoge go rozpakowac bo trojan odrazu go kasuje.

childmaker
Poziom 22

Joined: 16 Oct 2004
Posts: 2273

#4 15 May 2005 10:53

Re: Pomocy, bardzo złośliwy trojan.

Uruchom kompa w awaryjnym, zabij proces userinit.exe, odznacz w hijacku wpisy i fix.

Quote:

R3 - URLSearchHook: (no name) - {CFBFAEA6-B9D4-11D0-9C78-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\userinit.exe

Google

Google Adsense

# 15 May 2005 10:53

JollyRoger
Poziom 18

Joined: 04 Jan 2005
Posts: 593
Location: Poznań

15 May 2005 11:01

Re: Pomocy, bardzo złośliwy trojan.

Oki już sobie poradziłem, jakby któs go złapał to:
-Potrzebny jest nam orginalny plik USERINIT.EXE (np z plyty winowza albo od kogos)
-Uruchamiamy kompa pod dosem/linuxem albo czymś innym i kasujemy pliki
antk15.dll
hdp15.dll
hdf15.dll
-kasujemy stary plik userinit.exe i podmieniamy go na nowy (w nim sieddział wirus).

enamorado
Poziom 4

Joined: 30 May 2007
Posts: 8
Location: Warszawa

#6 30 May 2007 18:01

Re: Pomocy, bardzo złośliwy trojan.

Ja też od niedawna nie moge sie pozbyć z mojego komputera następujących wirusa:
-C:\WINDOWS\system32\antk15.dll Trojan.Plims.A1
Poradzcie mi co mam zrobić bo koledzy doradzaja mi tylko reinstalke windowsa.Czytałem posty na tym temacie i sciągnolem sobie HiJackThis i zrobilem scana lecz nie wiem co dalej.Jak wiecie to odpiszcie bo nie chciałbym niczego sobie popsuć w windowsie:)

jankolo
Poziom 26

Joined: 10 Jan 2005
Posts: 28258
Location: Łódź

#7 30 May 2007 20:59

Re: Pomocy, bardzo złośliwy trojan.

Zrób to, co zrobił wcześniej JollyRoger: wklej na Forum log z hijackthis.

JollyRoger
Poziom 18

Joined: 04 Jan 2005
Posts: 593
Location: Poznań

30 May 2007 21:53

Re: Pomocy, bardzo złośliwy trojan.

U mnie wystarczyło usunięcie wszystkich zainfekowanych plików DLL i podmiana pliku USERINIT.exe ze 'zdrowego' komputera. Aby to zrobić powinieneś mieć linuxa albo jakąś płytkę z DOSem.

DriverMSG
Poziom 26

Joined: 28 Feb 2005
Posts: 16552
Location: Akwizgran

#9 30 May 2007 23:41

Re: Pomocy, bardzo złośliwy trojan.

Jeśli masz system plików NTFS to z pod DOS'a nic nie zrobisz.
W takim wypadku potrzebny jest program typu ERD Commander .

JollyRoger
Poziom 18

Joined: 04 Jan 2005
Posts: 593
Location: Poznań

#10

31 May 2007 15:20

Re: Pomocy, bardzo złośliwy trojan.

Albo NTFS Dos albo po prostu zabierz dysk do jakiegoś kolegi i ustaw go jako slave, wtedy pod jego systemem dokonaj skanowania antywirusowego.

enamorado
Poziom 4

Joined: 30 May 2007
Posts: 8
Location: Warszawa

#11 01 Jun 2007 01:04

Re: Pomocy, bardzo złośliwy trojan.

Logfile of HijackThis v1.99.1
Scan saved at 01:59:57, on 2007-06-01
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Live Update NIS 2005.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\BitComet\BitComet.exe
C:\Opera\Opera.exe
D:\instalki\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\system update.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\Live Update NIS 2005.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ ] C:\WINDOWS\system32\msvbdg.exe
O4 - HKCU\..\Run: [Konnekt] "C:\Program Files\Konnekt\konnekt.exe" /autostart
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O15 - Trusted Zone: http://www.mks.com.pl
O16 - DPF: kbutils - https://www.kb24.pl/ikd/kbutils.cab
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58E8D37B-2AD1-47BC-8C56-44D398B643F7}: NameServer = 194.204.159.1 217.98.63.164
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Analog Devices, Inc. - (no file)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Dodano po 2 [minuty]:

a z kad wiedziałeś,który plik należy podmienić?
Poza tym nie mam linuxa tylko xp:/
Czekam na jakaś rade panowie:D

migol
Poziom 16

Joined: 17 Mar 2003
Posts: 313
Location: Gdansk

#12 01 Jun 2007 01:45

Re: Pomocy, bardzo złośliwy trojan.

Zdobądź np. Knoppix'a 5 (www.knoppix.net). Jest to Linux odpalany z płyty CD, darmowy jak większość Linuxów.

Kolobos
Poziom 26

Joined: 13 Jun 2003
Posts: 26220
Location: Warszawa

#13 01 Jun 2007 07:44

Re: Pomocy, bardzo złośliwy trojan.

:arrow: enamorado
Czy u Ciebie plik userinit.exe jest rowniez zainfekowany? Jezeli tak to przywroc go z plyty instalacyjnej.

W menadzerze zadan zakoncz:
C:\WINDOWS\system32\Live Update NIS 2005.exe

W hijackthis usun:
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\system update.exe
O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\Live Update NIS 2005.exe
O4 - HKCU\..\Run: [ ] C:\WINDOWS\system32\msvbdg.exe

Wymienione pliki usun z dysku.

Zrob skan tym:
http://www.superantispyware.com/downloads/SUPERAntiSpyware.exe

W ZALACZNIKU wrzuc log z:
http://www.techsupportforum.com/sectools/Deckard/dss.exe

enamorado
Poziom 4

Joined: 30 May 2007
Posts: 8
Location: Warszawa

#14 01 Jun 2007 18:43

Re: Pomocy, bardzo złośliwy trojan.

wiesz kolobs właśnie nie wiem,który plik u mnie jest zainfekowany:/ Jak to mozna sprawdzić? Po drugie nie mam w menadzerze tego zadania. Ponadto czy usuwać to w awaryjnym,czy normalnym trybie?Jak ten plik zainfekowany wykryć?Bez tego moge usunąc sobie coś niepotzrebnie i popsuc windowsa:/
Czekam na porade:0 dzieki panowie

Kolobos
Poziom 26

Joined: 13 Jun 2003
Posts: 26220
Location: Warszawa

#15 01 Jun 2007 18:48

Re: Pomocy, bardzo złośliwy trojan.

> nie wiem,który plik u mnie jest zainfekowany:/
> Jak to mozna sprawdzić?

Mnie interesuje tylko czy userinit masz zainfekowany, sprawdz go tym: http://virusscan.jotti.org/

> Po drugie nie mam w menadzerze tego zadania.

Miales wtedy kiedy robiles log z hjt.

> Ponadto czy usuwać to w awaryjnym,czy
> normalnym trybie?

Nie wazne, wazne zeby usunac.

Dlaczego nie wkleiles log'a z dss o ktory prosilem?

enamorado
Poziom 4

Joined: 30 May 2007
Posts: 8
Location: Warszawa

#16 01 Jun 2007 21:26

Re: Pomocy, bardzo złośliwy trojan.

nie ten plik:userinit.exe nie jest zainfekowany,sprawdzilem to tym viruscanem:)
Wiesz nie wiem jak wkelić log'a z dss:/
Może jakas podpowiedz:)

Google

Google Adsense

# 01 Jun 2007 21:26

Kolobos
Poziom 26

Joined: 13 Jun 2003
Posts: 26220
Location: Warszawa

#17 01 Jun 2007 21:38

Re: Pomocy, bardzo złośliwy trojan.

Klikasz na Odpowiedz i na dole masz "Dodaj zalacznik", ale jezeli sprawia Ci to jakis problem to wklej log na http://wklej.org i podaj na forum link.

enamorado
Poziom 4

Joined: 30 May 2007
Posts: 8
Location: Warszawa

#18 01 Jun 2007 23:09

Re: Pomocy, bardzo złośliwy trojan.

http://up.wklej.org/download.php?id=1d7f7abc18fcb43975065399b0d1e48e

Dodano po 45 [sekundy]:

podałem link,mam nadzieje że dobrze zrobiłem:0 czekam na dalsze instrukcje.

Kolobos
Poziom 26

Joined: 13 Jun 2003
Posts: 26220
Location: Warszawa

#19 02 Jun 2007 06:38

Re: Pomocy, bardzo złośliwy trojan.

Nie zrobiles dobrze, czy mozesz w koncu przeczytac to co napisalem i to zrobic? Prosilem o log z dss, a Ty wklejasz z hijackthis...

enamorado
Poziom 4

Joined: 30 May 2007
Posts: 8
Location: Warszawa

#20 02 Jun 2007 10:07

Re: Pomocy, bardzo złośliwy trojan.

w takim razie powiedz mi co to jest dss??bo nie mam bladego pojęcia:/

Google

Google Adsense

# 02 Jun 2007 10:07

tomi1972
Poziom 15

Joined: 02 Aug 2006
Posts: 213
Location: Gronie

#21 02 Jun 2007 11:02

Re: Pomocy, bardzo złośliwy trojan.

enamorado wrote:

w takim razie powiedz mi co to jest dss??bo nie mam bladego pojęcia:/

Witaj,

Deckard's System Scanner poczytaj i ściągnij program .

Kolobos
Poziom 26

Joined: 13 Jun 2003
Posts: 26220
Location: Warszawa

#22 02 Jun 2007 13:19

Re: Pomocy, bardzo złośliwy trojan.

:arrow: enamorado
To ciekawe biorac pod uwage, ze dalem Ci link do programu, wystarczylo sciagnac i uruchomic, nie mowiac juz o tym, ze chyba masz internet i dostep do wyszukiwarki?

enamorado
Poziom 4

Joined: 30 May 2007
Posts: 8
Location: Warszawa

#23 03 Jun 2007 21:12

Re: Pomocy, bardzo złośliwy trojan.

Deckard's System Scanner v20070602.46
Run by Marcin on 2007-06-03 at 22:02:35
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.

-- Last 5 Restore Point(s) --
79: 2007-06-03 20:02:44 UTC - RP702 - Deckard's System Scanner Restore Point
78: 2007-06-02 20:21:43 UTC - RP701 - Punkt kontrolny systemu
77: 2007-06-01 19:21:39 UTC - RP700 - Punkt kontrolny systemu
76: 2007-05-31 18:20:34 UTC - RP699 - Punkt kontrolny systemu
75: 2007-05-30 17:27:57 UTC - RP698 - Punkt kontrolny systemu

-- First Restore Point --
1: 2007-03-11 17:09:55 UTC - RP624 - Punkt kontrolny systemu

Backed up registry hives.

Performed disk cleanup.

-- HijackThis (run as Marcin.exe) ----------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 22:03:36, on 2007-06-03
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Live Update NIS 2005.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Konnekt\konnekt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Marcin\Pulpit\dss.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
D:\instalki\HIJACK~1\Marcin.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\system update.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ ] C:\WINDOWS\system32\Live Update NIS 2005.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ ] C:\WINDOWS\system32\msvbdg.exe
O4 - HKCU\..\Run: [Konnekt] "C:\Program Files\Konnekt\konnekt.exe" /autostart
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O15 - Trusted Zone: http://www.mks.com.pl
O16 - DPF: kbutils - https://www.kb24.pl/ikd/kbutils.cab
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58E8D37B-2AD1-47BC-8C56-44D398B643F7}: NameServer = 194.204.159.1 217.98.63.164
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Analog Devices, Inc. - (no file)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

S2 ADILOADER (General Purpose USB Driver (adildr.sys)) - c:\windows\system32\drivers\adildr.sys (file missing)
S3 adiusbaw (USB ADSL WAN Adapter) - c:\windows\system32\drivers\adiusbaw.sys (file missing)

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 SoundMAX Agent Service (default) (SoundMAX Agent Service) - c:\program files\analog devices\soundmax\smagent.exe <Not Verified; Analog Devices, Inc.; SoundMAX service agent>

-- Scheduled Tasks -------------------------------------------------------------

2007-06-03 21:56:00 366 --a------ C:\WINDOWS\Tasks\Symantec NetDetect.job
2007-06-02 23:20:00 328 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#Deskjet#3420.job

-- Files created between 2007-05-03 and 2007-06-03 -----------------------------

Nothing created in this timespan.

-- Find3M Report ---------------------------------------------------------------

2007-06-03 20:08:41 0 d-------- C:\Program Files\eMule
2007-05-31 12:20:57 355486 --a------ C:\WINDOWS\system32\perfh015.dat
2007-05-31 12:20:57 49492 --a------ C:\WINDOWS\system32\perfc015.dat
2007-05-31 12:17:00 42496 --a------ C:\WINDOWS\system32\hdp15.dll
2007-05-31 12:17:00 68608 --a------ C:\WINDOWS\system32\hdf15.dll
2007-05-31 12:16:59 69120 --a------ C:\WINDOWS\system32\antk15.dll
2007-05-28 15:45:44 0 d-------- C:\Program Files\jv16 PowerTools
2007-05-16 18:57:01 0 d-------- C:\Program Files\SkanerOnline
2007-04-29 13:43:14 0 d-------- C:\Program Files\Avast4
2007-03-15 12:00:36 466432 --a------ C:\WINDOWS\system32\SkanerOnline.dll <Not Verified; MKS Sp. z o. o.; SkanerOnline>

-- Registry Dump ---------------------------------------------------------------

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
{AA58ED58-01DD-4d91-8333-CF10577473F7} c:\program files\google\googletoolbar2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb05.exe"
" "="C:\\WINDOWS\\system32\\system update.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
"SpeedTouch USB Diagnostics"="\"C:\\Program Files\\Thomson\\SpeedTouch USB\\Dragdiag.exe\" /icon"
"TkBellExe"="\"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
" "="C:\\WINDOWS\\system32\\Live Update NIS 2005.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
" "="C:\\WINDOWS\\system32\\msvbdg.exe"
"Konnekt"="\"C:\\Program Files\\Konnekt\\konnekt.exe\" /autostart"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
" "="C:\\WINDOWS\\system32\\system update.exe"
" "="C:\\WINDOWS\\system32\\Live Update NIS 2005.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktop"=dword:00000000

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programy^Autostart^Kalendarz XP.lnk]
"path"="C:\\Documents and Settings\\All Users.WINDOWS\\Menu Start\\Programy\\Autostart\\Kalendarz XP.lnk"
"backup"="C:\\WINDOWS\\pss\\Kalendarz XP.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\KALEND~1\\KALEND~1.EXE "
"item"="Kalendarz XP"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programy^Autostart^Microsoft Office.lnk]
"path"="C:\\Documents and Settings\\All Users.WINDOWS\\Menu Start\\Programy\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office\\OSA9.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Live Update NIS 2005"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\Live Update NIS 2005.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="gg"
"hkey"="HKCU"
"command"="\"C:\\Gadu-Gadu\\gg.exe\" /tray"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Program Files\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDF Converter Registry Controller]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RegistryController"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\Common Files\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0

-- End of Deckard's System Scanner: finished at 2007-06-03 at 22:04:06 ---------

Dodano po 1 [minuty]:

zamiesciłem scana z dss tak jak radziles kolobos,czekam na jakies opinie i porady.

Kolobos
Poziom 26

Joined: 13 Jun 2003
Posts: 26220
Location: Warszawa

#24 03 Jun 2007 21:34

Re: Pomocy, bardzo złośliwy trojan.

Przeciez prosilem w ZALACZNIKU lub na wklej, wiec dlaczego dalej nie robisz tego co napisalem? Czy to taki problem przeczytac co napisalem?
Nie zrobiles nic z tego co napisalem wczesniej.

Start->Uruchom->sc stop SNDSrvc
oraz: sc delete SNDSrvc

Te pliki usuwasz z dysku:
C:\WINDOWS\system32\hdp15.dll
C:\WINDOWS\system32\hdf15.dll
C:\WINDOWS\system32\antk15.dll
W razie problemow uzyj killbox z zaznaczona opcja delete on reboot.

Nie obraz sie ale mam Cie dosc, nie czytasz tego co sie do Ciebie pisze, co post to kolejny problem. Z mojej strony to juz ostatni post w tym watku, dalej radz sobie sam.

enamorado
Poziom 4

Joined: 30 May 2007
Posts: 8
Location: Warszawa

#25 03 Jun 2007 22:10

Re: Pomocy, bardzo złośliwy trojan.

wielkie dzieki kolobos ale nie każdy sie zna tak dobrze na kompach jak ty. Poza tym nie jestem jakims wielkim informatykiem i moja wiedza ogranicza sie do zwykłego urzytkowania kompa.Nigdy wcześniej nie wrzucałem plików na wklej i nie robiłem zalecanych przez ciebie operacji.Mimo to dzieki za okazana pomoc i cierpliowsc chyba se jednak czyszczenie zrobie.

Main Page -> Forum Index -> Computer Service -> Computer Software -> Pomocy, bardzo złośliwy trojan.

Page 1 of 1

Page generation time: 0.371 seconds

FAQ || Administrator || Moderators || Widgets and banners || Contact