Netsec ratuj!!!Trojan Wootbot.Gen.87297.MX

05.01.05, 20:40

Jestem w sieci lokalnej.Właściciel sieci wysłał mi komunikat,że mam wirusa i za dwa dni mnie odłączy,bo zarażam inne kompy.Faktycznie sprawdziłem Avastem,nic,a MKS znajduje Trojan Wootbot.Gen.87297.MX ale go nie może usunąć.Walczyłem z nim i nic,robiłem co się da.W zasadzie to nic się w systemie nie dzieje.Prosze o pomoc jak to dziadostwo usunąć.
Logfile of HijackThis v1.97.7
Scan saved at 20:26:30, on 2005-01-05
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wins32.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\secure.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
D:\Inne\Programy\Antywirusy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Windows Update Drive] drives.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WIndows SErvices] secure.exe
O4 - HKLM\..\Run: [MSN Update] msn32.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [Win32 USB2] wins32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [Windows Update Drive] drives.exe
O4 - HKLM\..\RunServices: [WIndows SErvices] secure.exe
O4 - HKLM\..\RunServices: [MSN Update] msn32.exe
O4 - HKLM\..\RunServices: [Win32 USB2] wins32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Update Drive] drives.exe
O4 - HKCU\..\Run: [MSN Update] msn32.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Win32 USB2] wins32.exe
O4 - HKLM\..\RunOnce: [Win32 USB2] wins32.exe
O4 - HKCU\..\RunOnce: [Win32 USB2] wins32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Run DAP (HKLM)
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab
    • netsec Re: Netsec ratuj!!!Trojan Wootbot.Gen.87297.MX 05.01.05, 20:52
      Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
      połączenia do Internetu. Tu jest opis jak to wykonać
      www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
      Wyłącz przywracanie systemu:
      support.microsoft.com/default.aspx?scid=kb;pl;310405
      Uruchom komputer w trybie awaryjnym:
      support.microsoft.com/default.aspx?scid=KB;PL;315222
      Uwaga! Przy starcie do awaryjnego dostaniesz pytanie o wybór konta. NIE wybieraj
      konta Administratora tylko swoje własne imienne, bo na tym profilu jest syf. Po
      uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

      Uruchom ponownie HiJackThis wykonaj SCAN i zaznacz(haczykiem) te pozycje:

      > O4 - HKLM\..\Run: [Windows Update Drive] drives.exe
      > O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH
      Jukebox\mm_tray.exe
      > O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
      -atboottime
      > O4 - HKLM\..\Run: [WIndows SErvices] secure.exe
      > O4 - HKLM\..\Run: [MSN Update] msn32.exe
      > O4 - HKLM\..\Run: [Win32 USB2] wins32.exe
      > O4 - HKLM\..\RunServices: [Windows Update Drive] drives.exe
      > O4 - HKLM\..\RunServices: [WIndows SErvices] secure.exe
      > O4 - HKLM\..\RunServices: [MSN Update] msn32.exe
      > O4 - HKLM\..\RunServices: [Win32 USB2] wins32.exe
      > O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      > O4 - HKCU\..\Run: [Windows Update Drive] drives.exe
      > O4 - HKCU\..\Run: [MSN Update] msn32.exe
      > O4 - HKCU\..\Run: [Win32 USB2] wins32.exe
      > O4 - HKLM\..\RunOnce: [Win32 USB2] wins32.exe
      > O4 - HKCU\..\RunOnce: [Win32 USB2] wins32.exe

      Po zaznaczeniu wykonaj FIX CHECKED i potwierdź TAK/OK.

      Upewnij się, że opcja Pokaż wszystkie pliki w Eksploratorze Windows jest
      włączona.

      a. Kliknij przycisk Start, kliknij polecenie Mój komputer, kliknij menu
      Narzędzia, a następnie kliknij polecenie Opcje folderów. Kliknij kartę
      Widok.

      b. W sekcji Ustawienia zaawansowane kliknij pozycję Pokaż ukryte pliki i
      foldery.

      c. W sekcji Ustawienia zaawansowane kliknij, aby wyczyścić pole wyboru
      Ukryj chronione pliki systemu operacyjnego (zalecane).

      Otwórz Mój Komputer wpisz w pasku adresu %TEMP%.
      Przejdziesz do folderu TEMP. Skasuj w nim wszystkie pliki, które uda się
      skasować.

      Uruchom komputer w normalnym trybie.

      Sprawdź czy twój AVAST aktualizuje się, moim zdaniem nie.

      Sprawdź czy masz koło zegarka ikonki AVAST'a, jesli ich tam nie ma to znaczy że
      nie aktualizuje się.

      Zacznij od zaktualizowania systemu. Twój problem bierze się z tego, że masz
      kompletnie nie zaktualizowany system. Prawdopodobnie Twój klucz produktu jest na
      czarnej liście w MS. Tu masz program którym można odczytać ten klucz:
      www.michaelstevenstech.com/keyfinder.exe
      Po kliknięciu wyświetli jaki masz klucz. Jeśli zaczyna sie od FCKGW to nie jest
      dobrze. Keyfinder to program, który umożliwia wyświetlenie product key, ale
      również w menu Options jego zmianę. Poczytaj ten wątek
      nowe.pl/modules/mydownloads/singlefile.php?cid=85&lid=405
      Przeskanuj system Spybot i ad-aware:
      forum.gazeta.pl/forum/72,2.html?f=23618&w=16148176
    • pmes Re: Netsec ratuj!!!Trojan Wootbot.Gen.87297.MX 05.01.05, 22:00
      Dzięki za pomoc.Jutro powiem Ci,czy dał się usunąć.Przepraszam,że powstały dwa posty,a to dlatego,że najpierw stworzyłem jeden gdzie opisałem sytuację,a potem pomyślalem,że warto dodać log.Chciałem usunąć ten pierwszy post,otrzymałem wiadomość"Zgłoszenie wysłane",ale jak widać nie usunął się.
Pełna wersja