Win32:Goldun-HT jak sie tego pozbyć?

IP: *.media4.pl 26.03.07, 10:12
wlasnie wlaczylem kompa i momentalnie wyskoczyl komunikat avasta o trojanie,
daje usun ale za sekunde znow sie pojawia i tak w kolko non stop, jak go
wyrzucic i czy jest bardzo grozny , prosze o pomoc
    • Gość: kriss Re: Win32:Goldun-HT jak sie tego pozbyć IP: *.media4.pl 26.03.07, 10:13
      dodam ze jest w pliku

      C:\WINDOWS\system32\tehlink0.dll
      • Gość: Kolobos Re: Win32:Goldun-HT jak sie tego pozbyć IP: *.escom.net.pl 26.03.07, 10:31
        Wklej log z hijackthis, a wspomniany plik usun killbox'em.
        • Gość: kriss Re: Win32:Goldun-HT jak sie tego pozbyć IP: 195.60.183.* 26.03.07, 17:25
          no wlasnie problem w tym ze niema tego pliku w sys32, a co kilka sek sie
          pojawia avast.
          • Gość: Kolobos Re: Win32:Goldun-HT jak sie tego pozbyć IP: *.escom.net.pl 26.03.07, 17:44
            Wkleisz log czy nie?
            • Gość: kriss Re: Win32:Goldun-HT jak sie tego pozbyć IP: *.media4.pl 27.03.07, 11:00
              tak tak, sorrki, ale bylem w pracy. i pozwolilem sobie wysłac tobie na maila o
              ile kolobos(at) to twoj mail strone zapisana z tym co wyskakuje z hijack (znaki
              zapytania, czerwone X, itp. przy tamtym pliku tehlink0 jest zolty krzyz, zreszta
              zobacz.

              Logfile of HijackThis v1.99.1
              Scan saved at 10:22:11, on 2007-03-27
              Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

              Running processes:
              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\system32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\system32\spoolsv.exe
              C:\WINDOWS\Explorer.EXE
              C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
              C:\WINDOWS\csrss.exe
              C:\Program Files\Alwil Software\Avast4\ashServ.exe
              C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
              C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
              C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
              C:\Program Files\Logitech\Video\LogiTray.exe
              C:\WINDOWS\system32\LVCOMSX.EXE
              C:\Program Files\Common Files\Logitech\QCDriver3\LVCOMS.EXE
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\system32\ctfmon.exe
              C:\WINDOWS\system32\ZoneLabs\vsmon.exe
              C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
              C:\Program Files\Logitech\Video\FxSvr2.exe
              C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
              C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
              C:\Program Files\Mozilla Firefox\firefox.exe
              C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\AcroRd32.exe
              C:\WINDOWS\system32\WISPTIS.EXE
              D:\Download\hijackthis_199\HijackThis.exe

              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
              www.gazeta.pl/
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.pl
              R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
              Settings,ProxyOverride = localhost
              R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
              O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} -
              C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
              C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
              O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} -
              C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
              O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} -
              C:\PROGRA~1\STARDO~1\SDIEInt.dll
              O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
              O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone
              Labs\ZoneAlarm\zlclient.exe
              O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
              O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program
              Files\Logitech\ImageStudio\ISStart.exe
              O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program
              Files\Logitech\ImageStudio\LogiTray.exe
              O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program
              Files\Logitech\Video\ISStart.exe /RegAll
              O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
              O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
              O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
              O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
              Files\Java\jre1.5.0_04\bin\jusched.exe
              O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common
              Files\Logitech\QCDriver3\LVCOMS.EXE
              O4 - HKLM\..\RunOnce: [GrpConv] grpconv -o
              O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
              O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program
              Files\Logitech\Video\ManifestEngine.exe" boot
              O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop
              Messenger\8876480\Program\BackWeb-8876480.exe
              O4 - HKCU\..\Run: [Logitech Desktop Messenger]
              C:\DOCUME~1\user\USTAWI~1\Temp\ins1.tmp\LDMClient.exe /NoIntervention
              O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program
              Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
              O8 - Extra context menu item: Download all links using BitComet -
              res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
              O8 - Extra context menu item: Download all videos using BitComet -
              res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
              O8 - Extra context menu item: Download link using &BitComet - res://C:\Program
              Files\BitComet\BitComet.exe/AddLink.htm
              O8 - Extra context menu item: Download with Star Downloader - C:\Program
              Files\Star Downloader\sdie.htm
              O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
              res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
              O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
              C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
              O14 - IERESET.INF: START_PAGE_URL=www.google.pl
              O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} -
              www.mks.com.pl/skaner/SkanerOnline.cab
              O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
              C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
              O20 - Winlogon Notify: ddsntdll - ddsntdll.d (file missing)
              O20 - Winlogon Notify: tehlink0 - tehlink0.dll (file missing)
              O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
              C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
              O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
              Software\Avast4\ashServ.exe
              O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
              Software\Avast4\ashMaiSv.exe" /service (file missing)
              O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
              Software\Avast4\ashWebSv.exe" /service (file missing)
              O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
              C:\WINDOWS\system32\ZoneLabs\vsmon.exe


              oto log:
              • Gość: Kolobos Re: Win32:Goldun-HT jak sie tego pozbyć IP: *.escom.net.pl 27.03.07, 11:51
                > pozwolilem sobie wysłac tobie na maila o ile kolobos(at) to twoj mail strone
                > zapisana z tym co wyskakuje z hijack

                W jakim celu? Skoro sprawdziles to mogles sam usunac te trzy wpisy.
                Zamiast wysylac mi jakies smiecie wyslij lepiej log z comboscan.

                Odinstaluj: Logitech Desktop Messenger

                Sciagnij z google Process Explorer, zakoncz w nim:
                C:\WINDOWS\csrss.exe (Nie pomyl z plikiem ktory jest w System32!)
                Plik usun z dysku.

                W hjt usun:
                O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} -
                C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll <- odinstaluj Yahoo toolbar w dodaj-usun lub klikajac na olowek na pasku yahoo i uninstall albo w hjt + kasacja katalogu z dysku.
                O4 - HKCU\..\Run: [Logitech Desktop Messenger]
                C:\DOCUME~1\user\USTAWI~1\Temp\ins1.tmp\LDMClient.exe /NoIntervention
                O20 - Winlogon Notify: ddsntdll - ddsntdll.d (file missing)
                O20 - Winlogon Notify: tehlink0 - tehlink0.dll (file missing)
Pełna wersja