Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    powracający trojan

    IP: *.strefa.com 30.04.08, 14:30
    Dane z ostrzeżenia
    nazwa pasożyta Win32:OnLineGames-DIK [Trj]
    plik C:\WINDOWS\system32\amvo0.dll

    Usuwam, ale jest nadal przy każdym włączeniu komputera

    Pozatym zawiesz się na chwile, co jakis czas, jak gra Winap, tez
    jest przerwana na chwile piosenka

    Proszę pomóżcie laikowi!!

    Iza
    Obserwuj wątek
      • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 30.04.08, 15:57
        Daj log z combofix, do tego zabezpiecz sie:
        www.searchengines.pl/index.php?showtopic=94761&st=0&p=476016&
      • Gość: iza Re: powracający trojan IP: *.strefa.com 30.04.08, 22:29
        Logfile of Trend Micro HijackThis v2.0.0 (BETA)
        Scan saved at 22:25:18, on 2008-04-30
        Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
        Boot mode: Normal

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\Ati2evxx.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\Ati2evxx.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\WINDOWS\Explorer.EXE
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\SOUNDMAN.EXE
        C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        G:\program files\qttask.exe
        C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
        C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
        G:\Program Files\Gadu-Gadu\gg.exe
        C:\Program Files\Skype\Phone\Skype.exe
        C:\Program Files\DAEMON Tools\daemon.exe
        C:\Program
        Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
        C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\PnkBstrA.exe
        C:\WINDOWS\system32\svchost.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\Program Files\Skype\Plugin Manager\skypePM.exe
        C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
        C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
        C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
        C:\WINDOWS\system32\wuauclt.exe
        C:\Program Files\Internet Explorer\IEXPLORE.EXE
        C:\Program Files\HP\Smart Web Printing\hpswp_clipbook.exe
        C:\Documents and Settings\Michał\Pulpit\hijackthis\hijackthis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        google.bearshare.com/pl
        R0 - HKCU\Software\Microsoft\Internet
        Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-
        768834316C61} - C:\Program Files\HP\Smart Web
        Printing\hpswp_printenhancer.dll
        O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} -
        C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll
        O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-
        A0F997BA588C} - C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
        O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
        C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
        O2 - BHO: XBTP01621 - {9EBBE90B-282E-4c39-8A7E-120749169F0F} -
        C:\PROGRA~1\BEARSH~1\MediaBar.dll
        O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-
        CF10577473F7} - c:\program files\google\googletoolbar3.dll
        O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-
        CE66B5AD205D} - C:\Program
        Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll
        O3 - Toolbar: BearShare MediaBar - {B7D3E479-CC68-42B5-A338-
        938ECE35F419} - C:\Program Files\BearShare MediaBar\MediaBar.dll
        O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
        c:\program files\google\googletoolbar3.dll
        O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
        O4 - HKLM\..\Run: [RemoteControl] "C:\Program
        Files\CyberLink\PowerDVD\PDVDServ.exe"
        O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32
        \PSDrvCheck.exe -CheckReg
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI
        Technologies\ATI.ACE\CLIStart.exe"
        O4 - HKLM\..\Run: [QuickTime Task] "G:\program files\qttask.exe" -
        atboottime
        O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP
        Software Update\HPWuSchd2.exe
        O4 - HKCU\..\Run: [Gadu-Gadu] "G:\Program Files\Gadu-
        Gadu\gg.exe" /tray
        O4 - HKCU\..\Run: [Skype] "C:\Program
        Files\Skype\Phone\Skype.exe" /nosplash /minimized
        O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON
        Tools\daemon.exe" -lang 1033
        O4 - HKCU\..\Run: [swg] C:\Program
        Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
        O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
        O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32
        \CTFMON.EXE (User 'USŁUGA LOKALNA')
        O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32
        \CTFMON.EXE (User 'USŁUGA SIECIOWA')
        O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32
        \CTFMON.EXE (User 'SYSTEM')
        O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32
        \CTFMON.EXE (User 'Default user')
        O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
        Files\HP\Digital Imaging\bin\hpqtra08.exe
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-
        00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-
        AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
        O9 - Extra button: Kolekcja wycinków HP - {58ECB495-38F0-49cb-A538-
        10282ABF65E7} - C:\Program Files\HP\Smart Web
        Printing\hpswp_extensions.dll
        O9 - Extra button: Zaznaczanie HP Smart - {700259D7-1666-479a-93B1-
        3250410481E8} - C:\Program Files\HP\Smart Web
        Printing\hpswp_extensions.dll
        O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} -
        C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
        O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
        C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
        O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-
        00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-
        BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
        O17 - HKLM\System\CCS\Services\Tcpip\..\{AAFDC385-5AC6-494F-9284-
        969C993668BC}: NameServer = 10.0.4.254
        O17 - HKLM\System\CCS\Services\Tcpip\..\{E25CEAB6-C4D5-4891-893F-
        C6967E134C50}: NameServer = 10.0.4.254
        O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
        C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
        O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu
        Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} -
        C:\WINDOWS\system32\browseui.dll
        O22 - SharedTaskScheduler: Demon buforu kategorii składników -
        {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32
        \browseui.dll
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL
        Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
        C:\WINDOWS\system32\Ati2evxx.exe
        O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32
        \ati2sgag.exe
        O23 - Service: avast! Antivirus - ALWIL Software - C:\Program
        Files\Alwil Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program
        Files\Alwil Software\Avast4\ashMaiSv.exe
        O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program
        Files\Alwil Software\Avast4\ashWebSv.exe
        O23 - Service: Google Updater Service (gusvc) - Google - C:\Program
        Files\Google\Common\Google Updater\GoogleUpdaterService.exe
        O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
        Corporation - C:\Program Files\Common Files\InstallShield\Driver\11
        \Intel 32\IDriverT.exe
        O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program
        Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe
        O23 - Service: PACSPTISVR - Sony Corporation - C:\Program
        Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
        O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32
        \PnkBstrA.exe
        O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation -
        C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
        O24 - Desktop Component 0: (no name) -
        <a href="file:///C:/DOCUME~1/MICHA~1/USTAWI~1/Temp/msoht
        • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 01.05.08, 00:19
          Czytanie to nic trudnego!
          forum.gazeta.pl/forum/72,2.html?f=430&w=76799955
          Masz dac log z COMBOFIX, a nie hijackthis do tego masz go wkleic na wklej.org i podac link.
      • oskarek05 Re: powracający trojan 01.05.08, 08:46
        ta operacja jest dosc ryzykowna
        jest tam ostrzezenie ze jak sie cos źle zrobi to juz sie system
        całkiem nie otworzy
        mąz by mnie zabił za te kombinacje
        bez tego nie da się pomóc - bez tego kombo-fix??
        • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 01.05.08, 08:56
          Mozesz dac log z Dss zamiast combofix. Uzyj tez: www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe koniecznie z podlaczonym zainfekowanym pendrive'em.

      • oskarek05 Re: powracający trojan 01.05.08, 13:48
        zrobiłam jak w instrukcji
        wyskoczyły mi dwa notatniki z logami
        wklejam je ponizej
        wklej.org/id/ac468f1b8e
        wklej.org/id/8cac036e85
        dobrze zrobiłam, czy cos "poknociłam"??
        bardzo mi zależy na tym


        • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 01.05.08, 14:59
          Podlacz zainfekowany pendrive F:, uzyj Flash Disinfectora, do ktorej link podalem Ci wczesniej.
          Sciagnij Avenger'a: swandog46.geekstogo.com/avenger.exe uruchom go i wklej do niego taki skrypt:

          Files to delete:
          C:\2.bat
          C:\m9j.com
          C:\gy.cmd
          C:\WINDOWS\system32\amvo.exe
          C:\6l6w8.com
          C:\kxax.cmd
          C:\cl.bat
          C:\autorun.inf
          L:\autorun.inf
          L:\qwc.exe
          L:\2.bat

          Po wykonaniu daj na wklej log z Avengera.

          Wklej tez do notatnika:
          REGEDIT4

          [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
          "amva"=-

          [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23e653ca-518a-11dc-8669-00046196ff64}]

          [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{609ce206-8584-11dc-874f-00046196ff64}]

          [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{875967e4-afb3-11dc-8802-00046196ff64}]

          Zapisz jako fix.reg i uruchom, jak juz to wszystko zrobisz to daj nowy log z Dss.
          • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 01.05.08, 15:44
            uzyłam Flasha
            sciagłam Avengera
            przy wklejaniu skryptu wyskakuje błąd
            error : invalid script
            moze za duzo skopiowałam?
            ma byc z "files to delete" czy bez?
            próbowałam z "files to delete"
            • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 01.05.08, 15:45
              nie rozumiem tez reszty
              mozna bardziej łopatologicznie
              jestem tylko blondynką

              Po wykonaniu daj na wklej log z Avengera.

              Wklej tez do notatnika:
              REGEDIT4

              [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
              "amva"=-

              [-
              HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
              mountpoints2\{23e653ca-518a-11dc-8669-00046196ff64}]

              [-
              HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
              mountpoints2\{609ce206-8584-11dc-874f-00046196ff64}]

              [-
              HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
              mountpoints2\{875967e4-afb3-11dc-8802-00046196ff64}]

              Zapisz jako fix.reg i uruchom, jak juz to wszystko zrobisz to daj
              nowy log z Dss.


              • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 01.05.08, 16:01
                Co do avengera to pewnie gdzies jest spacja lub enter i dlatego nie wykrywa skryptu. Masz wkleic do niego:
                Files to delete:
                C:\2.bat
                C:\m9j.com
                C:\gy.cmd
                C:\WINDOWS\system32\amvo.exe
                C:\6l6w8.com
                C:\kxax.cmd
                C:\cl.bat
                C:\autorun.inf
                L:\autorun.inf
                L:\qwc.exe
                L:\2.bat

                Bez spacji lub entera na poczatku, jezeli dalej bedzie problem to uzyj Killbox i przy jego pomocy usun pliki.

                > nie rozumiem tez reszty

                Jak to nie rozumiesz? Otworz notatnik, wklej co podalem, zapisz jako fix.reg i kliknij dwa razy. Prosciej sie juz nie da tego opisac.
      • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 01.05.08, 21:54
        pogubiłam się
        dla mnie to troche skomplikowane
        zrobiłam pierwsza część z Flashem
        pokasowałam w Killboxie


        trojana juz nie ma - super, wielkie dzięki
        ale jest błąd podczas wyłanczania komputera - pisze cos w
        stylu "pamięc nie moze byc read"

        mój aktualny
        login z dss
        wklej.org/id/99ec87ef0a
        co dalej??

        Iza
        • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 02.05.08, 02:36
          > ale jest błąd podczas wyłanczania komputera - pisze cos w
          > stylu "pamięc nie moze byc read"

          Jaki program wyswietla ten komunikat?


          Wklej do notatnika:
          REGEDIT4

          [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{23e653ca-518a-11dc-8669-00046196ff64}]

          [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{609ce206-8584-11dc-874f-00046196ff64}]

          [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{875967e4-afb3-11dc-8802-00046196ff64}]

          Zapisz jako fix.reg i uruchom.
          • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 02.05.08, 07:53
            jak wyłanczałam wczoraj juz nie wyświetlał się
            i wyłączył się za pierwszym razem
            zawsze trzeba było ponawiać wyłanczanie

            to co teraz wpisywać to w notatnik?
            jak tak to w jaki notatnik, gdzie?
            • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 02.05.08, 10:03
              > to co teraz wpisywać to w notatnik?
              > jak tak to w jaki notatnik, gdzie?

              Tak, wklej to co podalem. W windowsie jest tylko jeden notatnik i masz go w menu start -> akcesoria, przeciez to podstawy obslugi systemu.


              Ps. Pisze sie wyłączanie, przez ą i bez n.
              • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 02.05.08, 10:24
                zrobiłam
                była informacja ze zostało poprawnie wprowadzone do rejestru
                teraz zrestaruje komputer

                czyli to wszystko?
                wkleic jeszcze jakis log do sprawdzenia?

                za wszystko do tej pory wielkie, wielkie dzięki
                • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 02.05.08, 10:26
                  skasowac te wszystkie instalki z pulpitu (avanger, killbox,
                  flash,dss, hijackthis)?
                  • Gość: Kolobos Re: powracający trojan IP: *.escom.net.pl 02.05.08, 10:52
                    Mozesz usunac o ile nie planujesz kolejnej infekcji ;-)
                    • Gość: oskarek05 Re: powracający trojan IP: *.strefa.com 02.05.08, 14:06
                      ok, wole usunąć, bo pulpit "pęka w szwach"
                      a jakby co (lepiej nie)
                      na forum są linki do wszystkich tych programów

                      wielki ukłon za pomoc się należy
                      serdeczne dzięki
                      uratował mnie Pan od przeinstalowywania Windowsa

                      Iza
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin