Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    Backdoor rbot bfc

    IP: *.neoplus.adsl.tpnet.pl 10.03.07, 21:50
    Jak się pozbyć?
    Dzięki
    Obserwuj wątek
      • Gość: Kolobos Re: Backdoor rbot bfc IP: *.escom.net.pl 10.03.07, 22:13
        Usunac plik. Wklej tez log z hijackthis i podaj nazwe zainfekowanego pliku.
      • Gość: Agatka nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 13.03.07, 20:11
        Logfile of HijackThis v1.99.1
        Scan saved at 00:54:04, on 2002-03-14
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\csrss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\System32\alg.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\WINDOWS\System32\UAService.exe
        C:\PROGRA~1\NEOSTR~1\CnxMon.exe
        C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
        C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\WINDOWS\System32\mysvcc.exe
        C:\Program Files\QuickTime\qttask.exe
        C:\WINDOWS\System32\svcchosst.exe
        C:\WINDOWS\system32\mdmd.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\WINDOWS\system32\srvc.exe
        C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe
        C:\PROGRA~1\NEOSTR~1\ComComp.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\PROGRA~1\NEOSTR~1\Watch.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\WINDOWS\System32\wpabaln.exe
        C:\Program Files\Spyware Doctor\sdhelp.exe
        C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640
        \GoogleToolbarNotifier.exe
        C:\Program Files\Internet Explorer\iexplore.exe
        C:\Documents and Settings\Aga\Pulpit\hijackthis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.gazeta.pl/
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
        C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
        O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
        Files\Spybot - Search & Destroy\SDHelper.dll
        O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -
        C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
        O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
        c:\program files\google\googletoolbar2.dll
        O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} -
        C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
        O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
        C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
        files\google\googletoolbar2.dll
        O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
        O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
        Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
        O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
        O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
        atboottime
        O4 - HKLM\..\Run: [johnj315] C:\WINDOWS\system32\srvc.exe
        O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
        O4 - HKLM\..\Run: [melg34] C:\WINDOWS\system32\mdmd.exe
        O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
        O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
        O4 - HKCU\..\Run: [johnj315] C:\WINDOWS\system32\srvc.exe
        O4 - HKCU\..\Run: [melg34] C:\WINDOWS\system32\mdmd.exe
        O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware
        Doctor\swdoctor.exe" /Q
        O4 - HKCU\..\Run: [swg] C:\Program
        Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office\OSA9.EXE
        O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
        C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
        O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%
        \bdoscandel.exe (file missing)
        O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
        {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        C:\WINDOWS\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
        00aa003c157a} - C:\WINDOWS\web\related.htm
        O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} -
        www.xblock.com/download/xclean_micro.exe
        O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
        download.bitdefender.com/resources/scan8/oscan8.cab
        O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) -
        www.mks.com.pl/skaner/SkanerOnline.cab
        O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
        acs.pandasoftware.com/activescan/as5free/asinst.cab
        O17 - HKLM\System\CCS\Services\Tcpip\..\{2DCA7EAE-3D04-4D23-AF11-80833C04F910}:
        NameServer = 194.204.159.1 217.98.63.164
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashMaiSv.exe" /service (file missing)
        O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashWebSv.exe" /service (file missing)
        O23 - Service: Google Updater Service (gusvc) - Google - C:\Program
        Files\Google\Common\Google Updater\GoogleUpdaterService.exe
        O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd -
        C:\Program Files\Spyware Doctor\sdhelp.exe
        O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner -
        C:\WINDOWS\System32\UAService.exe

        • Gość: Kolobos Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.escom.net.pl 13.03.07, 20:35
          heh, piracki windows bez aktualizacji i pelno trojanow...

          Zamknij porty przy pomocy wwdc.exe, zmien przegladarke na Opere i nigdy wiecej nie uzywaj IE.

          W menadzerze zadan zakoncz:
          C:\WINDOWS\System32\mysvcc.exe
          C:\WINDOWS\System32\svcchosst.exe
          C:\WINDOWS\system32\mdmd.exe
          C:\WINDOWS\system32\srvc.exe

          W hjt usun:
          O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
          O4 - HKLM\..\Run: [johnj315] C:\WINDOWS\system32\srvc.exe
          O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
          O4 - HKLM\..\Run: [melg34] C:\WINDOWS\system32\mdmd.exe
          O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
          O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe
          O4 - HKCU\..\Run: [johnj315] C:\WINDOWS\system32\srvc.exe
          O4 - HKCU\..\Run: [melg34] C:\WINDOWS\system32\mdmd.exe
          O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
          C:\WINDOWS\web\related.htm
          O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
          00aa003c157a} - C:\WINDOWS\web\related.htm

          Do tego skan tym:
          www.pandasoftware.com/activescan/pol/activescan_principal.htm
          www.spywareinfo.com/xscan.php
          www.bitdefender.com/scan8/ie.html
          • Gość: A> Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 13.03.07, 20:59
            dzięki :)
            a co to jest hjt?
            • Gość: Kolobos Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.escom.net.pl 13.03.07, 21:05
              Skoro podalem wpisy do kasacji, a wpisy sa z programu HiJackThis, to chyba jasne, ze hjt to hijackthis. Zapomnialem wczesniej dopisac, ze pliki ktore wymienilem masz usunac z dysku.
              • Gość: A Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 13.03.07, 21:08
                Tak, oczywiście, że jasne.

                Problem w tym, że nie mogę tych plików znaleźć. Trudno.

                dzięki.
                • Gość: Kolobos Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.escom.net.pl 13.03.07, 21:26
                  Pliki o ile sa to w system32.
                  Wklej nowy log z hijackthis to zobaczymy czy cos zostalo.
                  • Gość: A Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 13.03.07, 21:35
                    spoko, uczę się dopiero ;)

                    Logfile of HijackThis v1.99.1
                    Scan saved at 02:19:50, on 2002-03-14
                    Platform: Windows XP (WinNT 5.01.2600)
                    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                    Running processes:
                    C:\WINDOWS\System32\smss.exe
                    C:\WINDOWS\system32\csrss.exe
                    C:\WINDOWS\system32\winlogon.exe
                    C:\WINDOWS\system32\services.exe
                    C:\WINDOWS\system32\lsass.exe
                    C:\WINDOWS\system32\svchost.exe
                    C:\WINDOWS\System32\svchost.exe
                    C:\WINDOWS\System32\svchost.exe
                    C:\WINDOWS\System32\svchost.exe
                    C:\WINDOWS\Explorer.EXE
                    C:\WINDOWS\system32\spoolsv.exe
                    C:\WINDOWS\System32\alg.exe
                    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                    C:\Program Files\Alwil Software\Avast4\ashServ.exe
                    C:\Program Files\Spyware Doctor\sdhelp.exe
                    C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                    C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
                    C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
                    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                    C:\Program Files\QuickTime\qttask.exe
                    C:\WINDOWS\System32\ctfmon.exe
                    C:\Program Files\Gadu-Gadu\gg.exe
                    C:\Program Files\Spyware Doctor\swdoctor.exe
                    C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462
                    \GoogleToolbarNotifier.exe
                    C:\WINDOWS\System32\UAService.exe
                    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
                    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
                    C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe
                    C:\PROGRA~1\NEOSTR~1\ComComp.exe
                    C:\PROGRA~1\NEOSTR~1\Watch.exe
                    C:\WINDOWS\System32\wpabaln.exe
                    C:\Program Files\Internet Explorer\iexplore.exe
                    C:\WINDOWS\system32\cmd.exe
                    C:\Program Files\Internet Explorer\iexplore.exe
                    C:\WINDOWS\System32\svchost.exe
                    C:\Program Files\Internet Explorer\iexplore.exe
                    C:\Documents and Settings\Aga\Pulpit\hijackthis.exe

                    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                    www.gazeta.pl/
                    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
                    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
                    C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
                    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
                    Files\Spybot - Search & Destroy\SDHelper.dll
                    O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -
                    C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
                    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
                    c:\program files\google\googletoolbar2.dll
                    O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} -
                    C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
                    O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
                    C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll
                    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                    C:\WINDOWS\System32\msdxm.ocx
                    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
                    files\google\googletoolbar2.dll
                    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                    O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
                    Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
                    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
                    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
                    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                    atboottime
                    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
                    O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware
                    Doctor\swdoctor.exe" /Q
                    O4 - HKCU\..\Run: [swg] C:\Program
                    Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
                    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                    Office\Office\OSA9.EXE
                    O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
                    C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
                    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%
                    \bdoscandel.exe (file missing)
                    • Gość: Kolobos Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.escom.net.pl 13.03.07, 21:53
                      Dlaczego dalej uzywasz Internet Explorera skoro napisalem Ci zebys zainstalowala Opere? Ja tego nie pisze od tak sobie zeby pisac, jak bedziesz dalej uzywac IE bez aktualizacji to zaraz bedzie to samo!
                      • Gość: A. Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 13.03.07, 22:18
                        oj dobra! nie mogę żyć bez IE :P opera jest głupia jak snop słomy, a Ty się tak nie denerwuj, dzięki za pomoc, bo nie mam już żadnego syfa

                        pozdrawiam
                        • Gość: Kolobos Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.escom.net.pl 13.03.07, 22:23
                          Co takiego jest w IE czego nie ma Opera? Chyba, ze chodzi Ci o tone bledow...
                          • Gość: A Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 15.03.07, 11:41
                            Po kilku dniach użytkowania Opery stwierdzam:
                            a) z wpisów na forum robi się dog's breakfast, gdyby mogły, wyszłyby poza ekran;
                            b) niewiadomo dlaczego wyszukiwarka zapamiętuje ostatnią stronę na forum, którą odwiedziłam;
                            c) kiedy wysyłam pierwszego (sic!) maila, wyskakuje mi komunikat, że nie mogę go wysłać, bo PRZECIEŻ nie można wysyłać maili częściej niż co 20 sekund. No cóż...;
                            d) za każdym razem, kiedy chcę sprawdzić pocztę na różnych serwerach, wyskakuje mi komunikat, że nie są zarejestrowane. Dziwne, bo wcześniej były, najwidoczniej;
                            e) etc etc.

                            Jeszcze raz dziękuję za pomoc w pozbyciu się robali.
                            • Gość: A. Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 15.03.07, 11:41
                              A nie mówiłam? Dog's breakfast.
                              • Gość: Kolobos Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.escom.net.pl 15.03.07, 11:53
                                Sam uzywam Opery nic z tego co napisalas nigdy u mnie nie wystapilo.
                                • Gość: A A przed chwilą :)))) IP: *.neoplus.adsl.tpnet.pl 15.03.07, 13:16
                                  spadłam z krzesła, ponieważ:

                                  Po raz pierwszy wykonano gest myszą.

                                  Gesty wykonywane są poprzez odpowiednie ruchy myszą z jednoczesnym przytrzymaniem jej drugiego przycisku.

                                  Wybierz [Pomoc], aby dowiedzieć się więcej o gestach myszy.

                                  Czy włączyć obsługę gestów?

                                  :))))))))))
                                  Przysięgam, że nigdy przenigdy nie wykonam już gestu myszą.
                                  • Gość: Kolobos Re: A przed chwilą :)))) IP: *.escom.net.pl 15.03.07, 17:13
                                    Gesty mozna wylaczyc, ale wczesniej trzeba zajrzec do opcji programu.
                                    Faktycznie lepszy bedzie dla Ciebie IE, po co masz sie meczyc.
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin