Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Wirusy :Balster konie trojańskie WIN 32 jak je usun±ć ?

persly 18 Sep 2007 14:39 52480 40
  • #1
    persly
    Level 10  
    Mam ogromny problem mam takie wirusy typu Konie trojańskie WIN 32, że nie chc± się za żadne skarby usun±ć nawet podczas skanowania Kasperksy mojego antywirusa.
    Próbowałam wieloma antywirusami je wykasować nic to nie daje :|
    Teraz na dodatek mi się pokazuje tak zwany wirus Balster który zamyka mi system za 50 sekund i zablokował mi neta !
    Musze wchodzić w net przez moje dokumenty !
  • #2
    Kolobos
    IT specialist
    Daj w zalaczniku log z combofix oraz hijackthis. Zamknij tez porty przy pomocy wwdc.exe.
  • #3
    persly
    Level 10  
    Kolobos wrote:
    Daj w zalaczniku log z combofix oraz hijackthis. Zamknij tez porty przy pomocy wwdc.exe.


    Możesz to lepije obja¶nić? Bo fenomenem nie jestem takjak ty xD
  • #5
    persly
    Level 10  
    Kolobos wrote:
    Nie musisz byc, dostep do internetu masz, wiec naucz sie uzywac wyszukiwarki. Zainstalowac trojany to potrafisz, a uzyc wyszukiwarki to juz nie?

    Pierwsze lepsze linki z google:
    http://cybertrash.pl/images/tata/WWDC.html
    http://cybertrash.pl/images/tata/Hijack/HijackThis.html (tyle, ze uzyj noweszej wersji ze strony trendmicro).
    http://cybertrash.pl/images/tata/ComboFix.html


    Jak ja wł±czyłam komputer którego¶ dnia to mi się tak zaczeło robić i włazić reklamy z antywirusami.
    Co do twojej odp to nic nie czaje wytłumacz mi wszystko po kolei.
  • #6
    Kolobos
    IT specialist
    Na stronach, ktore podalem masz to wytlumaczone tak prosto, ze juz prosciej sie nie da. Sciagnij wymienione programy i uzyj tak jak to masz opisane na stronie. Nastepnie daj w zalaczniku logi.
  • #7
    persly
    Level 10  
    Nie chc± sie te wirusy wykasować ;/
  • #8
    Kolobos
    IT specialist
    Samo sie nic nie usunie, wiec moze zrob w koncu to co napisalem..
  • #9
    NegativeONE
    Level 15  
    polecam tez zainstalowac antywirusa NOD32, uzywac firewalla i zrobic aktualizacje zabezpieczen systemu - blaster to szalal ze 4 lata temu...
  • #10
    kefir2
    Level 11  
    Witam, mogę się doł±czyć?
    Próbowałem trzech (było 3) kroków Kolobos`a i
    - wwdc - przy przycisku Locator pisze że jest wył±czony ale nie ma numeru portu i jest trójk±t taki jak przy NetBIOS
    - ComboFix - pobiera się ale nie chce się skopiować
    - no i o to log nowego hjt

    Quote:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:48:23, on 2007-10-15
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\AVENGINE.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe
    c:\program files\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
    C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\apvxdwin.exe
    C:\Program Files\Video Add-on\icthis.exe
    C:\WINDOWS\system32\devldr32.exe
    c:\program files\panda software\panda antivirus + firewall 2007\WebProxy.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\Ola\Moje dokumenty\Gadu-Gadu\gg.exe
    E:\Narzędzia\dc++\DCPlusPlus.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\avciman.exe
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\psimreal.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ł±cza
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O3 - Toolbar: IE Custom Tools - {23ED2206-856D-461A-BBCF-1C2466AC5AE3} - C:\Program Files\Video Add-on\ictmdl.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVPDWIN] "C:\Program Files\Panda Software\Panda Demo\pandasft.exe"
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s
    O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\WinSecureAv\bm.exe" dm=http://winsecureav.com; ad=http://winsecureav.com
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Documents and Settings\Ola\Moje dokumenty\Gadu-Gadu\gg.exe" /tray
    O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Video Add-on\icthis.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
    O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/sezam/components/SignActivX.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O22 - SharedTaskScheduler: designers - {f0c5ef8b-f4bb-4612-9ea8-361fff3da3d5} - C:\WINDOWS\system32\sttwrd.dll
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
    O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
    O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\program files\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE
    O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
    O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

    --
    End of file - 5900 bytes
  • #11
    Kolobos
    IT specialist
    Zrob skan przy pomocy SuperAntiSpyware.

    > - wwdc - przy przycisku Locator pisze że jest
    > wył±czony ale nie ma numeru portu i jest trójk±t
    > taki jak przy NetBIOS

    Po resecie rowniez?

    > ComboFix - pobiera się ale nie chce się
    > skopiować

    Co to znaczy, nie chce sie skopiowac? Sciagasz program, rozpakowujesz i uruchamiasz, nie wiem o jakie kopiwanie Ci chodzi. Zawsze mozesz dac log z DSS zamiast combofix.

    Uzyj tez SmitFraudFix opcja 2. Clean, logi z hjt, combofix/dss oraz smitfraudfix daj w ZALACZNIKU.

    W menadzerze zadan zakoncz:
    C:\Program Files\Video Add-on\icthis.exe

    W hijackthis usun:
    O3 - Toolbar: IE Custom Tools - {23ED2206-856D-461A-BBCF-1C2466AC5AE3} - C:\Program Files\Video Add-on\ictmdl.dll
    O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\WinSecureAv\bm.exe" dm=http://winsecureav.com; ad=http://winsecureav.com
    O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Video Add-on\icthis.exe
    O22 - SharedTaskScheduler: designers - {f0c5ef8b-f4bb-4612-9ea8-361fff3da3d5} - C:\WINDOWS\system32\sttwrd.dll
  • #12
    kefir2
    Level 11  
    Wwcd - po resecie również - próbowałem kilka razy wł±czać i wył±czać.

    ComboFix - tzn. pobiera się do 99% i pokazuje się drugie okienko kopiowania plików do folderu docelowego, następnie wyskakuje komunikat, że kopiowanie nie powiodło się, że może brak miejsca na dysku czy co¶ w tym stylu, a miejsca mam dużo.

    Na razie skorzystam (było skożystam) z w/w opcji i póĽniej będę próbował w/w innych rozwi±zań
    SmitFraudFix też nie chce się pobrać. Komunikat brzmi
    "Nie można skopiować SmitfraudFix(1): odmowa dostępu
    SprawdĽ czy dysk nie jest zapełniony lub chroniony przed zapisem lub czy nie jest aktualnie używany"

    A poza tym Panda cały czas mi sygnalizuje:
    Trj.Rebooter.J przy pobieraniu SmitfraudFix i blokuje go.
    Może to działa ta heurystyka?
  • #13
    Kolobos
    IT specialist
    Wylacz Pande, a jeszcze lepiej odinstaluj i zainstaluj AntiVir PE. Pliki zapisuj na inny dysk lub do innego katalogu.
  • #14
    kefir2
    Level 11  
    Przeskanowałem SuperAntiSpyware`em! Chyba zadziałało (żeby nie zapeszyć). Rozpoczęło się skanowanie a jak za chwilkę wróciłem (było: wrócciłem), to komputer (było: komp) się ponownie uruchamiał - uruchomił się i na razie wszystko ok.
    Dzięki (było: dzięki)
  • #15
    Kolobos
    IT specialist
    Jednak postaraj sie dac logi o ktore wczesniej prosilem, samo skanowanie przy pomocy Super nie wystarczy.
  • #16
    kefir2
    Level 11  
    Jeszcze Logfile of Trend Micro HijackThis v2.0.2 nie chciało mi wstawić zał±cznika
    Moderated By TONI_2003:

    Sugeruję poprawienie tre¶ci postu jak i jego gramatyki przed wysłaniem!
    Proszę o niepisanie do każdego zał±cznika nowego postu do tego wystarczy edycja ostatniego swojego postu.

  • #17
    Kolobos
    IT specialist
    Zmiast OE i IE uzywaj Opery/Firefox oraz Thunderbird'a.

    Wklej do notatnika to:

    Folder::
    C:\Program Files\AntiSpyGolden 5.1
    C:\Program Files\Video Add-on

    File::
    C:\WINDOWS\system32\sttwrd.dll

    Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ).

    Reszta wyglada ok.
  • #18
    kefir2
    Level 11  
    :arrow: Kolobos, chyba będzie musiało mi wystarczyć to co zrobiłem do tej pory + ewentualna zmiana przegl±darki, chyba (było chybz), że:
    to znaczy (było tzn,) te trzy (było 3) pliki mam zapisać w jednym notatniku?Po (było p o) prostu zapisać ¶cieżki - nie bardzo rozumiem (było czaję)
    Proszę poprawić wszystkie posty.
    Zdania zaczynamy z wielkiej litery.
    Stosowanie slangu jest niedozwolone.
    Dziękuję ...
    TONI_2003
  • #19
    Kolobos
    IT specialist
    Tak, masz zrobic dokladnie to co napisalem. Kopiujesz i wklejasz do notatnika to co podalem, dalej robisz tak jak masz podane.
  • #20
    many94
    Level 10  
    prosze pomóżcie . Mam wirusy które nie chc± sie usun±ć
    Mam avasta który wykrywa cały czas te same wirusy i nie chce ich usun±ć

    Dodano po 2 [minuty]:

    DoraĽcie mi mam sformatować dysk czy nie
  • #21
    Kolobos
    IT specialist
    :arrow: many94
    Daj w zalaczniku log z combofix oraz hijackthis.


    Czego dokladnie nie rozumiesz w "daj log w zalaczniku"?!
    Naucz sie korzystac z przycisku ZMIEN! Zasmiecasz tylko forum.
    Dales log ze starej wersji hjt i kawalek loga z combofix i chcesz pomocy? ...
  • #22
    pidar
    Mass storage specialist
    Wszystko się da usun±c - użyj RegRun Reanimator 5.5.923 z http://www.greatis.com/security/download.htm i usuń tego wirusa je¶li go znajdzie. Inne podejrzane procesy na razie zostaw. Reanimatora zastosuj w ostateczno¶ci, gdy inne ¶rodki zawiod±(ręczne usuwanie). Nie jestem specem od logów więc proponuję ci najpierw zastosować się do porad kolegów. Je¶li chcesz spróbować własnych sił to wklej log z HijackThis tu: http://hijackthis.de/ .
  • #24
    Kolobos
    IT specialist
    Dales log z combofix, a gdzie jest log z hijackthis?

    Wklej do notatnika to:

    File::
    C:\WINDOWS\system32\wupdsvc6.exe
    C:\msntnazc.exe
    C:\msnttnnr.exe
    C:\msntkbdr.exe
    C:\WINDOWS\system32\mssrv32.exe
    C:\WINDOWS\system32\wupdsvc0.exe
    C:\msntcyxz.exe
    C:\WINDOWS\hostctrl.dll
    C:\WINDOWS\nmcuninstall.exe
    C:\WINDOWS\ntspkfnd.dll
    C:\WINDOWS\system32\H@tKeysH@@k.DLL

    Folder::
    C:\Program Files\fidcvnrq

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    "hostctrl"=-

    Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ). Po wszystkim daj log (w ZALACZNIKU) + nowy log z hijackthis (tym razem nie zapomnij) oraz log z SDFix zrobiony w trybie awaryjnym.


    PS. Na forum jest automat, ktory zmienia at na malpe, jak bedziesz wklejal to popraw w nazwie H@tKeysH@@k.DLL zamiast (malpa) ma byc jeden @@.
  • #26
    Kolobos
    IT specialist
    Po uzyciu (po przeciagnieciu CFScript) utworzy sie nowy i ten masz dac.
  • #28
    Kolobos
    IT specialist
    Przeciez Ci dokladnie napisalem, wystarczy przeczytac. Log z combofix po uruchomieniu z CFScript, nowy z hijackthis + log z sdfix.
  • #29
    many94
    Level 10  
    no to wysłałem

    Dodano po 2 [minuty]:

    więc co mam robić
  • #30
    krzysiek666
    Level 10  
    podpinam sie pod rozmowę
    pobrałem dzi¶ wirusa net i wydajno¶ć kompa spadła mi o 50 % zastosowałęm sie do poleceń kolegi który linka podesłał pobrałem program i pozamykałem porty zgodnie z instrukcj± podan± komp i poł±czenia z netem wróciły do swojej ¶wietno¶ci ale mam monit z wykrzyknikiem alert trojan
    można to usun±ć ?