Win32:Trojan-gen. {Other}

IP: *.neoplus.adsl.tpnet.pl 17.11.05, 16:08
Czy ktos moze pomoc usunac to swinstwo.

Logfile of HijackThis v1.99.1
Scan saved at 16:08:31, on 2005-11-17
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\ed42\Pulpit\hijackthis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.start24.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone
Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - Startup: Start24.pl Idealna Strona Startowa Startuj z nami każdego
dnia-24 h! __ Internet Media Biznes Rozrywka __.url
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) -
67.15.101.3/g_bin/pl/cards_2_0_0_63.cab
O16 - DPF: {2DF91772-19DC-47AE-B52F-B8E2FE545625} (Spd2 Class) -
www.lemontv.pl/lmctrls.cab
O16 - DPF: {42FFA10C-A11F-4926-AC03-3BD61D38F2C4} -
www.electradrive.com/inst/WDSync.cab
O16 - DPF: {A6916797-7ABD-4F07-93AE-098B6F543129} (CO2Player Class) -
www.lemontv.pl/lmctrlp.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9BD12F18-10D6-40D4-BCD1-
24C44DE20A18}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Windows Codecs (Codec) - Unknown owner -
C:\WINDOWS\wincodec.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC -
C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Pozdrawiam
Ed:-))
    • neder Re: Win32:Trojan-gen. {Other} 17.11.05, 17:44
      a skąd wiesz, że go masz? w logu nic nie ma.
      pzdr
      • Gość: Kolobos Re: Win32:Trojan-gen. {Other} IP: *.warszawa.sdi.tpnet.pl 18.11.05, 09:41
        To jakis plik dll lub jakis syf w IE cache wystarczy usunac.
        • Gość: edju Re: Win32:Trojan-gen. {Other} IP: *.neoplus.adsl.tpnet.pl 18.11.05, 17:53
          Nie jestem biegly w komputerach,wiec wybacz pytanie. Chodzi o Internet
          Explorer? Jesli tak to jak ten plik usunac, gdzie go szukac? Moge usunac wogole
          IE i miec np.Mozille lub Opere, ale czy to pomoze.
          Pzdr.
          Ed:-))
      • Gość: edju Re: Win32:Trojan-gen. {Other} IP: *.neoplus.adsl.tpnet.pl 18.11.05, 17:50
        Skanujac antywirusem wyskakuje okienko z opisem tego wirusa,z informacja
        zalecanej kwarantanny.Nie mozna przeniesc do kwarantanny,ani naprawic,ani
        usunac,gdyzpojawia sie komunikat,ze plik jest zjety przez jakis program.
        Pzdr.
        Ed:-))
        • Gość: Kolobos Re: Win32:Trojan-gen. {Other} IP: *.warszawa.sdi.tpnet.pl 18.11.05, 20:11
          Masz tam tez podane gdzie dany plik sie znajduje wiec nam to napisz
          (ewentualnie bedzie w raporcie koncowym po skanie).
          Pliki tymczasowe czyscisz tak:
          Internet Explorer -> Narzedzia -> Opcje Internetowe -> Usun pliki...
          • Gość: edju Re: Win32:Trojan-gen. {Other} IP: *.neoplus.adsl.tpnet.pl 20.11.05, 17:41
            Z IT wyczyscilem pliki i nic nie pomoglo.
            W okienku informujacym o wirusie jest taki zapis:

            Plik: C:\WINDOWS\system32\rdriv.sys
            Nazwa pasozyta: Win32:Trojan-gen. {Other}
            Typ pasozyta : Wirus/robak
            Wersja VPS: 0546-3, 2005-11-16
            Zalecana akcja: kwarantanna
            Jak klikne na kwarantanne,lub napraw,usun wyswietla sie:
            Proces nie moze uzyskac dostepu do pliku, poniewaz jest on uzywany przez inny
            procesor.

            Jak zamkne okienko informacyjne o wirusie,zamyka mi sie caly skaner anty-vir.

            Jeszcze raz wklejam HijackThis, moze w nim cos jest.

            Logfile of HijackThis v1.99.1
            Scan saved at 17:39:05, on 2005-11-20
            Platform: Windows XP (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 (6.00.2600.0000)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\Explorer.EXE
            C:\WINDOWS\system32\spoolsv.exe
            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            C:\Program Files\Alwil Software\Avast4\ashServ.exe
            C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
            C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
            C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
            C:\WINDOWS\system32\ZoneLabs\vsmon.exe
            C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
            C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
            C:\WINDOWS\System32\taskmgr.exe
            C:\Program Files\Gadu-Gadu\gg.exe
            C:\Program Files\Internet Explorer\iexplore.exe
            C:\Documents and Settings\ed42\Pulpit\hijackthis.com

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            www.start24.pl/
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
            C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
            O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
            Files\Spybot - Search & Destroy\SDHelper.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWS\System32\msdxm.ocx
            O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone
            Labs\ZoneAlarm\zlclient.exe"
            O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
            O4 - Startup: Start24.pl Idealna Strona Startowa Startuj z nami każdego dnia-
            24 h! __ Internet Media Biznes Rozrywka __.url
            O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
            res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
            C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
            O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
            00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
            O16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) -
            67.15.101.3/g_bin/pl/cards_2_0_0_63.cab
            O16 - DPF: {2DF91772-19DC-47AE-B52F-B8E2FE545625} (Spd2 Class) -
            www.lemontv.pl/lmctrls.cab
            O16 - DPF: {42FFA10C-A11F-4926-AC03-3BD61D38F2C4} -
            www.electradrive.com/inst/WDSync.cab
            O16 - DPF: {A6916797-7ABD-4F07-93AE-098B6F543129} (CO2Player Class) -
            www.lemontv.pl/lmctrlp.cab
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            skaner.mks.com.pl/SkanerOnline.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{9BD12F18-10D6-40D4-BCD1-24C44DE20A18}:
            NameServer = 194.204.152.34 217.98.63.164
            O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashServ.exe
            O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashMaiSv.exe" /service (file missing)
            O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashWebSv.exe" /service (file missing)
            O23 - Service: Windows Codecs (Codec) - Unknown owner - C:\WINDOWS\wincodec.exe
            O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC -
            C:\WINDOWS\system32\ZoneLabs\vsmon.exe

            Bede wdzieczny za pomoc.
            Pozdrawiam.
            Ed:-))


            • Gość: Kolobos Re: Win32:Trojan-gen. {Other} IP: *.warszawa.sdi.tpnet.pl 20.11.05, 17:50
              Czemu uzywasz Internet Explorera skoro masz piracki system bez aktualizacji?
              Masz zainstalowac Opere i nie uzywaj wiecej IE!

              Plik: C:\WINDOWS\system32\rdriv.sys
              Uzyj tego do usuwania:
              www.idg.pl/ftp/pc_7644/Szczepionka.G.DATA.123.html
              W razie problemow poczytaj:
              www.searchengines.pl/phpbb203/index.php?showtopic=6745&st=0&p=217686&#entry217686

              W hijackthis usun:

              R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
              C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
              W services.msc zatrzymaj i wylacz ta usluge:
              O23 - Service: Windows Codecs (Codec) - Unknown owner - C:\WINDOWS\wincodec.exe
              Plik skasuj, w hijackrhis w delete nt service wpisz Codec

              Przeskanuj tez tym:
              download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
              download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
              przeskanowaniu odinstaluj.
              Zamknij porty tym:
              www.firewallleaktester.com/tools/wwdc.exe
              I pamietaj nie uzywaj Internet Explorera!
Pełna wersja