Koń trojański - win32: purity jak usunąć

IP: *.neoplus.adsl.tpnet.pl 28.03.06, 21:55
Witam,
Mam pytanko jak sie pozbyć konia trojańskiego win32: purity, juz sie mecze 2
dzien, programy go wykrywaja, ale chociaz go usuna powiela sie w innym
miejscu. Avast wariuje, wykrywa niby kasuje, ale po 5 sek wykrywa go znow w
tym samym miejscu.
PLS, pomozcie, bo nie chce formatowac dysku.
Pozdrawiam
    • neder Re: Koń trojański - win32: purity jak usunąć 28.03.06, 21:56
      A do przyklejonyego to w ogóle zajrzałaś? Pewnie nie...
      pzdr
      • Gość: Aneta Re: Koń trojański - win32: purity jak usunąć IP: *.neoplus.adsl.tpnet.pl 28.03.06, 22:00
        Usunelam wszystkie pliki .exe zwiazane z wirusem! ale to nic nie pomaga
        • neder Re: Koń trojański - win32: purity jak usunąć 28.03.06, 22:03
          Dobrze, rozumiem. Tyle, że ja się nie pytam czy usunęłaś, tylko czy zajrzałaś do
          wątku przyklejonego? Wklej log.

          pzdr
    • Gość: Aneta Re: Koń trojański - win32: purity jak usunąć IP: *.neoplus.adsl.tpnet.pl 28.03.06, 22:08
      I tu sie pojawia problem bo nie mam loga... pracuje narazie na innym kompie.
      Tamten jest w pracy, wiec wydruk z loga moge dopiero jutro zalatwic :(
      Rejestr tez juz przejrzalam, usunelam co trzeba i nico... :(
      • neder Re: Koń trojański - win32: purity jak usunąć 28.03.06, 22:12
        Może ktoś inny będzie Ci umiał pomóc bez loga (ja niestety nie umiem). Wklej go
        jutro. Tak w ciemno się raczej nie da.
        pzdr
        • Gość: Aneta Re: Koń trojański - win32: purity jak usunąć IP: *.neoplus.adsl.tpnet.pl 28.03.06, 22:15
          narazie dziekuje... jutro rano wkleje
    • Gość: Autor Re: Koń trojański - win32: purity jak usunąć IP: *.neoplus.adsl.tpnet.pl 29.03.06, 10:08
      Logfile of HijackThis v1.99.1
      Scan saved at 10:07:14, on 2006-03-29
      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
      C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
      C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
      C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
      C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
      C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0
      \webapps\Toolbox\StatusClient\StatusClient.exe
      C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
      C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
      C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
      C:\Program Files\The Cleaner\tca.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Gadu-Gadu\gg.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\WINDOWS\System32\n?lookup.exe
      C:\Program Files\Skype\Phone\Skype.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
      C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
      C:\WINDOWS\System32\drivers\CDAC11BA.EXE
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
      C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\PROGRA~1\DAP\DAP.EXE
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\The Cleaner\cleaner.exe
      C:\Program Files\WinRAR\WinRAR.exe
      C:\Program Files\WinRAR\WinRAR.exe
      C:\DOCUME~1\UZYTKO~1\USTAWI~1\Temp\Rar$EX00.011\HijackThis.exe

      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      about:blank
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      R3 - URLSearchHook: (no name) - {B3885F34-BF81-B703-A4A1-90CB5E9B5ACE} -
      C:\WINDOWS\System32\mltjrlb.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {26AFD343-6141-4F7B-9A67-AFABA63CBAEA} -
      C:\WINDOWS\System32\dobp.dll (file missing)
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
      Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: (no name) - {B3885F34-BF81-B703-A4A1-90CB5E9B5ACE} -
      C:\WINDOWS\System32\mltjrlb.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
      O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
      Panel\atiptaxx.exe
      O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002
      \pccguide.exe"
      O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002
      \PCCClient.exe"
      O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002
      \Pop3trap.exe"
      O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Program Files\Ulead Systems\Ulead
      Photo Explorer 8.0 SE Basic\Monitor.exe
      O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32
      \spool\drivers\w32x86\3\hpztsb10.exe
      O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [CloneCDTray] "C:\Program
      Files\SlySoft\CloneCD\CloneCDTray.exe" /s
      O4 - HKLM\..\Run: [_Cat2] C:\WINDOWS\nmstt.exe
      O4 - HKLM\..\Run: [Puwlv] C:\Program Files\Zrbdmk\Mkwrc.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [StatusClient] C:\Program Files\Hewlett-Packard\Toolbox2.0
      \Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
      O4 - HKLM\..\Run: [TomcatStartup] C:\Program Files\Hewlett-Packard\Toolbox2.0
      \hpbpsttp.exe
      O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe
      O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.7.0.0
      \HbtWeatherOnTray.exe
      O4 - HKLM\..\Run: [HP Component Manager] "C:\Program
      Files\HP\hpcoretech\hpcmpmgr.exe"
      O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP
      Software Update\HPWuSchd2.exe"
      O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy
      Sweeper\SpySweeper.exe" /startintray
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Ebzqw] C:\WINDOWS\System32\n?lookup.exe
      O4 - HKCU\..\Run: [Skype] "C:\Program
      Files\Skype\Phone\Skype.exe" /nosplash /minimized
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
      Office\Office\OSA9.EXE
      O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Program
      Files\Microtek\ScanWizard 5\ScannerFinder.exe
      O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
      O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1
      \DAP\dapextie2.htm
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
      O15 - Trusted Zone: *.iframedollars.biz
      O15 - Trusted Zone: *.iframedollars.biz (HKLM)
      O15 - Trusted IP range: 213.159.117.202
      O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
      www.kaspersky.com/kos/english/kavwebscan_unicode.cab
      O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32
      \Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32
      \drivers\CDAC11BA.EXE
      O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. -
      C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
      O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software,
      Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
      O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. -
      C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe

      • Gość: k Re: Koń trojański - win32: purity jak usunąć IP: *.warszawa.sdi.tpnet.pl 29.03.06, 11:39
        W menadzerze zadan zakoncz:
        C:\WINDOWS\System32\n?lookup.exe

        W hijackthis usun:
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        about:blank
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
        R3 - URLSearchHook: (no name) - {B3885F34-BF81-B703-A4A1-90CB5E9B5ACE} -
        C:\WINDOWS\System32\mltjrlb.dll
        O2 - BHO: (no name) - {26AFD343-6141-4F7B-9A67-AFABA63CBAEA} -
        C:\WINDOWS\System32\dobp.dll (file missing)
        O2 - BHO: (no name) - {B3885F34-BF81-B703-A4A1-90CB5E9B5ACE} -
        C:\WINDOWS\System32\mltjrlb.dll <- usun plik
        O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
        O4 - HKLM\..\Run: [_Cat2] C:\WINDOWS\nmstt.exe <- usun plik
        O4 - HKLM\..\Run: [Puwlv] C:\Program Files\Zrbdmk\Mkwrc.exe <- usun katalog
        zrbdmk
        O4 - HKLM\..\Run: [HbTools] C:\Program Files\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe
        O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\HbTools\Bin\4.7.0.0
        \HbtWeatherOnTray.exe <- odinstaluj HotBar i usun katalog hbtools
        O4 - HKCU\..\Run: [Ebzqw] C:\WINDOWS\System32\n?lookup.exe <- usun plik, tylko
        sie nie pomyl przy usuwaniu, ten bez ? w nazwie to plik systemowy!
        O15 - Trusted Zone: *.iframedollars.biz
        O15 - Trusted Zone: *.iframedollars.biz (HKLM)
        O15 - Trusted IP range: 213.159.117.202 <- w razie problemow z usunieciem O15,
        uzyj killtrusted, ktory znajdziesz na forum searchengines.

        Do tego przeskanuj system przy pomocy ewido.
        W jakim pliku masz tego trojana?
    • buszcz Re: Koń trojański - win32: purity jak usunąć 29.03.06, 12:08
      Musisz sobie zainstalować dobry program usuwający trojany, albo włącz
      Nortona,poczekaj aż Ci zeskanuje twardy dysk, potem określi kwarantannę,
      zaznacz tego trojana,kliknij na kwarantannę i na koncu Delete.Powinien się
      usunąć.Norton musi przy usuwaniu robala, być połączony z internetem. Jak to nie
      pomoże,to włącz awaryjny system i w awaryjnym systemie przywróć go do czasu,
      przed złapaniem trojana.A tak między nami.Czasami trzeba odnawiać system-co pół
      roku.Zainstaluj sobie ghost i po kłopocie.
Pełna wersja