avpu32.dll

IP: 217.153.161.* 13.10.05, 17:58
Mam problem z trojanem ktory tworzy na moim kompie plik avpu32.dll.
Oczywiscie poza HJ nic tego pliku nie wykrywa a explorer wariuje i
podejrzewam ze ten wirus to powoduje. probowalam juz sciezke usunac z loga,
probowalam killboxem, probowalam recznie z rejestru, oczywiscie wszystko w
trybie awaryjnym bez przywracania systemu i juz nie mam pojecia jak to
usunac, bo zawsze wraca...
    • Gość: Kolobos Re: avpu32.dll IP: *.warszawa.sdi.tpnet.pl 13.10.05, 19:50
      Usun wszystkie jego pliki oraz wpisy z rejestru:
      wirusy.antivirenkit.pl/pl/opis/Backdoor.Win32.Haxdoor.ej.html
    • Gość: K. Re: avpu32.dll IP: *.warszawa.sdi.tpnet.pl 13.10.05, 19:50
      I wklej log z hijackthis.
    • Gość: amy Re: avpu32.dll IP: 217.153.161.* 14.10.05, 00:16
      usunelam wszystko co podane jest na tej stronce. moge sobie usuwac w kolko bo
      po chwili pojawia sie znowu. tak samo z HJ, usuwam z loga skanuje jeszcze raz i
      tak jakbym nic nie zrobila... tak BTW oczywiscie wirusik sie ukrywa i recznie
      to tego pliku nie znajde...

      log z hijacka:
      Logfile of HijackThis v1.99.1
      Scan saved at 00:18:04, on 2005-10-14
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
      C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
      C:\program files\dofilmow\QTplayer\qttask.exe
      C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
      C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
      C:\Program Files\internet\Gadu-Gadu\gg.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Program Files\internet\eMule\emule.exe
      C:\WINDOWS\regedit.exe
      C:\praktyczne\hijackthis.com

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-
      0B27DDD11DB2} - C:\praktyczne\SpywareGuard\dlprotect.dll (file missing)
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
      \NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
      Files\HP\hpcoretech\hpcmpmgr.exe"
      O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP
      Software Update\HPWuSchd2.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\program
      files\dofilmow\QTplayer\qttask.exe" -atboottime
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
      \spool\drivers\w32x86\3\hpztsb10.exe
      O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\internet\Gadu-Gadu\gg.exe" /tray
      O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1
      \internet\FLASHGET\jc_all.htm
      O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1
      \internet\FLASHGET\jc_link.htm
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
      C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
      O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
      00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
      O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
      C:\PROGRA~1\internet\FLASHGET\flashget.exe
      O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
      0050BA6940E3} - C:\PROGRA~1\internet\FLASHGET\flashget.exe
      O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -
      www.bitdefender.com/scan/Msie/bitdefender.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
      www.pandasoftware.com/activescan/as5free/asinst.cab
      O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) -
      www.ravantivirus.com/scan/ravonline.cab
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      skaner.mks.com.pl/SkanerOnline.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{2066DF5B-D412-41C9-96C4-49AB9AFB8EE6}:
      NameServer = 10.0.0.254,194.204.159.1
      O17 - HKLM\System\CS1\Services\Tcpip\..\{2066DF5B-D412-41C9-96C4-49AB9AFB8EE6}:
      NameServer = 10.0.0.254,194.204.159.1
      O17 - HKLM\System\CS2\Services\Tcpip\..\{2066DF5B-D412-41C9-96C4-49AB9AFB8EE6}:
      NameServer = 10.0.0.254,194.204.159.1
      O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll
      O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
      C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Network Interface (slaker) - Unknown owner - C:\WINDOWS\System32
      \WINTCPIP.EXE" -service (file missing)
      O23 - Service: StyleXPService - Unknown owner - C:\Program
      Files\TGTSoft\StyleXP\StyleXPService.exe

      • Gość: Kolobos Re: avpu32.dll IP: *.warszawa.sdi.tpnet.pl 14.10.05, 00:30
        Jakos wszyscy inni nie maja problemow z usunieciem...
        Moze jakbys miala aktualizacje itd to sprawa wygaldala by inaczej.

        Zainstaluj antyvirus:
        www.avast.com/eng/avast_4_home.html
        Przeskanuj tym:
        download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
        download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
        przeskanowaniu odinstaluj.
        Zamknij porty tym:
        www.firewallleaktester.com/tools/wwdc.exe

        Zmien przegladarke na Opere.

        W hijackthi usun:
        O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-
        0B27DDD11DB2} - C:\praktyczne\SpywareGuard\dlprotect.dll (file missing)
        O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll <- usuwasz
        jeszcze raz tak jak masz podane w opisie.
        Uruchom services.msc i tam wylacz ta usluge, nastepnie w hijackthis delete nt
        service wpisz slaker
        O23 - Service: Network Interface (slaker) - Unknown owner - C:\WINDOWS\System32
        \WINTCPIP.EXE" -service (file missing)
        • Gość: amy Re: avpu32.dll IP: 217.153.161.* 14.10.05, 17:56
          wykonalam wszystkie podane przez ciebie czynnosci na razie poza zmiana
          przegladarki na opere. Podaje log z hj, jak widzisz ten durny plik nadal tam
          siedzi, wracaja klucze w rejestrze tuz po ich usunieciu wraca na logu z hj, po
          prostu cokolwiek robie... nie moge go nawet recznie usunac z trybu awaryjnego
          bo "brak dostepu"

          Logfile of HijackThis v1.99.1
          Scan saved at 17:59:56, on 2005-10-14
          Platform: Windows XP (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\csrss.exe
          C:\WINDOWS\system32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\system32\spoolsv.exe
          C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
          C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
          C:\program files\dofilmow\QTplayer\qttask.exe
          C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
          C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
          C:\Program Files\internet\Gadu-Gadu\gg.exe
          C:\praktyczne\maspy\gcasDtServ.exe
          C:\praktyczne\security suite\ewidoctrl.exe
          C:\WINDOWS\System32\nvsvc32.exe
          C:\WINDOWS\System32\wuauclt.exe
          C:\praktyczne\security suite\SecuritySuite.exe
          C:\praktyczne\hijackthis.com

          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
          C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
          O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
          \NvCpl.dll,NvStartup
          O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
          Files\HP\hpcoretech\hpcmpmgr.exe"
          O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP
          Software Update\HPWuSchd2.exe"
          O4 - HKLM\..\Run: [QuickTime Task] "C:\program
          files\dofilmow\QTplayer\qttask.exe" -atboottime
          O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
          \spool\drivers\w32x86\3\hpztsb10.exe
          O4 - HKLM\..\Run: [gcasServ] "C:\praktyczne\maspy\gcasServ.exe"
          O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
          O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\internet\Gadu-Gadu\gg.exe" /tray
          O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1
          \internet\FLASHGET\jc_all.htm
          O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1
          \internet\FLASHGET\jc_link.htm
          O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
          C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
          O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
          00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
          O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
          C:\PROGRA~1\internet\FLASHGET\flashget.exe
          O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
          0050BA6940E3} - C:\PROGRA~1\internet\FLASHGET\flashget.exe
          O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) -
          www.bitdefender.com/scan/Msie/bitdefender.cab
          O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
          www.pandasoftware.com/activescan/as5free/asinst.cab
          O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) -
          www.ravantivirus.com/scan/ravonline.cab
          O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
          skaner.mks.com.pl/SkanerOnline.cab
          O17 - HKLM\System\CCS\Services\Tcpip\..\{2066DF5B-D412-41C9-96C4-49AB9AFB8EE6}:
          NameServer = 10.0.0.254,194.204.159.1
          O17 - HKLM\System\CS1\Services\Tcpip\..\{2066DF5B-D412-41C9-96C4-49AB9AFB8EE6}:
          NameServer = 10.0.0.254,194.204.159.1
          O17 - HKLM\System\CS2\Services\Tcpip\..\{2066DF5B-D412-41C9-96C4-49AB9AFB8EE6}:
          NameServer = 10.0.0.254,194.204.159.1
          O20 - Winlogon Notify: avpu32 - C:\WINDOWS\SYSTEM32\avpu32.dll
          O23 - Service: ewido security suite control - ewido networks -
          C:\praktyczne\security suite\ewidoctrl.exe
          O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
          C:\WINDOWS\System32\nvsvc32.exe
          O23 - Service: StyleXPService - Unknown owner - C:\Program
          Files\TGTSoft\StyleXP\StyleXPService.exe

          • Gość: Kolobos Re: avpu32.dll IP: *.warszawa.sdi.tpnet.pl 14.10.05, 18:10
            www.sophos.com/virusinfo/analyses/trojhaxdooram.html
            www.sophos.com/virusinfo/analyses/trojhaxdoored.html
            Poczytaj oba opisy i ustal, ktora masz wersje, jak juz ustalisz to usun wpisy
            dotyczace danej wersji, nastepnie w killbox'sie zaznacz delete file on reboot i
            dodaj po jednym wszystkie pliki:
            avpu32.dll
            avpu32.sys
            avpu64.sys
            klogini.dll
            p3.ini
            qy.sys
            qz.dll
            qz.sys
            zresetuj dopiero po dodaniu wszystkich.Po resecie usun wpisy z rejestru.
            Wklej tez log z:
            www.silentrunners.org/Silent%20Runners.vbs
            zrobiony w trybie awaryjnym.
            • Gość: amy Re: avpu32.dll IP: 217.153.161.* 14.10.05, 18:18
              chyba sobie poradzilam :)
              znalazlam w hj opcje usuwania pliku podczas restartu komputera i to chyba
              rozwiazuje moje problemy :) bo w rejestrze wreszcie jest czysto :)
            • Gość: amy Re: avpu32.dll IP: 217.153.161.* 14.10.05, 18:20
              ps oczywiscie na wszelki wypadek sprawdze jeszcze inne pliki podane przez
              ciebie zaraz czy sie nie napatoczyly i w ogole dzieki za pomoc :)
      • Gość: gosia_Łódz Re: avpu32.dll IP: *.retsat1.com.pl 14.10.05, 11:58
        ja mialam dokladnie to samo wczoraj! Nie moglam odpalic normalnie kompa tylko w
        awaryjnym... i w koncu zrobilam reinstal systemu i teraz mam spokoj, ale i
        cala "tone" antyspyware'ow i antywirosow jakiej chyba nikt nigdy nie mial. No i
        zmienilam przegladarke na opere.pozdrawiam i zecze cierpliwosci;)
Pełna wersja