Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirusy :Balster konie trojańskie WIN 32 jak je usunąć ?

18 Wrz 2007 14:39 52246 40
  • Poziom 9  
    Mam ogromny problem mam takie wirusy typu Konie trojańskie WIN 32, że nie chcą się za żadne skarby usunąć nawet podczas skanowania Kasperksy mojego antywirusa.
    Próbowałam wieloma antywirusami je wykasować nic to nie daje :|
    Teraz na dodatek mi się pokazuje tak zwany wirus Balster który zamyka mi system za 50 sekund i zablokował mi neta !
    Musze wchodzić w net przez moje dokumenty !
    Darmowe szkolenie: Ethernet w przemyśle dziś i jutro. Zarejestruj się za darmo.
  • Spec od komputerów
    Daj w zalaczniku log z combofix oraz hijackthis. Zamknij tez porty przy pomocy wwdc.exe.
  • Poziom 9  
    Kolobos napisał:
    Daj w zalaczniku log z combofix oraz hijackthis. Zamknij tez porty przy pomocy wwdc.exe.


    Możesz to lepije objaśnić? Bo fenomenem nie jestem takjak ty xD
  • Poziom 9  
    Kolobos napisał:
    Nie musisz byc, dostep do internetu masz, wiec naucz sie uzywac wyszukiwarki. Zainstalowac trojany to potrafisz, a uzyc wyszukiwarki to juz nie?

    Pierwsze lepsze linki z google:
    http://cybertrash.pl/images/tata/WWDC.html
    http://cybertrash.pl/images/tata/Hijack/HijackThis.html (tyle, ze uzyj noweszej wersji ze strony trendmicro).
    http://cybertrash.pl/images/tata/ComboFix.html


    Jak ja włączyłam komputer któregoś dnia to mi się tak zaczeło robić i włazić reklamy z antywirusami.
    Co do twojej odp to nic nie czaje wytłumacz mi wszystko po kolei.
  • Spec od komputerów
    Na stronach, ktore podalem masz to wytlumaczone tak prosto, ze juz prosciej sie nie da. Sciagnij wymienione programy i uzyj tak jak to masz opisane na stronie. Nastepnie daj w zalaczniku logi.
  • Poziom 9  
    Nie chcą sie te wirusy wykasować ;/
  • Spec od komputerów
    Samo sie nic nie usunie, wiec moze zrob w koncu to co napisalem..
  • Poziom 15  
    polecam tez zainstalowac antywirusa NOD32, uzywac firewalla i zrobic aktualizacje zabezpieczen systemu - blaster to szalal ze 4 lata temu...
  • Poziom 11  
    Witam, mogę się dołączyć?
    Próbowałem trzech (było 3) kroków Kolobos`a i
    - wwdc - przy przycisku Locator pisze że jest wyłączony ale nie ma numeru portu i jest trójkąt taki jak przy NetBIOS
    - ComboFix - pobiera się ale nie chce się skopiować
    - no i o to log nowego hjt

    Cytat:
    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:48:23, on 2007-10-15
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\AVENGINE.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe
    c:\program files\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
    C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\apvxdwin.exe
    C:\Program Files\Video Add-on\icthis.exe
    C:\WINDOWS\system32\devldr32.exe
    c:\program files\panda software\panda antivirus + firewall 2007\WebProxy.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Documents and Settings\Ola\Moje dokumenty\Gadu-Gadu\gg.exe
    E:\Narzędzia\dc++\DCPlusPlus.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\avciman.exe
    C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\psimreal.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O3 - Toolbar: IE Custom Tools - {23ED2206-856D-461A-BBCF-1C2466AC5AE3} - C:\Program Files\Video Add-on\ictmdl.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVPDWIN] "C:\Program Files\Panda Software\Panda Demo\pandasft.exe"
    O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s
    O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\WinSecureAv\bm.exe" dm=http://winsecureav.com; ad=http://winsecureav.com
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Documents and Settings\Ola\Moje dokumenty\Gadu-Gadu\gg.exe" /tray
    O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Video Add-on\icthis.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
    O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/sezam/components/SignActivX.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O22 - SharedTaskScheduler: designers - {f0c5ef8b-f4bb-4612-9ea8-361fff3da3d5} - C:\WINDOWS\system32\sttwrd.dll
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
    O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
    O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
    O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\program files\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE
    O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
    O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

    --
    End of file - 5900 bytes
  • Spec od komputerów
    Zrob skan przy pomocy SuperAntiSpyware.

    > - wwdc - przy przycisku Locator pisze że jest
    > wyłączony ale nie ma numeru portu i jest trójkąt
    > taki jak przy NetBIOS

    Po resecie rowniez?

    > ComboFix - pobiera się ale nie chce się
    > skopiować

    Co to znaczy, nie chce sie skopiowac? Sciagasz program, rozpakowujesz i uruchamiasz, nie wiem o jakie kopiwanie Ci chodzi. Zawsze mozesz dac log z DSS zamiast combofix.

    Uzyj tez SmitFraudFix opcja 2. Clean, logi z hjt, combofix/dss oraz smitfraudfix daj w ZALACZNIKU.

    W menadzerze zadan zakoncz:
    C:\Program Files\Video Add-on\icthis.exe

    W hijackthis usun:
    O3 - Toolbar: IE Custom Tools - {23ED2206-856D-461A-BBCF-1C2466AC5AE3} - C:\Program Files\Video Add-on\ictmdl.dll
    O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\WinSecureAv\bm.exe" dm=http://winsecureav.com; ad=http://winsecureav.com
    O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Video Add-on\icthis.exe
    O22 - SharedTaskScheduler: designers - {f0c5ef8b-f4bb-4612-9ea8-361fff3da3d5} - C:\WINDOWS\system32\sttwrd.dll
  • Poziom 11  
    Wwcd - po resecie również - próbowałem kilka razy włączać i wyłączać.

    ComboFix - tzn. pobiera się do 99% i pokazuje się drugie okienko kopiowania plików do folderu docelowego, następnie wyskakuje komunikat, że kopiowanie nie powiodło się, że może brak miejsca na dysku czy coś w tym stylu, a miejsca mam dużo.

    Na razie skorzystam (było skożystam) z w/w opcji i później będę próbował w/w innych rozwiązań
    SmitFraudFix też nie chce się pobrać. Komunikat brzmi
    "Nie można skopiować SmitfraudFix(1): odmowa dostępu
    Sprawdź czy dysk nie jest zapełniony lub chroniony przed zapisem lub czy nie jest aktualnie używany"

    A poza tym Panda cały czas mi sygnalizuje:
    Trj.Rebooter.J przy pobieraniu SmitfraudFix i blokuje go.
    Może to działa ta heurystyka?
  • Spec od komputerów
    Wylacz Pande, a jeszcze lepiej odinstaluj i zainstaluj AntiVir PE. Pliki zapisuj na inny dysk lub do innego katalogu.
  • Poziom 11  
    Przeskanowałem SuperAntiSpyware`em! Chyba zadziałało (żeby nie zapeszyć). Rozpoczęło się skanowanie a jak za chwilkę wróciłem (było: wrócciłem), to komputer (było: komp) się ponownie uruchamiał - uruchomił się i na razie wszystko ok.
    Dzięki (było: dzięki)
  • Spec od komputerów
    Jednak postaraj sie dac logi o ktore wczesniej prosilem, samo skanowanie przy pomocy Super nie wystarczy.
  • Poziom 11  
    Jeszcze Logfile of Trend Micro HijackThis v2.0.2 nie chciało mi wstawić załącznika
    Moderowany przez TONI_2003:

    Sugeruję poprawienie treści postu jak i jego gramatyki przed wysłaniem!
    Proszę o niepisanie do każdego załącznika nowego postu do tego wystarczy edycja ostatniego swojego postu.

  • Spec od komputerów
    Zmiast OE i IE uzywaj Opery/Firefox oraz Thunderbird'a.

    Wklej do notatnika to:

    Folder::
    C:\Program Files\AntiSpyGolden 5.1
    C:\Program Files\Video Add-on

    File::
    C:\WINDOWS\system32\sttwrd.dll

    Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ).

    Reszta wyglada ok.
  • Poziom 11  
    :arrow: Kolobos, chyba będzie musiało mi wystarczyć to co zrobiłem do tej pory + ewentualna zmiana przeglądarki, chyba (było chybz), że:
    to znaczy (było tzn,) te trzy (było 3) pliki mam zapisać w jednym notatniku?Po (było p o) prostu zapisać ścieżki - nie bardzo rozumiem (było czaję)
    Proszę poprawić wszystkie posty.
    Zdania zaczynamy z wielkiej litery.
    Stosowanie slangu jest niedozwolone.
    Dziękuję ...
    TONI_2003
  • Spec od komputerów
    Tak, masz zrobic dokladnie to co napisalem. Kopiujesz i wklejasz do notatnika to co podalem, dalej robisz tak jak masz podane.
  • Poziom 10  
    prosze pomóżcie . Mam wirusy które nie chcą sie usunąć
    Mam avasta który wykrywa cały czas te same wirusy i nie chce ich usunąć

    Dodano po 2 [minuty]:

    Doraźcie mi mam sformatować dysk czy nie
  • Spec od komputerów
    :arrow: many94
    Daj w zalaczniku log z combofix oraz hijackthis.


    Czego dokladnie nie rozumiesz w "daj log w zalaczniku"?!
    Naucz sie korzystac z przycisku ZMIEN! Zasmiecasz tylko forum.
    Dales log ze starej wersji hjt i kawalek loga z combofix i chcesz pomocy? ...
  • Spec od pamięci masowych
    Wszystko się da usunąc - użyj RegRun Reanimator 5.5.923 z http://www.greatis.com/security/download.htm i usuń tego wirusa jeśli go znajdzie. Inne podejrzane procesy na razie zostaw. Reanimatora zastosuj w ostateczności, gdy inne środki zawiodą(ręczne usuwanie). Nie jestem specem od logów więc proponuję ci najpierw zastosować się do porad kolegów. Jeśli chcesz spróbować własnych sił to wklej log z HijackThis tu: http://hijackthis.de/ .
  • Spec od komputerów
    Dales log z combofix, a gdzie jest log z hijackthis?

    Wklej do notatnika to:

    File::
    C:\WINDOWS\system32\wupdsvc6.exe
    C:\msntnazc.exe
    C:\msnttnnr.exe
    C:\msntkbdr.exe
    C:\WINDOWS\system32\mssrv32.exe
    C:\WINDOWS\system32\wupdsvc0.exe
    C:\msntcyxz.exe
    C:\WINDOWS\hostctrl.dll
    C:\WINDOWS\nmcuninstall.exe
    C:\WINDOWS\ntspkfnd.dll
    C:\WINDOWS\system32\H@tKeysH@@k.DLL

    Folder::
    C:\Program Files\fidcvnrq

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    "hostctrl"=-

    Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ). Po wszystkim daj log (w ZALACZNIKU) + nowy log z hijackthis (tym razem nie zapomnij) oraz log z SDFix zrobiony w trybie awaryjnym.


    PS. Na forum jest automat, ktory zmienia at na malpe, jak bedziesz wklejal to popraw w nazwie H@tKeysH@@k.DLL zamiast (malpa) ma byc jeden @@.
  • Poziom 10  
    a ten log z combofix ma być nowy
  • Spec od komputerów
    Po uzyciu (po przeciagnieciu CFScript) utworzy sie nowy i ten masz dac.
  • Spec od komputerów
    Przeciez Ci dokladnie napisalem, wystarczy przeczytac. Log z combofix po uruchomieniu z CFScript, nowy z hijackthis + log z sdfix.
  • Poziom 10  
    no to wysłałem

    Dodano po 2 [minuty]:

    więc co mam robić
  • Poziom 9  
    podpinam sie pod rozmowę
    pobrałem dziś wirusa net i wydajność kompa spadła mi o 50 % zastosowałęm sie do poleceń kolegi który linka podesłał pobrałem program i pozamykałem porty zgodnie z instrukcją podaną komp i połączenia z netem wróciły do swojej świetności ale mam monit z wykrzyknikiem alert trojan
    można to usunąć ?