Dodaj do ulubionych

powracający trojan

IP: *.strefa.com 30.04.08, 14:30
Dane z ostrzeżenia
nazwa pasożyta Win32:OnLineGames-DIK [Trj]
plik C:\WINDOWS\system32\amvo0.dll

Usuwam, ale jest nadal przy każdym włączeniu komputera

Pozatym zawiesz się na chwile, co jakis czas, jak gra Winap, tez
jest przerwana na chwile piosenka

Proszę pomóżcie laikowi!!

Iza
Obserwuj wątek
    • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 30.04.08, 15:57
      Daj log z combofix, do tego zabezpiecz sie:
      www.searchengines.pl/index.php?showtopic=94761&st=0&p=476016&
    • Gość: iza Re: powracający trojan IP: *.strefa.com 30.04.08, 22:29
      Logfile of Trend Micro HijackThis v2.0.0 (BETA)
      Scan saved at 22:25:18, on 2008-04-30
      Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      G:\program files\qttask.exe
      C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
      C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
      G:\Program Files\Gadu-Gadu\gg.exe
      C:\Program Files\Skype\Phone\Skype.exe
      C:\Program Files\DAEMON Tools\daemon.exe
      C:\Program
      Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\PnkBstrA.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Skype\Plugin Manager\skypePM.exe
      C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
      C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
      C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
      C:\Documents and Settings\Michał\Pulpit\hijackthis\hijackthis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      google.bearshare.com/pl
      R0 - HKCU\Software\Microsoft\Internet
      Explorer\Toolbar,LinksFolderName = Łącza
      O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-
      768834316C61} - C:\Program Files\HP\Smart Web
      Printing\hpswp_printenhancer.dll
      O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} -
      C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
      O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-
      A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
      C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
      O2 - BHO: XBTP01621 - {9EBBE90B-282E-4c39-8A7E-120749169F0F} -
      C:\PROGRA~1\BEARSH~1\MediaBar.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-
      CF10577473F7} - c:\program files\google\googletoolbar3.dll
      O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-
      CE66B5AD205D} - C:\Program
      Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
      O3 - Toolbar: BearShare MediaBar - {B7D3E479-CC68-42B5-A338-
      938ECE35F419} - C:\Program Files\BearShare MediaBar\MediaBar.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
      c:\program files\google\googletoolbar3.dll
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [RemoteControl] "C:\Program
      Files\CyberLink\PowerDVD\PDVDServ.exe"
      O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32
      \PSDrvCheck.exe -CheckReg
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI
      Technologies\ATI.ACE\CLIStart.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "G:\program files\qttask.exe" -
      atboottime
      O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP
      Software Update\HPWuSchd2.exe
      O4 - HKCU\..\Run: [Gadu-Gadu] "G:\Program Files\Gadu-
      Gadu\gg.exe" /tray
      O4 - HKCU\..\Run: [Skype] "C:\Program
      Files\Skype\Phone\Skype.exe" /nosplash /minimized
      O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON
      Tools\daemon.exe" -lang 1033
      O4 - HKCU\..\Run: [swg] C:\Program
      Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
      O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32
      \CTFMON.EXE (User 'USŁUGA LOKALNA')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32
      \CTFMON.EXE (User 'USŁUGA SIECIOWA')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32
      \CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32
      \CTFMON.EXE (User 'Default user')
      O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
      Files\HP\Digital Imaging\bin\hpqtra08.exe
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-
      00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-
      AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
      O9 - Extra button: Kolekcja wycinków HP - {58ECB495-38F0-49cb-A538-
      10282ABF65E7} - C:\Program Files\HP\Smart Web
      Printing\hpswp_extensions.dll
      O9 - Extra button: Zaznaczanie HP Smart - {700259D7-1666-479a-93B1-
      3250410481E8} - C:\Program Files\HP\Smart Web
      Printing\hpswp_extensions.dll
      O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} -
      C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
      O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
      C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-
      00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-
      BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O17 - HKLM\System\CCS\Services\Tcpip\..\{AAFDC385-5AC6-494F-9284-
      969C993668BC}: NameServer = 10.0.4.254
      O17 - HKLM\System\CCS\Services\Tcpip\..\{E25CEAB6-C4D5-4891-893F-
      C6967E134C50}: NameServer = 10.0.4.254
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
      C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
      O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu
      Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} -
      C:\WINDOWS\system32\browseui.dll
      O22 - SharedTaskScheduler: Demon buforu kategorii składników -
      {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32
      \browseui.dll
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL
      Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
      C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32
      \ati2sgag.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program
      Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program
      Files\Alwil Software\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program
      Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Program
      Files\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
      Corporation - C:\Program Files\Common Files\InstallShield\Driver\11
      \Intel 32\IDriverT.exe
      O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program
      Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
      O23 - Service: PACSPTISVR - Sony Corporation - C:\Program
      Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
      O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32
      \PnkBstrA.exe
      O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation -
      C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
      O24 - Desktop Component 0: (no name) -
      <a href="file:///C:/DOCUME~1/MICHA~1/USTAWI~1/Temp/msoht
      • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 01.05.08, 00:19
        Czytanie to nic trudnego!
        forum.gazeta.pl/forum/72,2.html?f=430&w=76799955
        Masz dac log z COMBOFIX, a nie hijackthis do tego masz go wkleic na wklej.org i podac link.
    • oskarek05 Re: powracający trojan 01.05.08, 08:46
      ta operacja jest dosc ryzykowna
      jest tam ostrzezenie ze jak sie cos źle zrobi to juz sie system
      całkiem nie otworzy
      mąz by mnie zabił za te kombinacje
      bez tego nie da się pomóc - bez tego kombo-fix??
      • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 01.05.08, 08:56
        Mozesz dac log z Dss zamiast combofix. Uzyj tez: www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe koniecznie z podlaczonym zainfekowanym pendrive'em.

    • oskarek05 Re: powracający trojan 01.05.08, 13:48
      zrobiłam jak w instrukcji
      wyskoczyły mi dwa notatniki z logami
      wklejam je ponizej
      wklej.org/id/ac468f1b8e
      wklej.org/id/8cac036e85
      dobrze zrobiłam, czy cos "poknociłam"??
      bardzo mi zależy na tym


      • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 01.05.08, 14:59
        Podlacz zainfekowany pendrive F:, uzyj Flash Disinfectora, do ktorej link podalem Ci wczesniej.
        Sciagnij Avenger'a: swandog46.geekstogo.com/avenger.exe uruchom go i wklej do niego taki skrypt:

        Files to delete:
        C:\2.bat
        C:\m9j.com
        C:\gy.cmd
        C:\WINDOWS\system32\amvo.exe
        C:\6l6w8.com
        C:\kxax.cmd
        C:\cl.bat
        C:\autorun.inf
        L:\autorun.inf
        L:\qwc.exe
        L:\2.bat

        Po wykonaniu daj na wklej log z Avengera.

        Wklej tez do notatnika:
        REGEDIT4

        [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "amva"=-

        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23e653ca-518a-11dc-8669-00046196ff64}]

        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{609ce206-8584-11dc-874f-00046196ff64}]

        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{875967e4-afb3-11dc-8802-00046196ff64}]

        Zapisz jako fix.reg i uruchom, jak juz to wszystko zrobisz to daj nowy log z Dss.
        • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 01.05.08, 15:44
          uzyłam Flasha
          sciagłam Avengera
          przy wklejaniu skryptu wyskakuje błąd
          error : invalid script
          moze za duzo skopiowałam?
          ma byc z "files to delete" czy bez?
          próbowałam z "files to delete"
          • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 01.05.08, 15:45
            nie rozumiem tez reszty
            mozna bardziej łopatologicznie
            jestem tylko blondynką

            Po wykonaniu daj na wklej log z Avengera.

            Wklej tez do notatnika:
            REGEDIT4

            [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
            "amva"=-

            [-
            HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
            mountpoints2\{23e653ca-518a-11dc-8669-00046196ff64}]

            [-
            HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
            mountpoints2\{609ce206-8584-11dc-874f-00046196ff64}]

            [-
            HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
            mountpoints2\{875967e4-afb3-11dc-8802-00046196ff64}]

            Zapisz jako fix.reg i uruchom, jak juz to wszystko zrobisz to daj
            nowy log z Dss.


            • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 01.05.08, 16:01
              Co do avengera to pewnie gdzies jest spacja lub enter i dlatego nie wykrywa skryptu. Masz wkleic do niego:
              Files to delete:
              C:\2.bat
              C:\m9j.com
              C:\gy.cmd
              C:\WINDOWS\system32\amvo.exe
              C:\6l6w8.com
              C:\kxax.cmd
              C:\cl.bat
              C:\autorun.inf
              L:\autorun.inf
              L:\qwc.exe
              L:\2.bat

              Bez spacji lub entera na poczatku, jezeli dalej bedzie problem to uzyj Killbox i przy jego pomocy usun pliki.

              > nie rozumiem tez reszty

              Jak to nie rozumiesz? Otworz notatnik, wklej co podalem, zapisz jako fix.reg i kliknij dwa razy. Prosciej sie juz nie da tego opisac.
    • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 01.05.08, 21:54
      pogubiłam się
      dla mnie to troche skomplikowane
      zrobiłam pierwsza część z Flashem
      pokasowałam w Killboxie


      trojana juz nie ma - super, wielkie dzięki
      ale jest błąd podczas wyłanczania komputera - pisze cos w
      stylu "pamięc nie moze byc read"

      mój aktualny
      login z dss
      wklej.org/id/99ec87ef0a
      co dalej??

      Iza
      • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 02.05.08, 02:36
        > ale jest błąd podczas wyłanczania komputera - pisze cos w
        > stylu "pamięc nie moze byc read"

        Jaki program wyswietla ten komunikat?


        Wklej do notatnika:
        REGEDIT4

        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23e653ca-518a-11dc-8669-00046196ff64}]

        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{609ce206-8584-11dc-874f-00046196ff64}]

        [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{875967e4-afb3-11dc-8802-00046196ff64}]

        Zapisz jako fix.reg i uruchom.
        • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 02.05.08, 07:53
          jak wyłanczałam wczoraj juz nie wyświetlał się
          i wyłączył się za pierwszym razem
          zawsze trzeba było ponawiać wyłanczanie

          to co teraz wpisywać to w notatnik?
          jak tak to w jaki notatnik, gdzie?
          • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 02.05.08, 10:03
            > to co teraz wpisywać to w notatnik?
            > jak tak to w jaki notatnik, gdzie?

            Tak, wklej to co podalem. W windowsie jest tylko jeden notatnik i masz go w menu start -> akcesoria, przeciez to podstawy obslugi systemu.


            Ps. Pisze sie wyłączanie, przez ą i bez n.
            • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 02.05.08, 10:24
              zrobiłam
              była informacja ze zostało poprawnie wprowadzone do rejestru
              teraz zrestaruje komputer

              czyli to wszystko?
              wkleic jeszcze jakis log do sprawdzenia?

              za wszystko do tej pory wielkie, wielkie dzięki
              • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 02.05.08, 10:26
                skasowac te wszystkie instalki z pulpitu (avanger, killbox,
                flash,dss, hijackthis)?
                • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 02.05.08, 10:52
                  Mozesz usunac o ile nie planujesz kolejnej infekcji ;-)
                  • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 02.05.08, 14:06
                    ok, wole usunąć, bo pulpit "pęka w szwach"
                    a jakby co (lepiej nie)
                    na forum są linki do wszystkich tych programów

                    wielki ukłon za pomoc się należy
                    serdeczne dzięki
                    uratował mnie Pan od przeinstalowywania Windowsa

                    Iza

Nie masz jeszcze konta? Zarejestruj się


Nakarm Pajacyka