Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Problem z Trojan.Downloader.Agent.XXX pomocy!!!

tschooper 01 Wrz 2006 20:51 2378 7
  • #1 01 Wrz 2006 20:51
    tschooper
    Poziom 11  

    Skanowałem BitDefenderem... ad awarem... nic nie pomaga... próbowałem usówać zainfekowane pliki ręcznie w trybie awaryjnym... ale wciąż trojan agent.xxx powraca... jak go usunąć skutecznie a może jesta jakaś łatka?? Pomocy :)

    Z góry dzięki...
    tschooper

    Dodano po 7 [minuty]:

    Poniżej zamieszczam log z HijackThis... może to coś jeszcze pomoże:



    Logfile of HijackThis v1.99.1
    Scan saved at 20:44:21, on 2006-09-01
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\D-Tools\daemon.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\PROGRA~1\NEOSTR~1\CnxMon.exe
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\PowerISO\PWRISOVM.EXE
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
    C:\Program Files\Softwin\BitDefender9\bdnagent.exe
    C:\Program Files\Softwin\BitDefender9\bdswitch.exe
    C:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Logitech\Video\FxSvr2.exe
    C:\Program Files\Neostrada TP\NeostradaTP.exe
    C:\Program Files\Neostrada TP\ComComp.exe
    C:\Program Files\Neostrada TP\Watch.exe
    C:\WINDOWS\TEMP\idd17.tmp.exe
    C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe
    C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
    C:\Program Files\Softwin\BitDefender9\vsserv.exe
    c:\program files\softwin\bitdefender9\bdmcon.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Documents and Settings\tschopek!\Pulpit\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza




    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
    O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender9\bdmcon.exe"
    O4 - HKLM\..\Run: [BDNewsAgent] "c:\program files\softwin\bitdefender9\bdnagent.exe"
    O4 - HKLM\..\Run: [BDSwitchAgent] "c:\program files\softwin\bitdefender9\bdswitch.exe"
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
    O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/d3681f5fe10fddf593a7d8d21d04a6c1_39.exe
    O16 - DPF: {631FF594-EC25-4CFF-B869-402DF294E1D6} (Instalator oprogramowania Onet.pl) - http://slimak.onet.pl/_m/kamerzysta/OnetInstalator012s.ocx
    O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_24.cab
    O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - http://67.15.101.3/g_bin/pl/billard9_2_0_0_24.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9486D76F-DB10-47A5-BF69-6800BF92D716}: NameServer = 194.204.152.34 217.98.63.164
    O20 - Winlogon Notify: winpsa32 - C:\WINDOWS\SYSTEM32\winpsa32.dll
    O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
    O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
    O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
    O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


    Moderowany przez LEM:

    Przeniesiono z Sieć Internet, Sieci LAN WLAN

    0 7
  • #2 01 Wrz 2006 21:03
    mpn103
    Poziom 34  

    Po pierwsze wyczyść to C:\WINDOWS\TEMP\idd17.tmp.exe <- cale C:\WINDOWS\TEMP wyczyść najlepiej w trybie awaryjnym bo inaczej będziesz mial te śmieci uzywane.
    Zainstaluj coś takiego http://download.softpedia.ro/software/SYSTEM/StartupCPL.zip i powyłączaj zbędne programy w starcie bo masz taki smietnik że aż sie pogubiłem.
    Instaluje sie to w panelu sterowania

    0
  • #3 01 Wrz 2006 21:06
    blik
    Poziom 12  

    Masz niezłą kaszanę . Musisz odłączyć sieć, zrobić format, zainstalować systm , zainstalować antywirusa , najlepiej Kaspersky i dopiero podłączyć sieć innaczej sobie nie poradzisz .

    Moderowany przez jankolo:

    Jeżeli kolega nie ma nic mądrego do powiedzenia to nie powinien zabierać głosu na Forum. Następny taki post zostanie wyróżniony ostrzeżeniem

    0
  • #4 01 Wrz 2006 23:10
    krzychoocpp
    VIP Zasłużony dla elektroda

    Witam, do wywalenia idą:

    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Logitech\Video\LogiTray.exe
    C:\Program Files\PowerISO\PWRISOVM.EXE
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
    C:\WINDOWS\TEMP\idd17.tmp.exe

    Są to programy albo niebezpieczne, albo niepotrzebne.

    To też na niewiele się zdaje:

    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

    Ponadto wszystkie pozycje "extra", O16 i O20.

    Oprócz tego zainstalowanie łatek, przeskanowanie ewido, zamknięcie portów w wwdc i najlepiej zmiana przeglądarki na Operę albo Firefox oraz usunięcie programów neostrady i stworzenie zwykłego połączenia. Wszystkie te śmieci usuwaj w trybie awaryjnym. Potem wklej nowy log, będzie krótszy i łatwiej będzie coś namierzyć.

    Pozdrawiam, Krzysztof.

    0
  • Pomocny post
    #5 02 Wrz 2006 00:24
    paweliw
    Spec od komputerów

    krzychoocpp :arrow:

    Dlaczego wprowadzasz tschooper w błąd ?
    Z Twojej listy "programy albo niebezpieczne, albo niepotrzebne" tylko wpis:
    C:\WINDOWS\TEMP\idd17.tmp.exe
    jest ewidentnym plikiem robactwa !
    Reszta to całkiem bezpieczne programy !
    Skąd masz pewność, że tschooper nie używa programu SOUNDMAN i jest mu on zbędny w autostarcie ?

    Między niebezpieczne a niepotrzebne jest ogromna różnica, nie wolno jej niedostrzegać !
    Napisać, że coś komuś wygląda na niebezpieczne może każdy, tylko jakie będą tego skutki ?

    Niedopuszczalnym jest nakazywanie użytkownikowi usuwania bezpiecznych wpisów, to nie Twój komputer !
    Jedynie można mu zasugerować, że coś jest zbędne !

    Chcesz udzielać rad to sprawdź każdą pozycję, jak czegoś nie jesteś pewien to po prostu to napisz !

    tschooper :arrow:

    Zakończ proces:
    C:\WINDOWS\TEMP\idd17.tmp.exe

    Wyłącz przywracanie systemu, usuń wszystkie pliki tymczasowe (także internetowe).

    Fix w hijackthis:
    O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/d3681f5fe10fddf593a7d8d21d04a6c1_39.exe
    O20 - Winlogon Notify: winpsa32 - C:\WINDOWS\SYSTEM32\winpsa32.dll <- plik usuń, jak nie normalnie to w trybie awaryjnym i/lub przy użyciu Pocket KillBox http://www.bleepingcomputer.com/files/spyware/KillBox.zip)

    Najlepiej odinstalować całą aplikację Neostrady (zostają tylko sterowniki modemu) i utworzyć nowe połączenie modemowe (szerokopasmowe). Opisy masz np. tutaj:
    http://neostrada.info/instalacja.php?id=winxp
    http://shider.net/AutoConnect/nowe_polaczenie/index.html
    http://www.msinfo.pl/msinfoweb2/DesktopDefault.aspx?tabid=77

    Masz ponado wiele programów uruchamianych przy starcie systemu, zupełnie zbędnych w tym momencie i obciążających dodatkowo system (O4 w logu), zastanów się czy Ci wszystkie potrzebne (zawsze można je włączyć) np.:
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
    O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
    O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

    Użyj Windows Worms Doors Cleanera http://www.firewallleaktester.com/wwdc.htm i zamknij nim porty (zmień znaczki z disable na enable) i reset komputera.

    Przeskanuj system tym:
    skaner online http://www.spywareinfo.com/xscan.php
    http://download.ewido.net/ewido-setup.exe <- zrób update przed skanowaniem, po przeskanowaniu odinstaluj.

    Radzę też przeskanować system scanerem on-line Trend Micro (wolny ale dokładny) http://housecall65.trendmicro.com/

    0
  • #6 02 Wrz 2006 11:25
    krzychoocpp
    VIP Zasłużony dla elektroda

    Dziekuję za uwagi, te niebezpieczne pogrubiłem, ale jeśli będę przeglądał logi w przyszłości zastosuje się do rad i napiszę wyraźniej. A zaznaczyłem Soundman, dlatego że oprócz programu sterującego dźwiękiem, może to być Robak W32/Agobot-JS.

    Pozdrawiam, Krzysztof.

    0
  • #7 05 Wrz 2006 21:47
    mpn103
    Poziom 34  

    hmm... Soundman.exe jest tylko programem do obsługi karty dźwiękowej Realtek

    0
  • #8 02 Lis 2006 22:14
    tschooper
    Poziom 11  

    Dzieki za pomoc... zrobilem tak jak poradzil Paweliw... troche sie z tym motalem... ale wszystko wyglada OK... Sorki ze tak pozno odpowiadam... ale chcialem sobie dac pare dni, zeby upewnic sie ze jest OK... a potem zapomnialem... w kazdym razie dziekuje za pomoc!![/GVideo]

    0