Trojan Win32.Trojano- 2664

IP: *.neoplus.adsl.tpnet.pl 09.11.05, 23:22
Witam co mam na tego wirusika poradzic??? Ciagle wywala explorer.exe i wogole
tapetka sie ustawila dziwna nie da sie zmienic. Daremnie komp ledwo myka i
obawiam sie czy nie bedzie potrzebny format. Uzywam avasta. W razie gdybyscie
do diagnozy jeszcze potrzebowali wiecej danych pisac co potrzebujecie ale
pomozcie blagam > pOzdro jejmnol
    • neder Re: Trojan Win32.Trojano- 2664 09.11.05, 23:26
      fałszywe tapety:
      www.searchengines.pl/phpbb203/index.php?showtopic=31936

      poza tym oczywiście wklej log z HijackThis


      PS. trojan to nie wirus ;P
      pzdr
    • Gość: JEJMNOL Re: Trojan Win32.Trojano- 2664 IP: *.neoplus.adsl.tpnet.pl 10.11.05, 18:11
      Witam zamieszczam ponizej log z hijackthis prosze o pomoc bo ajk narazie to sie
      kompa wogole nei da uzytkowac i ledwo na necie siedze. Blagam pomocyyyy

      Logfile of HijackThis v1.99.1
      Scan saved at 18:10:24, on 2005-11-10
      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\RUNDLL32.EXE
      C:\WINDOWS\SOUNDMAN.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Winamp\Winampa.exe
      C:\Program Files\D-Tools\daemon.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Anti-Blaxx\Anti-Blaxx.exe
      C:\windows\system32\mdms.exe
      C:\WINDOWS\System32\rtf32.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\PROGRA~1\Save\Save.exe
      C:\winstall.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
      C:\Program Files\SpySheriff\SpySheriff.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      D:\Downloads\hijackthis\HijackThis.exe
      C:\WINDOWS\explorer.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.wanadoo.fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
      C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
      F2 - REG:system.ini: Shell=explorer.exe
      "C:\Program
      Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe"
      O1 - Hosts: 127.0.0.5 n-glx.s-redirect.com
      O1 - Hosts: 127.0.0.5 x.full-tgp.net
      O1 - Hosts: 127.0.0.5 counter.sexmaniack.com
      O1 - Hosts: 127.0.0.5 autoescrowpay.com
      O1 - Hosts: 127.0.0.5 www.autoescrowpay.com
      O1 - Hosts: 127.0.0.5 www.awmdabest.com
      O1 - Hosts: 127.0.0.5 www.sexfiles.nu
      O1 - Hosts: 127.0.0.5 awmdabest.com
      O1 - Hosts: 127.0.0.5 sexfiles.nu
      O1 - Hosts: 127.0.0.5 allforadult.com
      O1 - Hosts: 127.0.0.5 www.allforadult.com
      O1 - Hosts: 127.0.0.5 www.iframe.biz
      O1 - Hosts: 127.0.0.5 iframe.biz
      O1 - Hosts: 127.0.0.5 www.newiframe.biz
      O1 - Hosts: 127.0.0.5 newiframe.biz
      O1 - Hosts: 127.0.0.5 www.vesbiz.biz
      O1 - Hosts: 127.0.0.5 vesbiz.biz
      O1 - Hosts: 127.0.0.5 www.pi..to.biz
      O1 - Hosts: 127.0.0.5 pi..to.biz
      O1 - Hosts: 127.0.0.5 www.awmcash.biz
      O1 - Hosts: 127.0.0.5 awmcash.biz
      O1 - Hosts: 127.0.0.5 buldog-stats.com
      O1 - Hosts: 127.0.0.5 www.buldog-stats.com
      O1 - Hosts: 127.0.0.5 fregat.drocherway.com
      O1 - Hosts: 127.0.0.5 slutmania.biz
      O1 - Hosts: 127.0.0.5 www.slutmania.biz
      O1 - Hosts: 127.0.0.5 toolbarpartner.com
      O1 - Hosts: 127.0.0.5 www.toolbarpartner.com
      O1 - Hosts: 127.0.0.5 www.megapornix.com
      O1 - Hosts: 127.0.0.5 megapornix.com
      O1 - Hosts: 127.0.0.5 www.sp2fucked.biz
      O1 - Hosts: 127.0.0.5 sp2fucked.biz
      O1 - Hosts: 127.0.0.5 greg-tut.com
      O1 - Hosts: 127.0.0.5 www.greg-tut.com
      O1 - Hosts: 127.0.0.5 nylonsexy.com
      O1 - Hosts: 127.0.0.5 www.nylonsexy.com
      O1 - Hosts: 127.0.0.5 vparivalka.com
      O1 - Hosts: 127.0.0.5 www.vparivalka.com
      O1 - Hosts: 127.0.0.5 iframeprofit.com
      O1 - Hosts: 127.0.0.5 www.iframeprofit.com
      O1 - Hosts: 127.0.0.5 topsearch10.com
      O1 - Hosts: 127.0.0.5 www.topsearch10.com
      O1 - Hosts: 127.0.0.5 statscash.biz
      O1 - Hosts: 127.0.0.5 www.statscash.biz
      O1 - Hosts: 127.0.0.5 vxiframe.biz
      O1 - Hosts: 127.0.0.5 www.vxiframe.biz
      O1 - Hosts: 127.0.0.5 crazy-toolbar.com
      O1 - Hosts: 127.0.0.5 www.crazy-toolbar.com
      O1 - Hosts: 127.0.0.5 topcash.biz
      O1 - Hosts: 127.0.0.5 www.topcash.biz
      O1 - Hosts: 127.0.0.5 loadcash.biz
      O1 - Hosts: 127.0.0.5 www.loadcash.biz
      O1 - Hosts: 127.0.0.5 txiframe.biz
      O1 - Hosts: 127.0.0.5 www.txiframe.biz
      O1 - Hosts: 127.0.0.5 procounter.biz
      O1 - Hosts: 127.0.0.5 www.procounter.biz
      O1 - Hosts: 127.0.0.5 advadmin.biz
      O1 - Hosts: 127.0.0.5 www.advadmin.biz
      O1 - Hosts: 127.0.0.5 trafficbest.net
      O1 - Hosts: 127.0.0.5 www.trafficbest.net
      O1 - Hosts: 127.0.0.5 besthvac.com
      O1 - Hosts: 127.0.0.5 www.besthvac.com
      O1 - Hosts: 127.0.0.5 traff4.com
      O1 - Hosts: 127.0.0.5 www.traff4.com
      O1 - Hosts: 127.0.0.5 ambush-script.com
      O1 - Hosts: 127.0.0.5 www.ambush-script.com
      O1 - Hosts: 127.0.0.5 beehappyy.biz
      O1 - Hosts: 127.0.0.5 www.beehappyy.biz
      O1 - Hosts: 127.0.0.5 tracktraff.cc
      O1 - Hosts: 127.0.0.5 www.tracktraff.cc
      O1 - Hosts: 127.0.0.5 allcount.net
      O1 - Hosts: 127.0.0.5 www.allcount.net
      O1 - Hosts: 127.0.0.5 onedayoffer.biz
      O1 - Hosts: 127.0.0.5 www.onedayoffer.biz
      O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} -
      C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} -
      C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
      C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
      -atboottime
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
      O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"
      -lang 1033
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software
      Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx\Anti-Blaxx.exe
      O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
      O4 - HKLM\..\Run: [rtf32.exe] rtf32.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
      O4 - HKCU\..\Run: [WhenUSave] "C:\PROGRA~1\Save\Save.exe"
      O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
      /minimized
      O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
      O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
      O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
      Folders\ibm00003.exe"
      O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
      800-840\dslmon.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
      Office\Office10\OSA.EXE
      O4 - Global Startup: Ulead Photo Express Calendar Checker.lnk = C:\Program
      Files\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
      Files\HP\Digital Imaging\bin\hpqtra08.exe
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program
      Files\BitSpirit\bsurl.htm
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links -
      {c95fe080-8f5d-
      • neder Re: Trojan Win32.Trojano- 2664 10.11.05, 22:20
        zamykasz procesy w menedżerze zadan albo działasz w trybie awaryjnym i usuwasz:
        > C:\windows\system32\mdms.exe -> tu dodatkowo pobaw się w czyszczenie rejestru
        ;P -> securityresponse.symantec.com/avcenter/venc/data/trojan.repsamo.html
        > C:\WINDOWS\System32\rtf32.exe
        > C:\PROGRA~1\Save\Save.exe
        > C:\winstall.exe
        > C:\Program Files\SpySheriff\SpySheriff.exe -> opis usuwania spysheriffa tutaj:
        www.searchengines.pl/phpbb203/index.php?showtopic=31936
        do usuwania możesz skorzystać z Killboxa (link znajdziesz na forum poprzez
        wyszukiwarkę) -> wklejasz całą ścieżkę i delete on reboot

        W HJ wywalasz wpisy:
        > F2 - REG:system.ini: Shell=explorer.exe
        > "C:\Program
        > Files\Common Files\Microsoft Shared\Web Folders\ibm00003.exe" -> usuwasz
        wszystkie pliki ibm z tego
        folderu, potem ściągasz i urhamiasz:
        www.kellys-korner-xp.com/regs_edits/exefix.reg
        > wszystkie wpisy 01
        > O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
        > O4 - HKLM\..\Run: [rtf32.exe] rtf32.exe
        > O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
        > O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
        > Folders\ibm00003.exe"
        > O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe


        log nie jest cały - jest tak długi (zasyfiony) że się nie zmieścił.


        Restart i nowy log (sprawdź czy tym razem zmieści się cały)
        pzdr
    • Gość: Jejmnol Re: Trojan Win32.Trojano- 2664 IP: *.neoplus.adsl.tpnet.pl 10.11.05, 21:11
      Aha i zapomnial bym dodac ze mam jeszcze jakiegos wirusa Win32.Cimuz i tez
      niewiem jak go usunac. I to wszystko z jedengo pliku sie wzielo wypakowalem go z
      rara ale najpierw spr avastem ale i tak nic nie znalazl wiec zawartosc
      wypakowalem i wtedy klapa wszystko sie zwalili poczawszy od tapety i
      explorera.exe. A i doddam ze nie bylo to zadne strony porno. Dla
      zainteresowanych moge powiedziec co sciaglem Cracka do COD z www.cracks.ws czy
      jakos tak no i lipa kompletna. Dlatego blagam pomozcie usunac ten syf zapoiwada
      sie super dlugi weekend a nieche mi ise ormatowac systemowej mam nadzieje ze
      pojdzie to jakos latwiej :D Pozdro dla ekspertow i tych co chca pomoc. Pozdro
      jeszcze raz
      • Gość: justrysia Re: Trojan Win32.Trojano- 2664 IP: *.aster.pl / *.aster.pl 10.11.05, 21:57
        też mialam tego wirusa u mnie dodatkowa pojawial sie komunikat : wystąpil blad
        exploer exe. troja zaczal sie mnozyc w kom. niczym go nie moglam usunąc
        rezultat taki że musiałam od nowa wgrac sytem. i to Ci radze powodzenai
    • Gość: JEJMNOL Re: Trojan Win32.Trojano- 2664 IP: *.neoplus.adsl.tpnet.pl 10.11.05, 23:02
      No narazie looz wywalilem wiekszosc syfu komp chodzi normalnie tapetke mozna
      zmienic i log w jakcu sie zmniejszyl wiec go wklejam jesli jeszcze jest jakis
      syf to powiedz jak to usunac jesli mozesz to tak szczegolowo jak przy wywalaniu
      tamtego syfu. A i jesli mogl bys zamiescic jak wywalic ten syf z rejestru bo
      troche sie po englishu nie orientuje :P. Z gory dzieki

      Logfile of HijackThis v1.99.1
      Scan saved at 23:02:18, on 2005-11-10
      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\System32\RUNDLL32.EXE
      C:\WINDOWS\SOUNDMAN.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Winamp\Winampa.exe
      C:\Program Files\D-Tools\daemon.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Anti-Blaxx\Anti-Blaxx.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\HPZipm12.exe
      C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      D:\Downloads\hijackthis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.wanadoo.fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
      C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
      O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} -
      C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} -
      C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
      C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
      -atboottime
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
      O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"
      -lang 1033
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software
      Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx\Anti-Blaxx.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
      O4 - HKCU\..\Run: [WhenUSave] "C:\PROGRA~1\Save\Save.exe"
      O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
      /minimized
      O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
      800-840\dslmon.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
      Office\Office10\OSA.EXE
      O4 - Global Startup: Ulead Photo Express Calendar Checker.lnk = C:\Program
      Files\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
      Files\HP\Digital Imaging\bin\hpqtra08.exe
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program
      Files\BitSpirit\bsurl.htm
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links -
      {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
      C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Windows Messenger -
      {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
      software-dl.real.com/025a29ee67f0008faa20/netzip/RdxIE601.cab
      O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) -
      67.15.101.3/g_bin/pl/poker_2_0_0_38.cab
      O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) -
      67.15.101.3/g_bin/pl/darts_2_0_0_30.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{5407DB45-541A-44D1-9669-6DF4ABB3E06D}:
      NameServer = 194.204.152.34 217.98.63.164
      O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\System32\msctl32.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
      - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
      C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
      O23 - Service: Power Manager (PowerManager) - Unknown owner -
      C:\WINDOWS\svchost.exe (file missing)
      O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division
      Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
      • neder Re: Trojan Win32.Trojano- 2664 10.11.05, 23:09
        > A i jesli mogl bys zamiescic jak wywalic ten syf z rejestru bo
        > troche sie po englishu nie orientuje :P


        po prostu usun wpisy tam podane. jesli nie czujesz sie na siłach to zostaw to.
        Ale jeśli się za to zabierzesz to nei zapomnij zrobi kopii rejestru przed zmianami.

        w logu jeszcze zostało:
        > O4 - HKCU\..\Run: [WhenUSave] "C:\PROGRA~1\Save\Save.exe" -> odinstaluj to
        Save poprzez Dodaj/usun programy, potem sprawdź w program files czy nic nie zostało
        > > O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        > C:\WINDOWS\web\related.htm
        > O9 - Extra 'Tools' menuitem: Show &Related Links -
        > {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
        > O20 - Winlogon Notify: msctl32.dll - C:\WINDOWS\System32\msctl32.dll ->
        pliczek tez leci w kosmos

        + mnóstwo zbędnych wpisów w autostarcie. Niepotrzebne tam są.

        --
        nie mam siusiaka
        • neder Re: Trojan Win32.Trojano- 2664 10.11.05, 23:12
          byłabym zapomniała. przeskanuj jeszcze tym co zawsze poleca Kolobos. tak dla
          pewności:
          download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
          download.ewido.net/ewido-setup.exe -> oczywiście nie zapominasz o
          dokonaniu aktualizacji przed skanowaniem. Potem to drugie (ewido) odinstaluj.
          AntiSpyware może zostać.

          pzdr

          --
          nie mam siusiaka
          • Gość: JEJMNOL Re: Trojan Win32.Trojano- 2664 IP: *.neoplus.adsl.tpnet.pl 10.11.05, 23:26
            Neder sorry za to ze zwracalem sie do ciebie jak do faceta ale nei czesto widuje
            tak doskonale znajace sie na kompach dziewczyny. Sorki jeszcze raz. Jestes
            ogromna wielka potezna wszechmocna normalnie wielkie wielkie zieki dla ciebie za
            te mala pomoc. Super jeszcze zastosuje sie do tych ostatnich wskazowek i mysle
            ze bedzie oki. Dzieki za wszystko i ogromne ozdro dla ciebie. JEJMNOL (jestem
            niezmiernie szczesliwy) Super ludzi tu macie prawdziwi profesjonalisci i
            fachowcy. Nic dodac nic ujac. PA
    • Gość: JEJMNOL Re: Trojan Win32.Trojano- 2664 IP: *.neoplus.adsl.tpnet.pl 12.11.05, 17:08
      Teraz jak juz wszystko porobilem pytam sie czy wszystko gra i prosze o
      sprawdzenei loga. Otot on :

      Logfile of HijackThis v1.99.1
      Scan saved at 17:07:29, on 2005-11-12
      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\Program Files\Winamp\Winampa.exe
      C:\Program Files\D-Tools\daemon.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Anti-Blaxx\Anti-Blaxx.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\System32\nvsvc32.exe
      C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Gadu-Gadu\gg.exe
      C:\WINDOWS\System32\HPZipm12.exe
      D:\Downloads\hijackthis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.wanadoo.fr
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
      C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
      O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} -
      C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} -
      C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
      C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
      -atboottime
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
      O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"
      -lang 1033
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software
      Update\HPWuSchd2.exe
      O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx\Anti-Blaxx.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
      O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
      /minimized
      O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
      800-840\dslmon.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
      Office\Office10\OSA.EXE
      O4 - Global Startup: Ulead Photo Express Calendar Checker.lnk = C:\Program
      Files\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
      Files\HP\Digital Imaging\bin\hpqtra08.exe
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
      O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program
      Files\BitSpirit\bsurl.htm
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
      C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Windows Messenger -
      {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
      software-dl.real.com/025a29ee67f0008faa20/netzip/RdxIE601.cab
      O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) -
      67.15.101.3/g_bin/pl/poker_2_0_0_38.cab
      O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) -
      67.15.101.3/g_bin/pl/darts_2_0_0_30.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{5407DB45-541A-44D1-9669-6DF4ABB3E06D}:
      NameServer = 194.204.152.34 217.98.63.164
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
      - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
      C:\WINDOWS\System32\nvsvc32.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
      O23 - Service: Power Manager (PowerManager) - Unknown owner -
      C:\WINDOWS\svchost.exe (file missing)
      O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division
      Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

      Zamieszczam go poniewaz mam ciagly problem z rozlaczaniem sie neostrady i
      niewiem czy to moze tez jakies wirusy ??? Jesli nie to prosze tylko powiedziec
      czy to jzu wszystko okey. Pozdro
      • Gość: Kolobos Re: Trojan Win32.Trojano- 2664 IP: *.warszawa.sdi.tpnet.pl 12.11.05, 18:11
        Usun:
        R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
        C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
        I w services.msc wylacz:
        O23 - Service: Power Manager (PowerManager) - Unknown owner -
        C:\WINDOWS\svchost.exe (file missing) <- tutaj masz slad po Jeffo ten virus
        niszczy pliki exe...
        Usluge usun w hijackthis -> delete nt service wpisz PowerManager
    • Gość: JEJMNOL Re: Trojan Win32.Trojano- 2664 IP: *.neoplus.adsl.tpnet.pl 12.11.05, 20:25
      Super Kolobos naprawde bardzo ci dziekuje. Super zdjagnozowales to z tym Jeefo
      bo naprawde go mialem ale usunalem to specjalnym programikiem do tego ale
      niewiedziaem ze jeszcze jakis syf pozostal. Jesli to tez bylo na moja kochana
      neo to dzieki bo narazie nie zachowuje sie tak zeby sie chciala rozalczyc :p.
      Chlopie jestes tak ogromny ze niewiem. A i teraz podaje log czy wszystko ladnie
      zrobilem. Jesli tak to tylko Potwierdz a jesli nei to jesli moge cie jeszcze
      prosic napisz mi odpowiednie wskazowki. WIELKE Ogromne pozdro dla ciebie Kolobos
      i Neder. Pozdrawiam JEJMNOL
      • Gość: JEJMNOL Re: Trojan Win32.Trojano- 2664 IP: *.neoplus.adsl.tpnet.pl 13.11.05, 11:27
        Sorry ze nie podalem ale uz daje :

        Logfile of HijackThis v1.99.1
        Scan saved at 11:27:19, on 2005-11-13
        Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\SOUNDMAN.EXE
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\Program Files\QuickTime\qttask.exe
        C:\Program Files\Winamp\Winampa.exe
        C:\Program Files\D-Tools\daemon.exe
        C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
        C:\Program Files\Anti-Blaxx\Anti-Blaxx.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
        C:\Program Files\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
        C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\WINDOWS\System32\nvsvc32.exe
        C:\WINDOWS\System32\HPZipm12.exe
        C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
        C:\Program Files\Mozilla Firefox\firefox.exe
        D:\Downloads\hijackthis\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.wanadoo.fr
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} -
        C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} -
        C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
        C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe"
        -atboottime
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
        O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"
        -lang 1033
        O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software
        Update\HPWuSchd2.exe
        O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Program Files\Anti-Blaxx\Anti-Blaxx.exe
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
        O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
        /minimized
        O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
        O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
        800-840\dslmon.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office10\OSA.EXE
        O4 - Global Startup: Ulead Photo Express Calendar Checker.lnk = C:\Program
        Files\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
        O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
        Files\HP\Digital Imaging\bin\hpqtra08.exe
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
        O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program
        Files\BitSpirit\bsurl.htm
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
        C:\Program Files\Messenger\MSMSGS.EXE
        O9 - Extra 'Tools' menuitem: Windows Messenger -
        {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
        O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
        software-dl.real.com/025a29ee67f0008faa20/netzip/RdxIE601.cab
        O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) -
        67.15.101.3/g_bin/pl/poker_2_0_0_38.cab
        O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) -
        67.15.101.3/g_bin/pl/darts_2_0_0_30.cab
        O17 - HKLM\System\CCS\Services\Tcpip\..\{5407DB45-541A-44D1-9669-6DF4ABB3E06D}:
        NameServer = 194.204.152.34 217.98.63.164
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashMaiSv.exe" /service (file missing)
        O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashWebSv.exe" /service (file missing)
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
        - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
        O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
        C:\WINDOWS\System32\nvsvc32.exe
        O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
        O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division
        Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

        • Gość: Kolobos Re: Trojan Win32.Trojano- 2664 IP: *.warszawa.sdi.tpnet.pl 13.11.05, 12:01
          Skoro zrobiles to co miales zrobic to nie musisz wklejac nowego log'a.


Pełna wersja