Trojan.Win32.BHO.agz

11.01.08, 15:59
Od trzech dni mam przekierowane linki z wyszukiwarek (google, yahoo,
msn) na stronę 89.149.227.101/click.php?
c=82181ae003147da2c46f4001&r=1 na służbowym laptopie (na prywatnym
mam lepsze zabezpieczenia więc nic takiego nie przeszło), ponadto w
pasku zadań wyskakuje mi od czasu ikonka z wykrzyknikiem że system
jest zagrożony i pyta czy chcę zainstalować jakiś skaner
antywirusowy. Analizowałem Hijack loga na hijackthis.de (log
wklej.org/id/b5986dc8b5) ale nic szczególnego nie wykazało.
Skaner online Kasperskiego pokazał że w pliku C:\WINDOWS\system32
\dpvacmk.dll jest trojan: Trojan.Win32.BHO.agz Nie da się tego
wogóle usunąć a McAfee i Webroot Spy Sweeper wogóle tego nie
wykrywa. Może ktoś ma jakieś pomysły?
    • Gość: funky Re: Trojan.Win32.BHO.agz IP: *.neoplus.adsl.tpnet.pl 11.01.08, 16:09
      Witaj w biedzie :). Mam dokładnie to samo. Traktowałem Spybotem, Ad
      Awarem. Na stałe używam pakietu Trend Micro - jak widać nie pomógł;
      najgorsze, że żaden z programów nie wykazuje intruza !
      Z moich poszukiwań netowych wynika, że może być to wirus
      avsystemcare (?) ale również nie mogę go usuunąć.
      Również prośba o pomoc
      (bnew - jeśli będziesz cos wiedział z innych źródeł - daj znać - i
      nawzajem)
      • bnew Re: Trojan.Win32.BHO.agz 11.01.08, 17:03
        jak po combofixie?
    • Gość: Kolobos Re: Trojan.Win32.BHO.agz IP: *.escom.net.pl 11.01.08, 16:31
      Obaj dajcie logi z combofix oraz hijackthis, do tego log ze fixwareout. Oba oczywiscie na wklej:
      forum.gazeta.pl/forum/72,2.html?f=430&w=66002983
      • bnew Re: Trojan.Win32.BHO.agz 11.01.08, 17:00
        wydaje sie ze combofix pomógł, zainfektowany plik został usunięty i
        jak na razie nie przerzuca mnie na tę stronę. Log z combofixa tutaj
        wklej.org/id/c10769e172
        Dzięki za pomoc
        • Gość: Kolobos Re: Trojan.Win32.BHO.agz IP: *.escom.net.pl 11.01.08, 20:29
          Wywal Windows Defender.

          Wklej do notatnika to:

          File::
          C:\WINDOWS\system32\jhwurcyz.dat
          C:\WINDOWS\system32\ccfylxfj.dat
          C:\WINDOWS\system32\scidbans.dat
          C:\WINDOWS\system32\ypemzpgf.dat
          C:\WINDOWS\system32\tcnkuwvm.dat
          C:\WINDOWS\system32\4d99oqe5.exe

          Registry::
          [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
          "4d99oqe5"=-

          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
          "4d99oqe5"=-

          Plik zapisz w katalogu z combofix.exe pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ). Po wszystkim daj log na wklej i podaj link.
          • bnew Re: Trojan.Win32.BHO.agz 11.01.08, 21:05
            Defendera już wywaliłem, reszte zrobie w poniedziałek jak będę w pracy. i wrzuce
            loga. Dzięki za pomoc
          • bnew Re: Trojan.Win32.BHO.agz 14.01.08, 21:28
            OK, postąpiłem wg instrukcji, nowy log tutaj:
            www.wklej.org/id/1d5d33b9c6dzięki
            • Gość: Kolobos Re: Trojan.Win32.BHO.agz IP: *.escom.net.pl 14.01.08, 22:24
              Usun w dwa wpisy hijackthis:
              "4d99oqe5"
              "4d99oqe5"

              Zrob nowy CFScript.txt z taka zawartoscia:

              File::
              C:\WINDOWS\system32\libeay32.dll
              C:\WINDOWS\system32\libssl32.dll

              Registry::
              [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
              "4d99oqe5"=-

              [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
              "4d99oqe5"=-

              Po wszystkim daj log z combofix + zrob skan przy pomocy SuperAntiSpyware.
              • bnew Re: Trojan.Win32.BHO.agz 15.01.08, 01:45
                juz wrzucam mistrzu :)
                www.wklej.org/id/4927c7862b
                Super antispyware znalazł tylko adware tracking cookies
                Serdeczne dzięki, muszę teraz sprawdzić swojego prywatnego, mam co
                prawda Kerio firewalla i NOD32 i używam Firefoxa ale żona sie
                przyzwyczaiła do explorera i za cholere się nie chce przestawić na
                co innego.
                pozdrawiam
                • Gość: Kolobos Re: Trojan.Win32.BHO.agz IP: *.escom.net.pl 15.01.08, 09:32
                  Juz wszystko wyglada ok.
                  • bnew Re: Trojan.Win32.BHO.agz 15.01.08, 18:04
                    Jeszcze raz wielkie dzieki
                    pzdr
                    • Gość: DM Re: Trojan.Win32.BHO.agz IP: *.adsl.inetia.pl 09.02.08, 11:31
                      Witam,
                      mam podobny problem więc nie będe się rozpisywał, tylko daje log z
                      ComboFix'a i bardzo, bardzo proszę o jakąś pomoc :)

                      Aha, niestety coś szwankuje wklej.org więc wrzucam po prostu gdzie
                      indziej: rafb.net/p/pfNhmV11.html
                      utilitybase.com/paste/5639
                      • kolobos Re: Trojan.Win32.BHO.agz 09.02.08, 11:46
                        Uzyj ATF Cleaner i usun wszystko z temp itd.
                        Zrob skan przy pomocy SuperAntiSpyware oraz Kav:
                        dnl-eu10.kaspersky-labs.com/devbuilds/AVPTool/
                        (na czas skanu lepiej wylacz nod)

                        Wklej do notatnika:

                        Driver::
                        brsgbdrq
                        epfwtdir
                        qviclhqb
                        aaudstum

                        Registry::
                        [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7CC71EF9-88A6-4055-B1D6-0B2839473249}]
                        [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{99256443-3BCB-4708-A6FA-01E200117E72}]
                        [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hsnqmcuz]
                        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Firewall auto setup]
                        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\phx7997ypd]

                        File::
                        C:\WINDOWS\system32\d3dcompiler_35j.dll
                        C:\WINDOWS\system32\deskadpw.dll
                        C:\WINDOWS\system32\ueaedoqo.tmp
                        C:\WINDOWS\system32\drivers\xkbxtpyx.dat
                        C:\WINDOWS\java\Packages\8YCKZVDB.ZIP
                        C:\WINDOWS\java\Packages\L3HJR1VH.ZIP

                        Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ). Po wszystkim daj link do nowego log'a + log z kav z zakladki detected (tylko) oraz log z SDFix zrobiony w trybie awaryjnym.
Pełna wersja