Zapewne Trojan

IP: *.neoplus.adsl.tpnet.pl 13.08.07, 19:27
Napewno ten wątek był już kiedyś poruszany jednak ja proszę wytłumaczenie
osobno. Sprawa wygląda tak: Uruchamiam komputer na chwile pojawia się pulpit i
zaraz potem system się resetuje :( co mam zrobić aby temu zaradzić?
Był bym wdzięczny za pomoc.
    • Gość: Michał Re: Zapewne Trojan IP: *.neoplus.adsl.tpnet.pl 13.08.07, 19:36
      Ja bardzo przepraszam, ale mam narazie tylko 14 lat i kompletnie nie mam pojęcia
      co robić.
      • Gość: Kolobos Re: Zapewne Trojan IP: *.escom.net.pl 14.08.07, 03:06
        Zobacz czy w trybie awaryjnym dziala (naciskasz F8 przy starcie systemu). Jak dziala to Start->Uruchom->eventvwr.msc i sprawdzasz tam czy sa jakies komunikaty dotyczace bledow. Mozesz tez wtedy uzyc combofix oraz hijackthis, oba logi wklej na wklej.org i daj link.
        • Gość: Michał Re: Zapewne Trojan IP: *.neoplus.adsl.tpnet.pl 14.08.07, 16:51
          Dzięki za pomoc, błędów jest mnóstwo. Kasować je czy skanować czy jak?
          • Gość: Kolobos Re: Zapewne Trojan IP: *.escom.net.pl 14.08.07, 16:57
            Podaj tresc tych bledow. Jezeli jest wiecej komunikatow tego samego typu to podaj tylko po jednym z kazdego rodzaju.
            • Gość: Michal Re: Zapewne Trojan IP: *.neoplus.adsl.tpnet.pl 14.08.07, 17:36
              Service Control Manager- Nie można załadować następujących sterowników startu
              rozruchowego lub systemowego: AFD, AdK7, Fips, IPSec, MRxSmb, NetBios, NetBT,
              RasAcd, Rdbss, Tcpip, WS2IFSL.
              Service Control MAnagner- Nie można uruchomić usługi General Purpose USB Driver
              (adild. sys) z powodu nast. :NIe można uruchomić określonej usługi, poniewaz
              jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.
              Service Control Manager- Usługi IPSEC zależyod sterownik IPSEC, której nie można
              uruchomić z powodu nast. błedu: Urządzenie podłączone do komputera ie działa.
              Service Control Manager- Usługa POmoc TCP/IP NetBIOS zależy od AFD, której nie
              można uruchomić z powodu nast. błedu: Urządzenie podłączone do komputera nie działa.
              Service Control Manager- Usługa DNS zależy od usługi Sterownik protokołu
              TCP/IP,której nie można uruchomić z powodu nast.: Urządzenie podłączone do
              komputera nie działa.

              DCOM- Model DCOM nie możę sie uruchomić w trybie awaryjnym "podczas próby
              ruchomienia usługi EventSystem z argumentami".

              Dhcp- AdresIP połączenia 10.0.0. dla katry sieciowej o adresie 000B6ABBODOO
              zaostał zabroniony przez serwer DHCP 0.0.0.0 (serwer DHCP wysłał komunikat
              DHCPNACK).

              W32Time- NtpClient nie ma źródła dkładnego czasu

              i to są błędy z (System)
              i pytanie czy wypisać błędy z (Aplikacja) tam ich jest więcej...
              • Gość: Kolobos Re: Zapewne Trojan IP: *.escom.net.pl 14.08.07, 17:51
                Nie, na razie daj logi z combofix oraz hijackthis, oba wklej na wklej.org i daj link.
                • Gość: michal Re: Zapewne Trojan IP: *.neoplus.adsl.tpnet.pl 14.08.07, 17:59
                  kiedy ja nie mam czegos takiego
                  • Gość: Kolobos Re: Zapewne Trojan IP: *.escom.net.pl 14.08.07, 22:29
                    > kiedy ja nie mam czegos takiego

                    Przeciez w przyklejonym poscie jak rowniez w linku z naglowka masz linki do wszystkiego, masz rowniez dostep do internetu i wyszukiwarki np. google. Wystarczy wpisac i przeczytac.
                    • Gość: Michał Re: Zapewne Trojan IP: *.neoplus.adsl.tpnet.pl 15.08.07, 19:41
                      Niestety nie rozumiem o co Ci chodzi?
                      • Gość: Kolobos Re: Zapewne Trojan IP: *.escom.net.pl 15.08.07, 20:01
                        O to chodzi:
                        forum.gazeta.pl/forum/72,2.html?f=430&w=66002983
                        • Gość: MIchal Re: Zapewne Trojan IP: *.neoplus.adsl.tpnet.pl 16.08.07, 13:17
                          Logfile of Trend Micro HijackThis v2.0.2
                          Scan saved at 13:07:44, on 2007-08-16
                          Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                          MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
                          Boot mode: Safe mode with network support

                          Running processes:
                          C:\WINDOWS\System32\smss.exe
                          C:\WINDOWS\system32\winlogon.exe
                          C:\WINDOWS\system32\services.exe
                          C:\WINDOWS\system32\lsass.exe
                          C:\WINDOWS\system32\svchost.exe
                          C:\WINDOWS\system32\svchost.exe
                          C:\WINDOWS\Explorer.EXE
                          C:\WINDOWS\system32\WgaTray.exe
                          C:\WINDOWS\system32\NOTEPAD.EXE
                          C:\Program Files\Mozilla Firefox\firefox.exe
                          C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

                          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
                          R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
                          www.virusprotectpro.com/?aff=1012
                          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
                          R3 - Default URLSearchHook is missing
                          O1 - Hosts: 213.190.195.50 bf2web.gamespy.com
                          O2 - BHO: MyWebSearch Search Assistant BHO -
                          {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program
                          Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
                          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                          F:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
                          O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program
                          Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
                          O2 - BHO: (no name) - {5DDE5591-A8AB-4897-93EF-1E4E943F85A7} - C:\Program
                          Files\Video ActiveX Access\iesplg.dll
                          O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
                          Files\Java\jre1.5.0_11\bin\ssv.dll
                          O2 - BHO: CIEIntegrator Object - {7A7F202E-AF91-4889-9DD5-2FE241085CC1} -
                          C:\Program Files\AntivirusPCSuite\Tools\popupg.dll
                          O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
                          c:\program files\google\googletoolbar3.dll
                          O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} -
                          C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll (file missing)
                          O2 - BHO: IEFW Object - {FAAD2038-C371-473D-86F1-5B11D39C3775} - C:\Program
                          Files\AntivirusPCSuite\Tools\IEFWBHO.dll
                          O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} -
                          C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
                          O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} -
                          C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll (file
                          missing)
                          O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} -
                          C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
                          O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
                          files\google\googletoolbar3.dll
                          O3 - Toolbar: Protection Bar - {CC18AE76-7E65-4258-A193-9EA0C52DA6B8} -
                          C:\Program Files\Video ActiveX Access\iesbpl.dll
                          O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
                          O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
                          O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
                          O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE
                          C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
                          O4 - HKLM\..\Run: [UIUCU] C:\DOCUME~1\www\USTAWI~1\Temp\UIUCU.EXE -CLEAN_UP
                          O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
                          O4 - HKLM\..\Run: [OM_Monitor] F:\Program Files\OLYMPUS\OLYMPUS
                          Master\FirstStart.exe
                          O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common
                          Files\PCSuite\DataLayer\DataLayer.exe
                          O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\Common Files\G
                          DATA\AVKMail\AVKPOP.EXE"
                          O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program
                          Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
                          O4 - HKLM\..\Run: [PwrUpTweakMe] C:\WINDOWS\system32\PuXpTwks.exe /TWEAK
                          O4 - HKLM\..\Run: [My Web Search Bar] rundll32
                          C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
                          O4 - HKLM\..\Run: [MyWebSearch Email Plugin]
                          C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
                          O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program
                          Files\Java\jre1.5.0_11\bin\jusched.exe"
                          O4 - HKLM\..\Run: [adiras] adiras.exe
                          O4 - HKLM\..\Run: [uga6pcw] "C:\PROGRA~1\COMMON~1\ANTIVI~1\uga6pcw.exe" -start
                          O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
                          O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
                          O4 - HKLM\..\Run: [rtasks] C:\Program Files\AntivirusPCSuite\rtasks.exe
                          O4 - HKLM\..\RunOnce: [atf_reinstall] "C:\Program
                          Files\AntivirusPCSuite\pgs.exe" /empty
                          O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
                          O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX
                          Access\iesmn.exe
                          O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Program Files\Video ActiveX
                          Access\imsmain.exe
                          O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
                          'USŁUGA LOKALNA')
                          O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
                          'USŁUGA SIECIOWA')
                          O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
                          'SYSTEM')
                          O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
                          'Default user')
                          O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
                          800-840\dslmon.exe
                          O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                          Office\Office10\OSA.EXE
                          O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
                          O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
                          C:\Program Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
                          O9 - Extra 'Tools' menuitem: Sun Java Console -
                          {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
                          Files\Java\jre1.5.0_11\bin\npjpi150_11.dll
                          O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                          C:\Program Files\Messenger\msmsgs.exe
                          O9 - Extra 'Tools' menuitem: Windows Messenger -
                          {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                          O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                          O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
                          Validation Tool) - go.microsoft.com/fwlink/?linkid=39204
                          O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
                          ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/ZwinkyInitialSetup1.0.0.15.cab
                          O22 - SharedTaskScheduler: clinker - {a4029063-4fe3-422c-ac72-12905c09642a} -
                          C:\WINDOWS\system32\xtsyynm.dll
                          O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program
                          Files\AntiVirenKit\AVKService.exe
                          O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program
                          Files\AntiVirenKit\AVKWCtl.exe
                          O23 - Service: Google Updater Service (gusvc) - Google - C:\Program
                          Files\Google\Common\Google Updater\GoogleUpdaterService.exe
                          O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation
                          - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
                          O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common
                          Files\Sony Shared\AVLib\MSCSPTISRV.exe
                          O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
                          C:\WINDOWS\system32\nvsvc32.exe
                          O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common
                          Files\Sony Shared\AVLib\PACSPTISVR.exe
                          O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
                          O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
                          O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program
                          Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
                          O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation -
                          C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

                          --
                          End of file - 7541 bytes


                          o to chodziło??
                          • Gość: Kolobos Re: Zapewne Trojan IP: *.escom.net.pl 16.08.07, 15:19
                            Dobra, ja mam dosyc. Pisalem Ci pare razy jakie logi masz dac i gdzie masz je wkleic ale jak widze nic nie dotarlo do Ciebie.
                            Jak juz przeczytasz wszystko pare razy i zrobisz to o co prosilem to wroc na forum.
                            • Gość: Michal Re: Zapewne Trojan IP: *.neoplus.adsl.tpnet.pl 16.08.07, 15:49
                              OK, nie ma sprawy daje link :)
                              wklej.org/id/e82826ecd8
                              • kolobos Re: Zapewne Trojan 16.08.07, 23:57
                                Zrob skan przy pomocy SuperAntiSpyware. Uzyj Smitfraudfix (opcja 2.Clean, log daj na wklej).

                                W hjt usun:
                                O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\\Program Files\\BearShare applications\\BearShare MediaBar\\MediaBar.dll (file missing)
                                O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\\Program Files\\MyWebSearch\\bar\\1.bin\\MWSBAR.DLL (file missing)
                                O4 - HKLM\\..\\Run: [UIUCU] C:\\DOCUME~1\\www\\USTAWI~1\\Temp\\UIUCU.EXE -CLEAN_UP
                                O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/ZwinkyInitialSetup1.0.0.15.cab

                                Wklej do notatnika to:
                                File::
                                C:\WINDOWS\system32\drivers\FMTR.sys
                                C:\WINDOWS\system32\\drivers\a4s2.sys
                                C:\DOCUME~1\www\USTAWI~1\Temp\cusbohcn.sys

                                Folder::
                                C:\Program Files\Common Files\AntivirusPCSuite
                                C:\\Program Files\AntivirusPCSuite
                                C:\DOCUME~1\www\DANEAP~1\AntivirusPCSuite

                                Driver::
                                fmtr
                                A4S2
                                cusbohcn

                                Registry::
                                [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CC18AE76-7E65-4258-A193-9EA0C52DA6B8}]

                                Zapisz plik w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe o
                                tak:
                                img.photobucket.com/albums/v666/sUBs/CFScript.gif

                                Uzyj tez ATF Cleaner i usun wszystko z temp.
                                Po wszystkim daj log z combofix, hijackthis oraz smitfraudfix.
Inne wątki na temat:
Pełna wersja