Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    Atak trojanów

    21.07.07, 13:13
    Witam!

    Ostatnio mój komputer przeżył nalot trojanów. Powodem jest pewnie IE: musiałem go włączyć, żeby aktywować netię. Efekt był natychmiastowy: wyskakujące komunikaty od avasta, spowolnienie itp. Przeskanowałem komputer ad-awarem i użyłem combofixa, ale sprzęt wciąż działa powoli. Oto moje logi:
    wklej.org/id/91c192dcb4v - hijackthis
    wklej.org/id/2024329036 - combofix
    wklej.org/id/788872b42c - SilentRunners
    Czy ktoś mógłby mi je sprawdzić? Z góry dzięki za pomoc

    P.S. Czy częste zrywanie połączenia przez netię też moze być efektem działanie wirusów?
    Obserwuj wątek
      • maccornik Re: Atak trojanów 21.07.07, 15:11
        Te trojany to Win32: SdBot, Win32: Mytobor-E, Win32: Allapple, Win32: Ircbot-BZC, tak przynajmniej uważa avast. Jeszcze raz prosze o pomoc.
      • Gość: Kolobos Re: Atak trojanów IP: *.escom.net.pl 21.07.07, 15:27
        Zamknij porty przy pomocy wwdc.exe zmien przegladarke na Opere lub Firefox i nie korzystaj z IE. Odinstaluj Microsoft AntiSpyware, zrob skan przy pomocy SuperAntiSpyware.

        W menadzerze zadan zakoncz:
        C:\WINDOWS\System32\wbem\scricon.exe

        W hijackthis usun:
        O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
        O4 - HKLM\..\Run: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe
        O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
        O4 - HKLM\..\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe
        O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
        O4 - HKCU\..\Run: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe
        O4 - HKCU\..\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe
        O20 - Winlogon Notify: se500mdm - se500mdm.dll (file missing)

        Usluga do kasacji:
        O23 - Service: Microsoft Agent - Unknown owner - C:\WINDOWS\System32\dllcache\frehost.exe

        Wpisz w Start->Uruchom:
        sc stop "Microsoft Agent"
        oraz:
        sc delete "Microsoft Agent"

        Wklej do notatnika to:
        File::
        C:\WINDOWS\system32\scricon.exe
        C:\WINDOWS\system32\DVCStateBkp-{00000000-00000000-0000000F-00001102-00000002-80651102}.dat
        C:\WINDOWS\system32\DVCState-{00000000-00000000-0000000F-00001102-00000002-80651102}.dat
        C:\Program Files\q330994.exe
        C:\WINDOWS\cvchost.exe
        C:\WINDOWS\dl.exe
        C:\WINDOWS\dlm.exe
        C:\WINDOWS\msstasks.exe
        C:\WINDOWS\mssys.com
        C:\WINDOWS\mstaskss.exe
        C:\WINDOWS\msxmidi.exe
        C:\WINDOWS\ntldr.exe
        C:\WINDOWS\reg33.exe
        C:\WINDOWS\rocky.exe
        C:\WINDOWS\seksdialer.exe
        C:\WINDOWS\system\system.exe
        C:\WINDOWS\system\wmscrop.exe
        C:\WINDOWS\system32\d2kpax.dll
        C:\WINDOWS\system32\d2kpax.exe
        C:\WINDOWS\system32\jac.dll
        C:\WINDOWS\system32\mcc.exe
        C:\WINDOWS\system32\msxslab.dll
        C:\WINDOWS\system32\system32.dll
        C:\WINDOWS\system32\wbem\scricon.exe
        C:\WINDOWS\System32\dllcache\frehost.exe

        Registry::
        [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "Auto File System Conversion Utility"=-

        [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
        "Auto File System Conversion Utility"=-

        [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
        "Auto File System Conversion Utility"=-

        [HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
        "Auto File System Conversion Utility"=-

        [HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
        "<NO NAME>"=-
        "Auto File System Conversion Utility"=-

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
        "{02F710DE-C96A-4636-A18A-E5D47E640BEA}"=-
        "{DF1C9C3B-2455-4746-01B9-C5527F1DA3D0}"=-
        "{01D4942B-E4CA-4DA7-50B9-1FB5F23E69DE}"=-
        "{AAAB9FFB-D59D-4EF8-E2BF-B58CA462DBDC}"=-

        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Memcharge]

        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Saluc]

        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmartPCXL]

        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sp]

        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Spyware Assassin v.4.0]

        Zpisz plik w katalogu z combofix pod nazwa Combofix-do.txt, a nastepnie przeciagnij plik na ikone combofix.exe (o tak: cybertrash.pl/images/tata/Combo-Do.gif). Po wszystkim daj nowy log z combofix + log z NOWEJ wersji hijackthis.
        • maccornik Re: Atak trojanów 21.07.07, 16:39
          wklej.org/id/9efbe7a2c8 - log z combofix
          wklej.org/id/9b593f5cc8 - log z hijackthis
          • kolobos Re: Atak trojanów 21.07.07, 21:03
            Daj log z gmera z zakladki rootkit oraz z zakladki uslugi + nowy z combofix, hijackthis oraz silent runners (tym razem caly).
            • maccornik Re: Atak trojanów 22.07.07, 21:48
              wklej.org/id/a2529368f7 - log gmer z zakładki rootkit
              wklej.org/id/de1730ac12 - log combofix
              wklej.org/id/f5261d98bd - log hijackthis
              wklej.org/id/6ce8b8fd60 - log Silent Runners

              Jak zrobić log z zakładki usługi z gmera?
              • Gość: Kolobos Re: Atak trojanów IP: *.escom.net.pl 22.07.07, 22:35
                W zakladce rootkit oznacz wszystko zostawiajac tylko: uslugi oraz pokaz wszystko.

                Sciagnij:
                downloads.andymanchesta.com/RemovalTools/SDFix.exe
                Uruchom komputer w trybie awaryjnym bez obslugi sieci.

                Uzyj SDFix (koniecznie w trybie awaryjnym!)

                Kasacja uslugi:
                Start->Uruchom->cmd
                wpisz tam:
                sc stop "Microsoft Media"
                sc delete "Microsoft Media"

                W menadzerze zadan zakoncz:
                C:\WINDOWS\System32\wbem\scricon.exe

                W hijackthis usun:
                O4 - HKLM\..\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe
                O4 - HKCU\..\Run: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe
                O4 - HKCU\..\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe
                O4 - HKUS\S-1-5-18\..\Run: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe (User 'SYSTEM')
                O4 - HKUS\S-1-5-18\..\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe (User 'SYSTEM')
                O4 - HKUS\.DEFAULT\..\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe (User 'Default user')

                Z dysku usun:
                C:\WINDOWS\System32\dllcache\Rtsecar.exe
                C:\WINDOWS\system32\scricon.exe
                C:\WINDOWS\system32\DVCStateBkp-{00000000-00000000-0000000F-00001102-00000002-80651102}.dat
                C:\WINDOWS\system32\DVCState-{00000000-00000000-0000000F-00001102-00000002-80651102}.dat

                Uruchom regedit, przedz do:
                [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] i usun tam ten pusty wpis: "<NO NAME>"=

                Wklej do notatnika to:
                REGEDIT4

                [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
                "{F66C617F-6ECE-4199-B0C5-E38BD5964CCB}"=-
                "{E5EF2911-5A9F-49B5-A1EF-91C5280321E4}"=-
                "{94B6E79F-D31B-4A58-8127-B9B583EA25D8}"=-
                "{2AB49F5C-9212-4EFC-A6CD-51FBA635F804}"=-
                "{AC9E704C-1AB9-4013-9F80-5735D6D26943}"=-

                Zapisz jako fix.reg i uruchom.

                Po wszystkim daj log z sdfix, combofix oraz hjt + ten z gmera z uslugami.
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin