slaper-AB

[Gość: iwonka]

bardzo proszę kogoś o radę jak się pozbyć trojana slaper-AB. Jestem zielona
jeśli chodzi o komputer a od kilku dni pojawia mi się przy włączeniu go
właśnie takie komunikat, ze avast wykrył trojana slaper-AB. Próbuję przenieść
go do kwarantanny ale niestety przy kolejnym włączeniu komputera znowu się
pojawia:(Dziękuję tym, którzy w przystępny sposób poradzą mi co mogę zrobić
aby się pozbyć tego natręta.

[Gość: Kolobos]

Napisz w jakim pliku sie znjaduje do tego wklej na wklej.org log z hijackthis oraz combofix i podaj link na forum.

[Gość: iwonka]

chyba jestem bardzo cienka, bo nic nie zrozumiałam:(

[Gość: Kolobos]

Raczej leniwa, w naglowku forum jest link w ktorym jest wszystko wyjasnione! ("Oszczędź czas, zanim zapytasz przeczytaj wskazówki")

[Gość: iwonka]

No tak, zostałam zawstydzona. I było pytać????????:)

[Gość: iwonka]

Logfile of HijackThis v1.99.1
Scan saved at 21:02:08, on 2007-06-21
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\sstray.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\PROGRA~1\NEOSTR~1\CnxMon.exe
C:\PROGRA~1\NEOSTR~1\taskbaricon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Program Files\Picasa2\PicasaMediaDetector.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\iexplore.exe
C:\WINDOWS\System32\svcchosst.exe
C:\WINDOWS\System32\4.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe
C:\PROGRA~1\NEOSTR~1\ComComp.exe
C:\PROGRA~1\NEOSTR~1\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Documents and Settings\Iwona\Pulpit\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.neostrada.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no
file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -
C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05
\bin\jusched.exe
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\taskbaricon.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC
Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2
\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Internet Explorer 6.0] iexplore.exe
O4 - HKLM\..\Run: [Intec Service Drivers] iexplorer.exe
O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
O4 - HKLM\..\Run: [melg3445] C:\WINDOWS\System32\4.exe
O4 - HKLM\..\RunServices: [Internet Explorer 6.0] iexplore.exe
O4 - HKLM\..\RunServices: [Intec Service Drivers] iexplorer.exe
O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6
\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
Folders\ibm00007.exe"
O4 - HKCU\..\Run: [swg] C:\Program
Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Internet Explorer 6.0] iexplore.exe
O4 - HKCU\..\Run: [Intec Service Drivers] iexplorer.exe
O4 - HKCU\..\Run: [melg3445] C:\WINDOWS\System32\4.exe
O4 - HKCU\..\RunServices: [Internet Explorer 6.0] iexplore.exe
O4 - HKCU\..\RunServices: [Intec Service Drivers] iexplorer.exe
O4 - Global Startup: MkS_Vir Monitor Antiwirusowy.lnk = C:\Program
Files\MkS_Vir\mks_mon.exe
O4 - Global Startup: Menu MkS_Vir.lnk = C:\Program Files\MkS_Vir\mks_menu.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program
Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
by121fd.bay121.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) -
mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) -
www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
www.bph.pl/pi/components/SignActivX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) -
67.15.101.3/g_bin/pl/snooker_2_0_0_30.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7566338-E084-45A4-80FA-463F49D835C0}:
NameServer = 194.204.159.1 217.98.63.164
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1
\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: PAVWAIT.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4

[Gość: iwonka]

bardzo proszę powiedzieć co dalej??

[Gość: Kolobos]

Prosilem o dwa logi z hijackthis i z combofix. Jak juz pisalem masz je wkleic na wklej.org i podac link, a nie wklejac w tresci na forum.

[Gość: iwonka]

combofix - skąd go wziąć?

[Gość: iwonka]

wklej.org/id/088bcdd482 chyba o to chodziło?? rety jakie to było trudne.
Proszę o analizę przypadku:)

[Gość: iwonka]

i bardzo dziękuję za cierpliwość

[Gość: Kolobos]

Ale sobie trojanow nainstalowalas, a wszystko przez piracki windows bez aktualizacji i to, ze uzywasz Internet Explorera. Pomysl tez o wywaleniu aplikacji od neostrady (opis rowniez w linku z naglowka forum).

Zamknij porty przy pomocy wwdc.exe zmien przegladarke na Opere lub Firefox (lepiej opere).

W hijackthis usun te wpisy:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.neostrada.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R3 - URLSearchHook: (no name) - _{08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no
file)
O4 - HKLM\..\Run: [Internet Explorer 6.0] iexplore.exe
O4 - HKLM\..\Run: [Intec Service Drivers] iexplorer.exe
O4 - HKLM\..\Run: [msvccc66] svcchosst.exe
O4 - HKLM\..\Run: [melg3445] C:\WINDOWS\System32\4.exe
O4 - HKLM\..\RunServices: [Internet Explorer 6.0] iexplore.exe
O4 - HKLM\..\RunServices: [Intec Service Drivers] iexplorer.exe
O4 - HKLM\..\RunServices: [msvccc66] svcchosst.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
Folders\ibm00007.exe" <- pliki ibm* usun z tego katalogu.
O4 - HKCU\..\Run: [Internet Explorer 6.0] iexplore.exe
O4 - HKCU\..\Run: [Intec Service Drivers] iexplorer.exe
O4 - HKCU\..\Run: [melg3445] C:\WINDOWS\System32\4.exe
O4 - HKCU\..\RunServices: [Internet Explorer 6.0] iexplore.exe
O4 - HKCU\..\RunServices: [Intec Service Drivers] iexplorer.exe
O4 - Global Startup: MkS_Vir Monitor Antiwirusowy.lnk = C:\Program
Files\MkS_Vir\mks_mon.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
by121fd.bay121.hotmail.msn.com/resources/MsnPUpld.cab
O20 - AppInit_DLLs: PAVWAIT.DLL

Zrob skan przy pomocy:
www.superantispyware.com/downloads/SUPERAntiSpyware.exe
Przy pomocy killbox'a (opis w naglowku) usuwasz te pliki:
C:\DOCUME~1\Iwona\4.exe
C:\WINDOWS\system32\dload.exe
C:\WINDOWS\system32\wingare.exe
C:\WINDOWS\system32\proc-1735935147.bin
C:\qtyping.exe
C:\winzip110.exe
C:\WINDOWS\whatss1.exe
C:\WINDOWS\system32\svcchosst.exe
C:\WINDOWS\BĄbelki.bmp
C:\WINDOWS\Indiaäski pled.bmp
C:\WINDOWS\system32\Pokaľ kana?y.scf
C:\WINDOWS\system32\-1547341972.data

Jak juz to zrobisz to wrzuc nowy log z combofix oraz hijackthis na wklej i daj link.