Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    prośba o pomoc

    IP: *.neoplus.adsl.tpnet.pl 16.07.07, 22:11
    Witam
    Avast wykrywa mi trojany,przy każdym podłaczeniu do internetu i potem w trakcie, najczęściej pojawia sie napis "nope.dll", system32, system volume... od razu te trojany usuwam, ale ciągle wracają. Przeskanowałam avastem, ad-aware, SUPERAntiSpyware Free Edition i nic nie wykryło, porty wwdc mam zamknięte (kiedyś już coś takiego usunąłam właśnie skanem i zamykając porty, ale teraz to nie działa). Nie wiem jak to usunąć. Proszę o pomoc.Dzięki.

    Obserwuj wątek
      • Gość: Kolobos Re: prośba o pomoc IP: *.escom.net.pl 16.07.07, 22:24
        Uzyj combofix oraz hijackthis, oba logi wklej na wklej.org i daj link.
      • Gość: Gosia Re: prośba o pomoc IP: *.neoplus.adsl.tpnet.pl 18.07.07, 17:49
        Logfile of HijackThis v1.99.1
        Scan saved at 17:40:29, on 2007-07-18
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\PROGRA~1\NEOSTR~1\CnxMon.exe
        C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
        C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
        C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
        C:\WINDOWS\System32\winxp_sp3.exe
        C:\WINDOWS\System32\spool.exe
        C:\WINDOWS\system32\LEXBCES.EXE
        C:\WINDOWS\system32\LEXPPS.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
        C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
        C:\WINDOWS\System32\nvsvc32.exe
        C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe
        C:\PROGRA~1\NEOSTR~1\ComComp.exe
        C:\PROGRA~1\NEOSTR~1\Watch.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\WINDOWS\System32\WgaTray.exe
        C:\WINDOWS\System32\wuauclt.exe
        C:\WINDOWS\explorer.exe
        C:\Documents and Settings\Małgosia\Pulpit\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
        O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
        O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
        O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
        O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
        O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
        O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe"
        O4 - HKLM\..\Run: [proses] msqI23.exe
        O4 - HKLM\..\Run: [Internet Security Servicexs] spool.exe
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\RunServices: [proses] msqI23.exe
        O4 - HKLM\..\RunServices: [Internet Security Servicexs] spool.exe
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
        O4 - HKCU\..\Run: [Service Update] C:\WINDOWS\System32\alggg.exe
        O4 - HKCU\..\Run: [WindowsXp Security] C:\WINDOWS\System32\spool.exe
        O4 - HKCU\..\Run: [Internet Security Servicexs] spool.exe
        O4 - HKCU\..\Run: [Windows Vista Corparation Agent Services] C:\WINDOWS\System32\winxp_sp3.exe
        O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
        O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
        O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - acs.pandasoftware.com/activescan/as5free/asinst.cab
        O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred Control) - file://C:\Program Files\AutoCAD Architectural 2\InstFred.ocx
        O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\AutoCAD Architectural 2\AcPreview.ocx
        O17 - HKLM\System\CCS\Services\Tcpip\..\{83295C00-A1DF-47EF-8710-A38866C3E9EE}: NameServer = 194.204.159.1 217.98.63.164
        O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
        O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
        O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
        O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
        O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
        O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
        O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



        wklej.org/id/79a5ebb3d6
        • Gość: Kolobos Re: prośba o pomoc IP: *.escom.net.pl 18.07.07, 18:25
          Moglas oba logi wkleic na wklej.org, ale trudno.
          Dlaczego uzywasz starej wersji hijackthis?

          Zamknij porty przy pomocy wwdc.exe, wylacz przywracanie systemu.

          W meandzerze zadan zakoncz:
          C:\WINDOWS\System32\winxp_sp3.exe
          C:\WINDOWS\System32\spool.exe

          W hijackthis usun:
          O4 - HKLM\..\Run: [proses] msqI23.exe
          O4 - HKLM\..\Run: [Internet Security Servicexs] spool.exe
          O4 - HKLM\..\RunServices: [proses] msqI23.exe
          O4 - HKLM\..\RunServices: [Internet Security Servicexs] spool.exe
          O4 - HKCU\..\Run: [Service Update] C:\WINDOWS\System32\alggg.exe
          O4 - HKCU\..\Run: [WindowsXp Security] C:\WINDOWS\System32\spool.exe
          O4 - HKCU\..\Run: [Internet Security Servicexs] spool.exe
          O4 - HKCU\..\Run: [Windows Vista Corparation Agent Services] C:\WINDOWS\System32\winxp_sp3.exe

          Usun z dysku te pliki:
          C:\ntp.exe
          C:\jssa.exe
          C:\tamer.bat
          C:\rjshxj.exe
          C:\WINDOWS\uninstyler.exe
          C:\WINDOWS\ojhsxhh.exe
          C:\WINDOWS\ptykshsx.exe
          C:\WINDOWS\system32\nope.bat
          C:\WINDOWS\tkashxh.exe
          C:\WINDOWS\tkhsx.exe
          C:\WINDOWS\ksahxgh.exe
          C:\nope.bat
          C:\WINDOWS\tamer.bat
          C:\WINDOWS\tusahxh.exe
          C:\WINDOWS\jdshsuj.exe
          C:\WINDOWS\system32\winxp_sp3.exe
          C:\WINDOWS\jtkhas.exe
          C:\WINDOWS\system32\tljsaxh.exe
          C:\WINDOWS\kltjashx.exe
          C:\WINDOWS\otkjhasgx.exe
          C:\WINDOWS\system32\msqI23.exe
          C:\WINDOWS\system32\olilb.exe
          C:\WINDOWS\system32\spool.exe

          W razie problemow z usuwaniem uzyj killbox z zaznaczona opcja delete on reboot.
          Po wszystkim daj link do nowego log'a z combofix oraz z nowej wersji hijackthis.
      • Gość: Gosia Re: prośba o pomoc IP: *.neoplus.adsl.tpnet.pl 18.07.07, 19:48
        Tego nie znalazłam:

        C:\WINDOWS\system32\msqI23.exe
        C:\WINDOWS\system32\olilb.exe
        C:\WINDOWS\system32\spool.exe

        Teraz wygląda to tak:

        wklej.org/id/58fa2b8f08
        wklej.org/id/48f33e604f

        • Gość: Kolobos Re: prośba o pomoc IP: *.escom.net.pl 18.07.07, 20:29
          Dlaczego znowu dalas log ze starej wersji hijackthis? Przeciez pisalem, ze masz uzyc nowej.

          W hijackthis zostalo jeszcze to do kasacji:
          O4 - HKLM\..\Run: [Windows Vista Corparation Agent Services] C:\WINDOWS\System32\winxp_sp3.exe

          Dalej do kasacji z dysku zostaly:
          C:\WINDOWS\system32\msqI23.exe
          C:\WINDOWS\system32\olilb.exe
          C:\WINDOWS\system32\spool.exe
          C:\WINDOWS\system32\nope.bat

          Plikow nie masz szukac tylko je usunac i tak jak napisalem uzyj killbox'a.

          Ewentualnie wklej do notatnika to:

          File::
          C:\WINDOWS\system32\msqI23.exe
          C:\WINDOWS\system32\olilb.exe
          C:\WINDOWS\system32\spool.exe
          C:\WINDOWS\system32\nope.bat

          Zapisz jako Combofix-do.txt w katalogu z combofix.exe i przeciagnij plik combofix-do.txt na combofix.exe (o tak: cybertrash.pl/images/tata/Combo-Do.gif ). Po kasacji zrob nowe logi i sprawdz czy juz nie ma plikow, ktore podalem oraz wpisu w rejestrze.
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin