Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    Trojan.Proxy.Horst.1 + HijackThis - prosze o pomoc

    31.01.07, 11:54
    Załapałam Trojana
    Trojan.Proxy.Horst.1 wykryty po aktualizacji bazy wirusów przez Avast! 4.7
    Home Edition w poniedziałek 29.01. Miejsce występowania ...\Ustawienia
    lokalne\Temp\78exmodul32i.0.exe. Wysłałam go do Kwarantanny, zaniosłam komp
    do serwisu, powiedzieli mi, że to co mogą zrobić to usunąć pliki z folderu
    kwarantanny. Przynoszę do domu, włączam a on tam ciągle jest, zrobiłam scan
    Online z mks.com.pl wykrył 25 plików tego samego Trojana w tym samym miejscu,
    zrobiłam usuń, ale on jest ciągle ze mną po każdorazowym włączeniu kompa.
    Avast referuje: wykryto konia trojańskiego.

    Proszę o pomoc krok po kroku, jak się pozbyć bydlaka.
    W następnym poście wklejam log.
    Obserwuj wątek
      • ruda_24 HijackThis - log 31.01.07, 12:00

        Logfile of HijackThis v1.99.1
        Scan saved at 11:33:31, on 2007-01-31
        Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\Ati2evxx.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
        C:\WINDOWS\system32\Ati2evxx.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\SOUNDMAN.EXE
        C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
        C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe
        C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
        C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
        C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
        C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
        C:\Program Files\Gadu\Gadu-Gadu\gg.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
        C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\WINDOWS\system32\HPZipm12.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Documents and Settings\ppp\Pulpit\hijackthis\hijackthis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
        O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} -
        C:\Program Files\Common Files\Microsoft Shared\Windows
        Live\WindowsLiveLogin.dll
        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
        atboottime
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02
        \bin\jusched.exe
        O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [AVFX Engine] C:\Program Files\Creative\Creative Live!
        Cam\VideoFX\StartFX.exe
        O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common
        Files\Logitech\LComMgr\Communications_Helper.exe"
        O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10
        \QuickCam10.exe" /hide
        O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common
        Files\Logitech\LComMgr\LVComSX.exe"
        O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software
        Update\HPWuSchd2.exe
        O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
        O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD
        Solution\PowerDVD\PDVDServ.exe"
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu\Gadu-Gadu\gg.exe" /tray
        O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common
        Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common
        Files\Autodesk Shared\acstart16.exe
        O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
        Files\HP\Digital Imaging\bin\hpqtra08.exe
        O4 - Global Startup: HP Photosmart Premier - Szybkie uruchomienie.lnk =
        C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office10\OSA.EXE
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
        O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program
        Files\BitSpirit\bsurl.htm
        O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no
        file)
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
        C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
        00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
        O15 - Trusted Zone: toolbar.imageshack.us
        O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
        rybicka-ewa.spaces.live.com//PhotoUpload/MsnPUpld.cab
        O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) -
        www.mks.com.pl/skaner/SkanerOnline.cab
        O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1
        \MSNMES~1\MSGRAP~1.DLL
        O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1
        \MSNMES~1\MSGRAP~1.DLL
        O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1
        \COMMON~1\Skype\SKYPE4~1.DLL
        O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
        O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common
        Files\Adobe Systems Shared\Service\Adobelmsvc.exe
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32
        \Ati2evxx.exe
        O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
        O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program
        Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
        O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashMaiSv.exe" /service (file missing)
        O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashWebSv.exe" /service (file missing)
        O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program
        files\common files\logitech\lvmvfm\LVPrcSrv.exe
        O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common
        Files\Logitech\SrvLnch\SrvLnch.exe
        O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
        O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program
        Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

        • Gość: Kolobos Re: HijackThis - log IP: *.escom.net.pl 31.01.07, 12:23
          Wylacz przywracanie systemu.

          W hjt usun:
          O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w <- plik usun z dysku.
          O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no
          file)
          O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)

          Przeskanuj system przy pomocy ewido. Usun wszystko z temp przy pomocy:
          www.idg.pl/ftp/pc_9705/ATF.Cleaner..html
          • ruda_24 akcja 31.01.07, 15:06
            Zrobiłam wszystko jak powyżej, ale bez problemów oczywiście się nie obyło.

            1). Podczas Updatu tego skanera AVG Anti-Spyware, wyskoczył komunikat Avasta o
            nowym pasożycie: Win32:Horst-GH [Trj] na C:\Docume~1
            \...\Temp\98exssd32a.1.exe[UPX]

            2). Downloader.Horst.al - znaleziony poczas skanu na C:\Docume~1
            \...\Temp\9exhdda.1.exe z AVG Anti-Spyware, wrzucony do kwarantanny.

            3). AVG Anti-Spyware podał tylko w raporcie 1 trace detected, mimo że podczas
            Preview-Report pokazał 7 pozycji high risk, a potem ich nie było - co się z
            nimi stało?

            4). Czy przy pomocy ATF Cleanera usunąć tylko Temporary Internet Files - tak
            jak to zrobiłam, czy też: Windows Temp, Current User Temp, All users Temp?

            5). Win32:Horst-GH wyskoczył znów z Avastem po zamknięciu ATF

            6). Zrobiłam restart i teraz odpowiadam, ale ciągle mnie wylogowuje :(

            Zaraz postaram się wkleić nowego loga. Pomocy :o)
            • Gość: ruda_24 ponowne sprawdzenie loga IP: *.tvk.torun.pl 31.01.07, 15:12
              Logfile of HijackThis v1.99.1
              Scan saved at 15:09:53, on 2007-01-31
              Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

              Running processes:
              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\system32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\system32\Ati2evxx.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\System32\svchost.exe
              C:\WINDOWS\system32\Ati2evxx.exe
              C:\WINDOWS\Explorer.EXE
              C:\WINDOWS\system32\spoolsv.exe
              c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
              C:\WINDOWS\SOUNDMAN.EXE
              C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
              C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
              C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
              C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe
              C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
              C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
              C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
              C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
              C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
              C:\Program Files\Gadu\Gadu-Gadu\gg.exe
              C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
              C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
              C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
              C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
              C:\Program Files\Alwil Software\Avast4\ashServ.exe
              C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
              C:\WINDOWS\system32\HPZipm12.exe
              C:\WINDOWS\system32\svchost.exe
              C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
              C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
              C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
              C:\Documents and Settings\ppp\Pulpit\hijackthis\hijackthis.exe

              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
              www.onet.pl/
              R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
              C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
              O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} -
              C:\Program Files\Common Files\Microsoft Shared\Windows
              Live\WindowsLiveLogin.dll
              O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
              O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
              atboottime
              O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02
              \bin\jusched.exe
              O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
              O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
              O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
              O4 - HKLM\..\Run: [AVFX Engine] C:\Program Files\Creative\Creative Live!
              Cam\VideoFX\StartFX.exe
              O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common
              Files\Logitech\LComMgr\Communications_Helper.exe"
              O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10
              \QuickCam10.exe" /hide
              O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common
              Files\Logitech\LComMgr\LVComSX.exe"
              O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software
              Update\HPWuSchd2.exe
              O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD
              Solution\PowerDVD\PDVDServ.exe"
              O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-
              Spyware 7.5\avgas.exe" /minimized
              O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu\Gadu-Gadu\gg.exe" /tray
              O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common
              Files\Adobe\Calibration\Adobe Gamma Loader.exe
              O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common
              Files\Autodesk Shared\acstart16.exe
              O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
              Files\HP\Digital Imaging\bin\hpqtra08.exe
              O4 - Global Startup: HP Photosmart Premier - Szybkie uruchomienie.lnk =
              C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
              O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
              Office\Office10\OSA.EXE
              O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
              res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
              O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program
              Files\BitSpirit\bsurl.htm
              O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
              C:\Program Files\Messenger\msmsgs.exe
              O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
              00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
              O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
              O15 - Trusted Zone: toolbar.imageshack.us
              O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
              rybicka-ewa.spaces.live.com//PhotoUpload/MsnPUpld.cab
              O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) -
              www.mks.com.pl/skaner/SkanerOnline.cab
              O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1
              \MSNMES~1\MSGRAP~1.DLL
              O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1
              \MSNMES~1\MSGRAP~1.DLL
              O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1
              \COMMON~1\Skype\SKYPE4~1.DLL
              O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common
              Files\Adobe Systems Shared\Service\Adobelmsvc.exe
              O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
              C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
              O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32
              \Ati2evxx.exe
              O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
              O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program
              Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
              O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
              Software\Avast4\ashServ.exe
              O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
              Software\Avast4\ashMaiSv.exe" /service (file missing)
              O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
              Software\Avast4\ashWebSv.exe" /service (file missing)
              O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. -
              C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
              O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program
              files\common files\logitech\lvmvfm\LVPrcSrv.exe
              O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common
              Files\Logitech\SrvLnch\SrvLnch.exe
              O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
              O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program
              Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

            • kolobos Re: akcja 31.01.07, 15:31
              Log jest ok.

              > 3). AVG Anti-Spyware podał tylko w raporcie 1 trace detected, mimo że podczas
              > Preview-Report pokazał 7 pozycji high risk, a potem ich nie było - co się z
              > nimi stało?

              Po przeskanowaniu nalezy przy kazdym wybrac remove i wtedy usunie wszystkie.

              > 4). Czy przy pomocy ATF Cleanera usunąć tylko Temporary Internet Files - tak
              > jak to zrobiłam, czy też: Windows Temp, Current User Temp, All users Temp?

              Usun ze wszystkich temp.

              > 6). Zrobiłam restart i teraz odpowiadam, ale ciągle mnie wylogowuje :(

              Gdzie? Dlaczego? Jak? Co sie pojawia?

              Wyslij mi na mail'a (kolobos (at) gazeta.pl) log z gmera z zakladki rootkit + log z comofix i moze z Silent Runners.
              • ruda_24 Re: akcja 31.01.07, 15:54
                Wylogowuje mnie z konta gazeta.pl jak próbowałam odpowiadać na forum, ale nie
                zawsze jak widać...

                Zostawić ten program AVG Anti-Spyware, czy działanie jego się nie znosi z
                Avastem, czy wywalić bo to trial 30 dniowy?

                Spróbuje Ci wysłać loga na pocztę z tego gmera i innych, ale opis jego
                świadczy, że to jakiś skomplikowany staff.

                Dzięki.
                • Gość: Kolobos Re: akcja IP: *.escom.net.pl 31.01.07, 19:00
                  > Wylogowuje mnie z konta gazeta.pl jak próbowałam odpowiadać na forum, ale nie
                  > zawsze jak widać...

                  Taki juz urok gazety, to "normalne" tutaj.

                  > Zostawić ten program AVG Anti-Spyware, czy działanie jego się nie znosi z
                  > Avastem, czy wywalić bo to trial 30 dniowy?

                  Zostawic, po 30 dniach dalej bedzie mozna skanowac tylko rezydent nie bedzie dzialac.

                  > Spróbuje Ci wysłać loga na pocztę z tego gmera i innych, ale opis jego
                  > świadczy, że to jakiś skomplikowany staff.

                  Ok, jak sprawdze wszystkie to sie odezwe.
                  • ruda_24 Nie wiem, czy mail doszedł, więc wklejam tu... 01.02.07, 12:52
                    Witam,
                    Po wykonaniu czynności z linka:
                    forum.idg.pl/lofiversion/index.php?t56711.html

                    1). Nie znalazłam wpisów w HijackThis:
                    O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
                    O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32
                    \nvsvcd.exe

                    2). Od razu potem znaleziono Wirusa/robaka: VBS:Malware [Gen] w
                    C:\Document~1\...\Ustaw\Temp\.. podczas skanu Ad-aware

                    3). 5 critical objects w Ad-aware

                    4). SpywareInfo: Suspicious Programs Detected!

                    a). 180 Search Assistantna C:\Program Files\180
                    searchassistant\salman.dat --> akcja: usuń

                    b). Media Access registry keys --> akcja: usuń

                    5). BitDefender: Virus Detected

                    Java.Trojan.Exploit.Bytverify --> 12
                    Java.Trojan.Exploit.Byteverify.G --> 4
                    Java.Trojan.Downloader.OpenStream.C --> 3
                    Trojan.Downloader.Java.Openconnection.AJ --> 1

                    C:\Documents and Settings\...\Dane
                    aplikacji\Sun\Java\Deployment\cache\...\loaderadv --> Bummy.class

                    Po tej krótkiej historii wieczoru załączam log HijackThis w następnym poście do
                    ponownego sprawdzenia, z podziękowaniami za wyrozumiałość.



                    Pozdrawiam!

                    ---
                    - Log z gmera jest ok.
                    - Z C:\Windows\Task\ mozesz usunac zadanie aktualizacji nortona,
                    ktorego juz nie ma.
                    - Log z Silent Runners tez jest ok.
                    - Mimo, ze u Ciebie juz nic nie widze to zrob to co masz opisane
                    tutaj: forum.idg.pl/lofiversion/index.php?t56711.html
                    - Przeskanuj system tym:
                    www.spywareinfo.com/xscan.php
                    www.bitdefender.com/scan8/

                    • ruda_24 2Nie wiem, czy mail doszedł --> HijackThis tu. 01.02.07, 12:54
                      Logfile of HijackThis v1.99.1
                      Scan saved at 01:20:51, on 2007-02-01
                      Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                      Running processes:
                      C:\WINDOWS\System32\smss.exe
                      C:\WINDOWS\system32\winlogon.exe
                      C:\WINDOWS\system32\services.exe
                      C:\WINDOWS\system32\lsass.exe
                      C:\WINDOWS\system32\Ati2evxx.exe
                      C:\WINDOWS\system32\svchost.exe
                      C:\WINDOWS\System32\svchost.exe
                      C:\WINDOWS\system32\Ati2evxx.exe
                      C:\WINDOWS\Explorer.EXE
                      C:\WINDOWS\system32\spoolsv.exe
                      c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
                      C:\WINDOWS\SOUNDMAN.EXE
                      C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
                      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                      C:\Program Files\Creative\Creative Live! Cam\VideoFX\StartFX.exe
                      C:\Program Files\Common Files\Logitech\LComMgr\Communications_Helper.exe
                      C:\Program Files\Logitech\QuickCam10\QuickCam10.exe
                      C:\Program Files\Common Files\Logitech\LComMgr\LVComSX.exe
                      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
                      C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
                      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
                      C:\Program Files\Gadu\Gadu-Gadu\gg.exe
                      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
                      C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
                      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
                      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                      C:\Program Files\Alwil Software\Avast4\ashServ.exe
                      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
                      C:\WINDOWS\system32\HPZipm12.exe
                      C:\WINDOWS\system32\svchost.exe
                      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
                      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
                      C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
                      C:\WINDOWS\system32\wuauclt.exe
                      C:\Documents and Settings\ppp\Pulpit\hijackthis\hijackthis.exe

                      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                      www.onet.pl/
                      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                      C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
                      O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} -
                      C:\Program Files\Common Files\Microsoft Shared\Windows
                      Live\WindowsLiveLogin.dll
                      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                      atboottime
                      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02
                      \bin\jusched.exe
                      O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
                      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                      O4 - HKLM\..\Run: [AVFX Engine] C:\Program Files\Creative\Creative Live!
                      Cam\VideoFX\StartFX.exe
                      O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common
                      Files\Logitech\LComMgr\Communications_Helper.exe"
                      O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam10
                      \QuickCam10.exe" /hide
                      O4 - HKLM\..\Run: [LVCOMSX] "C:\Program Files\Common
                      Files\Logitech\LComMgr\LVComSX.exe"
                      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software
                      Update\HPWuSchd2.exe
                      O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD
                      Solution\PowerDVD\PDVDServ.exe"
                      O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-
                      Spyware 7.5\avgas.exe" /minimized
                      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu\Gadu-Gadu\gg.exe" /tray
                      O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common
                      Files\Adobe\Calibration\Adobe Gamma Loader.exe
                      O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common
                      Files\Autodesk Shared\acstart16.exe
                      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
                      Files\HP\Digital Imaging\bin\hpqtra08.exe
                      O4 - Global Startup: HP Photosmart Premier - Szybkie uruchomienie.lnk =
                      C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
                      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                      Office\Office10\OSA.EXE
                      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
                      res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
                      O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program
                      Files\BitSpirit\bsurl.htm
                      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%
                      \bdoscandel.exe (file missing)
                      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
                      {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
                      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                      C:\Program Files\Messenger\msmsgs.exe
                      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
                      00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                      O15 - Trusted Zone: toolbar.imageshack.us
                      O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
                      rybicka-ewa.spaces.live.com//PhotoUpload/MsnPUpld.cab
                      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
                      download.bitdefender.com/resources/scan8/oscan8.cab
                      O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) -
                      www.mks.com.pl/skaner/SkanerOnline.cab
                      O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1
                      \MSNMES~1\MSGRAP~1.DLL
                      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1
                      \MSNMES~1\MSGRAP~1.DLL
                      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1
                      \COMMON~1\Skype\SKYPE4~1.DLL
                      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common
                      Files\Adobe Systems Shared\Service\Adobelmsvc.exe
                      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
                      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32
                      \Ati2evxx.exe
                      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
                      O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program
                      Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
                      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
                      Software\Avast4\ashServ.exe
                      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
                      Software\Avast4\ashMaiSv.exe" /service (file missing)
                      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
                      Software\Avast4\ashWebSv.exe" /service (file missing)
                      O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. -
                      C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
                      O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program
                      files\common files\logitech\lvmvfm\LVPrcSrv.exe
                      O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common
                      Files\Logitech\SrvLnch\SrvLnch.exe
                      O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
                      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program
                      Files\Common Files\Symantec Shared\Security Center\SymWSC.exe


                      • Gość: Kolobos Re: 2Nie wiem, czy mail doszedł --> HijackThi IP: *.escom.net.pl 01.02.07, 17:09
                        Doszlo ale trzeba poczekac az odpowiem.
                        Log chyba byl ok juz wczesniej wiec nie ma sensu go znowu wklejac.
                        Czy problem nadal wystepuje?
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.