Backdoor rbot bfc

IP: *.neoplus.adsl.tpnet.pl 10.03.07, 21:50
Jak się pozbyć?
Dzięki
    • Gość: Kolobos Re: Backdoor rbot bfc IP: *.escom.net.pl 10.03.07, 22:13
      Usunac plik. Wklej tez log z hijackthis i podaj nazwe zainfekowanego pliku.
    • Gość: Agatka nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 13.03.07, 20:11
      Logfile of HijackThis v1.99.1
      Scan saved at 00:54:04, on 2002-03-14
      Platform: Windows XP (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 (6.00.2600.0000)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\System32\UAService.exe
      C:\PROGRA~1\NEOSTR~1\CnxMon.exe
      C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
      C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\System32\mysvcc.exe
      C:\Program Files\QuickTime\qttask.exe
      C:\WINDOWS\System32\svcchosst.exe
      C:\WINDOWS\system32\mdmd.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Gadu-Gadu\gg.exe
      C:\WINDOWS\system32\srvc.exe
      C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe
      C:\PROGRA~1\NEOSTR~1\ComComp.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\PROGRA~1\NEOSTR~1\Watch.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\WINDOWS\System32\wpabaln.exe
      C:\Program Files\Spyware Doctor\sdhelp.exe
      C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640
      \GoogleToolbarNotifier.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\Aga\Pulpit\hijackthis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.gazeta.pl/
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
      C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
      Files\Spybot - Search & Destroy\SDHelper.dll
      O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -
      C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
      c:\program files\google\googletoolbar2.dll
      O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} -
      C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
      O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
      C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
      files\google\googletoolbar2.dll
      O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
      O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
      Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
      O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
      O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
      atboottime
      O4 - HKLM\..\Run: [johnj315] C:\WINDOWS\system32\srvc.exe
      O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
      O4 - HKLM\..\Run: [melg34] C:\WINDOWS\system32\mdmd.exe
      O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
      O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
      O4 - HKCU\..\Run: [johnj315] C:\WINDOWS\system32\srvc.exe
      O4 - HKCU\..\Run: [melg34] C:\WINDOWS\system32\mdmd.exe
      O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware
      Doctor\swdoctor.exe" /Q
      O4 - HKCU\..\Run: [swg] C:\Program
      Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
      Office\Office\OSA9.EXE
      O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
      C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%
      \bdoscandel.exe (file missing)
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 -
      {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
      00aa003c157a} - C:\WINDOWS\web\related.htm
      O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} -
      www.xblock.com/download/xclean_micro.exe
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) -
      download.bitdefender.com/resources/scan8/oscan8.cab
      O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) -
      www.mks.com.pl/skaner/SkanerOnline.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
      acs.pandasoftware.com/activescan/as5free/asinst.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{2DCA7EAE-3D04-4D23-AF11-80833C04F910}:
      NameServer = 194.204.159.1 217.98.63.164
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashWebSv.exe" /service (file missing)
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program
      Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd -
      C:\Program Files\Spyware Doctor\sdhelp.exe
      O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner -
      C:\WINDOWS\System32\UAService.exe

      • Gość: Kolobos Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.escom.net.pl 13.03.07, 20:35
        heh, piracki windows bez aktualizacji i pelno trojanow...

        Zamknij porty przy pomocy wwdc.exe, zmien przegladarke na Opere i nigdy wiecej nie uzywaj IE.

        W menadzerze zadan zakoncz:
        C:\WINDOWS\System32\mysvcc.exe
        C:\WINDOWS\System32\svcchosst.exe
        C:\WINDOWS\system32\mdmd.exe
        C:\WINDOWS\system32\srvc.exe

        W hjt usun:
        O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
        O4 - HKLM\..\Run: [johnj315] C:\WINDOWS\system32\srvc.exe
        O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
        O4 - HKLM\..\Run: [melg34] C:\WINDOWS\system32\mdmd.exe
        O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
        O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe
        O4 - HKCU\..\Run: [johnj315] C:\WINDOWS\system32\srvc.exe
        O4 - HKCU\..\Run: [melg34] C:\WINDOWS\system32\mdmd.exe
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        C:\WINDOWS\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
        00aa003c157a} - C:\WINDOWS\web\related.htm

        Do tego skan tym:
        www.pandasoftware.com/activescan/pol/activescan_principal.htm
        www.spywareinfo.com/xscan.php
        www.bitdefender.com/scan8/ie.html
        • Gość: A> Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 13.03.07, 20:59
          dzięki :)
          a co to jest hjt?
          • Gość: Kolobos Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.escom.net.pl 13.03.07, 21:05
            Skoro podalem wpisy do kasacji, a wpisy sa z programu HiJackThis, to chyba jasne, ze hjt to hijackthis. Zapomnialem wczesniej dopisac, ze pliki ktore wymienilem masz usunac z dysku.
            • Gość: A Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 13.03.07, 21:08
              Tak, oczywiście, że jasne.

              Problem w tym, że nie mogę tych plików znaleźć. Trudno.

              dzięki.
              • Gość: Kolobos Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.escom.net.pl 13.03.07, 21:26
                Pliki o ile sa to w system32.
                Wklej nowy log z hijackthis to zobaczymy czy cos zostalo.
                • Gość: A Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 13.03.07, 21:35
                  spoko, uczę się dopiero ;)

                  Logfile of HijackThis v1.99.1
                  Scan saved at 02:19:50, on 2002-03-14
                  Platform: Windows XP (WinNT 5.01.2600)
                  MSIE: Internet Explorer v6.00 (6.00.2600.0000)

                  Running processes:
                  C:\WINDOWS\System32\smss.exe
                  C:\WINDOWS\system32\csrss.exe
                  C:\WINDOWS\system32\winlogon.exe
                  C:\WINDOWS\system32\services.exe
                  C:\WINDOWS\system32\lsass.exe
                  C:\WINDOWS\system32\svchost.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\WINDOWS\Explorer.EXE
                  C:\WINDOWS\system32\spoolsv.exe
                  C:\WINDOWS\System32\alg.exe
                  C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
                  C:\Program Files\Alwil Software\Avast4\ashServ.exe
                  C:\Program Files\Spyware Doctor\sdhelp.exe
                  C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                  C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
                  C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
                  C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                  C:\Program Files\QuickTime\qttask.exe
                  C:\WINDOWS\System32\ctfmon.exe
                  C:\Program Files\Gadu-Gadu\gg.exe
                  C:\Program Files\Spyware Doctor\swdoctor.exe
                  C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462
                  \GoogleToolbarNotifier.exe
                  C:\WINDOWS\System32\UAService.exe
                  C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
                  C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
                  C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe
                  C:\PROGRA~1\NEOSTR~1\ComComp.exe
                  C:\PROGRA~1\NEOSTR~1\Watch.exe
                  C:\WINDOWS\System32\wpabaln.exe
                  C:\Program Files\Internet Explorer\iexplore.exe
                  C:\WINDOWS\system32\cmd.exe
                  C:\Program Files\Internet Explorer\iexplore.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\Program Files\Internet Explorer\iexplore.exe
                  C:\Documents and Settings\Aga\Pulpit\hijackthis.exe

                  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                  www.gazeta.pl/
                  R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
                  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                  R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
                  C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
                  O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
                  Files\Spybot - Search & Destroy\SDHelper.dll
                  O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -
                  C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
                  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
                  c:\program files\google\googletoolbar2.dll
                  O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} -
                  C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
                  O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
                  C:\PROGRA~1\IDM\QUICKF~1\PlugIns\IEHelp.dll
                  O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                  C:\WINDOWS\System32\msdxm.ocx
                  O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
                  files\google\googletoolbar2.dll
                  O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
                  O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program
                  Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
                  O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
                  O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
                  O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
                  O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                  atboottime
                  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                  O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
                  O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware
                  Doctor\swdoctor.exe" /Q
                  O4 - HKCU\..\Run: [swg] C:\Program
                  Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
                  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                  Office\Office\OSA9.EXE
                  O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
                  C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
                  O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%
                  \bdoscandel.exe (file missing)
                  • Gość: Kolobos Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.escom.net.pl 13.03.07, 21:53
                    Dlaczego dalej uzywasz Internet Explorera skoro napisalem Ci zebys zainstalowala Opere? Ja tego nie pisze od tak sobie zeby pisac, jak bedziesz dalej uzywac IE bez aktualizacji to zaraz bedzie to samo!
                    • Gość: A. Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 13.03.07, 22:18
                      oj dobra! nie mogę żyć bez IE :P opera jest głupia jak snop słomy, a Ty się tak nie denerwuj, dzięki za pomoc, bo nie mam już żadnego syfa

                      pozdrawiam
                      • Gość: Kolobos Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.escom.net.pl 13.03.07, 22:23
                        Co takiego jest w IE czego nie ma Opera? Chyba, ze chodzi Ci o tone bledow...
                        • Gość: A Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 15.03.07, 11:41
                          Po kilku dniach użytkowania Opery stwierdzam:
                          a) z wpisów na forum robi się dog's breakfast, gdyby mogły, wyszłyby poza ekran;
                          b) niewiadomo dlaczego wyszukiwarka zapamiętuje ostatnią stronę na forum, którą odwiedziłam;
                          c) kiedy wysyłam pierwszego (sic!) maila, wyskakuje mi komunikat, że nie mogę go wysłać, bo PRZECIEŻ nie można wysyłać maili częściej niż co 20 sekund. No cóż...;
                          d) za każdym razem, kiedy chcę sprawdzić pocztę na różnych serwerach, wyskakuje mi komunikat, że nie są zarejestrowane. Dziwne, bo wcześniej były, najwidoczniej;
                          e) etc etc.

                          Jeszcze raz dziękuję za pomoc w pozbyciu się robali.
                          • Gość: A. Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.neoplus.adsl.tpnet.pl 15.03.07, 11:41
                            A nie mówiłam? Dog's breakfast.
                            • Gość: Kolobos Re: nie wiem, czy wszystko dobrze zrobiłam IP: *.escom.net.pl 15.03.07, 11:53
                              Sam uzywam Opery nic z tego co napisalas nigdy u mnie nie wystapilo.
                              • Gość: A A przed chwilą :)))) IP: *.neoplus.adsl.tpnet.pl 15.03.07, 13:16
                                spadłam z krzesła, ponieważ:

                                Po raz pierwszy wykonano gest myszą.

                                Gesty wykonywane są poprzez odpowiednie ruchy myszą z jednoczesnym przytrzymaniem jej drugiego przycisku.

                                Wybierz [Pomoc], aby dowiedzieć się więcej o gestach myszy.

                                Czy włączyć obsługę gestów?

                                :))))))))))
                                Przysięgam, że nigdy przenigdy nie wykonam już gestu myszą.
                                • Gość: Kolobos Re: A przed chwilą :)))) IP: *.escom.net.pl 15.03.07, 17:13
                                  Gesty mozna wylaczyc, ale wczesniej trzeba zajrzec do opcji programu.
                                  Faktycznie lepszy bedzie dla Ciebie IE, po co masz sie meczyc.
Inne wątki na temat:
Pełna wersja