Problem Z Trojanem.

[SeQ DanceR]

Mam taki cholerny problem.

Otoz anty-wirus wykryl mi trojana... Niestety nie moze sobie dac z nim rady. Razem z tym trojanem odpalaja mi sie rozne syfy (pop-upy). I zadnym programem nie idzie sie tego pozbyc: Ad-aware nic nie daje, Spybot zreszta tez nic. Teoretycznie oba usuwaja mi bez przerwy jakies smieci, ale one zostaja. Bo nie musze nawet przeladowywac systemu, zeby problem powrocil. Te wszystkie strony otwieraja sie bez przerwy... :mur: Caly ten smiec zainstalowany jest w folderze windows/isrvs, ktory byl zreszta niewidoczny i jest tylko do odcztytu. Nie da sie tego zmienic, bo sam sie przestawia, przez co nie idzie go usunac. <_<

 

W zaden sposob nie moge sie tego syfu pozbyc z dysku (Norton wykrywa mi to wlasnie jako 'trojan.downloader', ale i on nie daje rady). W rejestrze nie da sie, na kluczach odpowiadajacych tym plikom, dokonywac zmian. Pierwszy raz sie z czyms takim spotykam. Czyzby pozostawala mi tylko reinstalacja windy i w przyszlosci nie orzystanie z Explorera, tylko z (chyba) bezpieczniejszej Opery?

 

Zapomnialem napisac co w tym folderze jest.

desktop.exe, edmond.exe, isearch.xpi, msdbhk.dll, mfilitis.dll, sysupd.dll oraz podfolder 'icons', w ktorym znajduja sie dwie ikonki: spywareavenger i virushunter.

 

Jesli ktos ma jakis pomysl, co mozna z tym zrobic, bede bardzo wdzieczny za wszelkie sugestie. Z gory dzieki.

 

EDIT: No dobra, usunalem te pliki w trybie awaryjnym. Ale i tak otwieraja mi sie te pop-upy, ktorych nie moge usunac zadnym ze znanych mi programow...

Edytowane 13 Marca 2005 przez SeQ DanceR

[Kolobos]

Sciagnij sobie hijackthis i wklej tutaj log ze skanowania.

[Złodziej]

Po co log skoro juz wiadomo co to jest... Poszukaj w Google'u (wpisując nazwę trojana lub tych plików co tam miałeś), bądź na stronie Symanteca sposobu usunięcia tego świństwa. Zmienić przeglądarkę zawsze możesz ale lepiej zaopatrz się na przyszłość w porządnego rezydentnego antywirusa.

[Kolobos]

:arrow: Złodziej

Skad wiesz, ze autor ma tylko tego jednego trojana/spyware? Bo ja watpie, ze ma tylko tego jednego trojana chyba lepiej sprawdzc, a Twoje podejscie nie jest za dobre, po co sprawdzac skoro mozna usunac jednego i dac sobie spokoj, eh... super.

[Gość Tony***]

Kolobos ma racje.Niech wklei loga z HJT'a.To jest Trojan downloader a on zadko wystepuje sam.Dodatkowo proponuje zainstalowac dobrego firewall'a.

[SeQ DanceR]

Zrobilem ten caly skan, ale nie wiem co przekopiowac, wiec wrzuca caly log.

 

Logfile of HijackThis v1.99.1Scan saved at 16:27:08, on 2005-03-15Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\rundll32.exeD:\Programy\NORTON~1\NORTON~2\GHOSTS~2.EXEC:\WINDOWS\System32\imapi.exeD:\Programy\Norton SystemWorks\Norton AntiVirus\navapsvc.exeD:\Programy\Norton SystemWorks\Norton Utilities\NPROTECT.EXEC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\nvsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\kiqokg.exeC:\Program Files\Common Files\Symantec Shared\ccApp.exeD:\Programy\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\WINDOWS\System32\wsxsvc\wsxsvc.exeC:\Program Files\AutoUpdate\AutoUpdate.exeC:\WINDOWS\System32\wmvisn.exeC:\WINDOWS\System32\ctfmon.exeC:\Documents and Settings\Domownik\Dane aplikacji\hsht.exeC:\WINDOWS\System32\j?vaw.exeC:\WINDOWS\System32\wkstdep.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Domownik\Pulpit\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://yoursearch.ws/browser/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.plR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yoursearch.ws/browser/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Domownik\USTAWI~1\Temp\se.dll/sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.plR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet z płyty;)R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaR3 - Default URLSearchHook is missingO1 - Hosts: 127.0.0.3 www.greg-tut.comO1 - Hosts: 127.0.0.3 nylonsexy.comO1 - Hosts: 127.0.0.3 www.nylonsexy.comO1 - Hosts: 127.0.0.3 vparivalka.comO1 - Hosts: 127.0.0.3 www.vparivalka.comtoescrowpay.comO1 - Hosts: 127.0.0.3 www.awmdabest.comO1 - Hosts: 127.0.0.3 www.sexfiles.nuO1 - Hosts: 127.0.0.3 awmdabest.comO1 - Hosts: 127.0.0.3 sexfiles.nuO1 - Hosts: 127.0.0.3 allforadult.comO1 - Hosts: 127.0.0.3 www.allforadult.comO1 - Hosts: 127.0.0.3 www.iframe.bizO1 - Hosts: 127.0.0.3 iframe.bizO1 - Hosts: 127.0.0.3 www.newiframe.bizO1 - Hosts: 127.0.0.3 newiframe.bizO1 - Hosts: 127.0.0.3 www.vesbiz.bizO1 - Hosts: 127.0.0.3 vesbiz.bizO1 - Hosts: 127.0.0.3 www.[COLOR=red][ciach!][/COLOR]to.bizO1 - Hosts: 127.0.0.3 [COLOR=red][ciach!][/COLOR]to.bizO1 - Hosts: 127.0.0.3 www.aaasexypics.comO1 - Hosts: 127.0.0.3 aaasexypics.comO1 - Hosts: 127.0.0.3 www.virgin-tgp.netO1 - Hosts: 127.0.0.3 virgin-tgp.netO1 - Hosts: 127.0.0.3 www.awmcash.bizO1 - Hosts: 127.0.0.3 awmcash.bizO1 - Hosts: 127.0.0.3 buldog-stats.comO1 - Hosts: 127.0.0.3 www.buldog-stats.comO1 - Hosts: 127.0.0.3 fregat.drocherway.comO1 - Hosts: 127.0.0.3 slutmania.bizO1 - Hosts: 127.0.0.3 www.slutmania.bizO1 - Hosts: 127.0.0.3 toolbarpartner.comO1 - Hosts: 127.0.0.3 www.toolbarpartner.comO1 - Hosts: 127.0.0.3 www.megapornix.comO1 - Hosts: 127.0.0.3 megapornix.comO1 - Hosts: 127.0.0.3 www.sp2fucked.bizO1 - Hosts: 127.0.0.3 sp2fucked.bizO1 - Hosts: 69.20.16.183 auto.search.msn.comO1 - Hosts: 69.20.16.183 search.netscape.comO1 - Hosts: 69.20.16.183 ieautosearchO2 - BHO: (no name) - {84CD042D-9EC0-9741-BC8B-929B13D83FE0} - C:\WINDOWS\System32\qtwkzo.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Programy\FlashGet\fgiebar.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programy\Norton SystemWorks\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exeO4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exeO4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Programy\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exeO4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exeO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [d] C:\WINDOWS\isrvs\ffisearch.exeO4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"O4 - HKLM\..\Run: [os6W33h] wmvisn.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [Messenger] MSMSGSO4 - HKCU\..\Run: [Seco] C:\Documents and Settings\Domownik\Dane aplikacji\hsht.exeO4 - HKCU\..\Run: [Ygrpqy] C:\WINDOWS\System32\j?vaw.exeO4 - HKCU\..\Run: [ZBp6RTNFi] wkstdep.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programy\FlashGet\flashget.exeO9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programy\FlashGet\flashget.exeO10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dllO15 - Trusted Zone: *.iframedollars.bizO15 - Trusted Zone: *.skoobidoo.comO15 - Trusted Zone: *.slotchbar.comO15 - Trusted Zone: *.windupdates.comO15 - Trusted Zone: *.ysbweb.comO15 - Trusted Zone: *.iframedollars.biz (HKLM)O15 - Trusted Zone: *.skoobidoo.com (HKLM)O15 - Trusted Zone: *.slotchbar.com (HKLM)O15 - Trusted Zone: *.windupdates.com (HKLM)O15 - Trusted Zone: *.ysbweb.com (HKLM)O15 - Trusted IP range: 213.159.117.202O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://67.15.101.3/g_bin/pl/roulette_2_0_0_15.cabO16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://67.15.101.3/g_bin/pl/cards_2_0_0_60.cabO16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (GINBOARDS Class) - http://67.15.101.3/g_bin/pl/boards_2_0_0_16.cabO16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - http://67.15.101.3/g_bin/pl/slots90_2_0_0_21.cabO16 - DPF: {67135BDA-6546-4426-BC94-BB5AF5005231} (GameDesire Checkers) - http://67.15.101.3/g_bin/pl/checkers_2_0_0_15.cabO16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} - http://67.15.101.3/g_bin/pl/poker_2_0_0_36.cabO16 - DPF: {9085316E-42BA-11D4-BAA3-0080C8D7ED4A} (GameDesire JungleHunter) - http://67.15.101.3/g_bin/pl/hunter_2_0_0_16.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {A1FE3DE0-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Demon) - http://67.15.101.3/g_bin/pl/demon_2_0_0_18.cabO16 - DPF: {A1FE3DEF-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Pirate) - http://67.15.101.3/g_bin/pl/pirate_2_0_0_18.cabO16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://67.15.101.3/g_bin/pl/slots70_2_0_0_21.cabO16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbies&Diamonds) - http://67.15.101.3/g_bin/pl/marbles_2_0_0_21.cabO16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) - http://67.15.101.3/g_bin/pl/darts_2_0_0_29.cabO16 - DPF: {AD7013FF-1D9A-4F36-94A6-3CD408A663F9} (GameDesire BreakOut) - http://67.15.101.3/g_bin/pl/breakout_2_0_0_15.cabO16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_35.cabO16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://67.15.101.3/g_bin/pl/mahjong_2_0_0_17.cabO16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - http://skaner.mks.com.pl/SkanerOnline.cabO16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - http://67.15.101.3/g_bin/pl/slots80_2_0_0_21.cabO16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) - http://67.15.101.3/g_bin/pl/billardt_2_0_0_21.cabO16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cabO18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dllO20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\n24slch71f4.dllO20 - Winlogon Notify: MCD - C:\WINDOWS\system32\i8240ifqe82e0.dll (file missing)O21 - SSODL: XSulI - {1C014E8C-B6AB-E426-EDB7-86D85796AA18} - C:\WINDOWS\System32\ddl.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exeO23 - Service: GhostStartService - Symantec Corporation - D:\Programy\NORTON~1\NORTON~2\GHOSTS~2.EXEO23 - Service: iPod Service (iPodService) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)O23 - Service: Usługa Auto-Protect w programie Norton AntiVirus (navapsvc) - Symantec Corporation - D:\Programy\Norton SystemWorks\Norton AntiVirus\navapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Programy\Norton SystemWorks\Norton Utilities\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Nie wiem czy to cos pomoze...

[SGJ]

Tak jakbyś miał troche syfu w systemie z czego czesć jest w autostarcie.

[SeQ DanceR]

W sumie to mam ok. 30 procesow otwartych jak siedze sobie na pulpicie i prawie nic nie mam wlaczonego...wiec pewnie masz racje.

[Darks]

Według mnie wirus jest już "wżarty" w system. Najlepsza metoda na to jest "format c: "

Bo jeżeli go i tak usuniesz to możesz skasowac też pare plików systemowych i jak potem bedzie działał na ukochanym system Windows to każdy wie :)

[Kolobos]

:arrow: SeQ DanceR

Duzo tego masz, wszystko da sie usunac :-)

 

Sciagnij i uzyj:

SpyBot S&D

Ad-Aware

CWS Shredder

KillTrusted -> http://www.searchengines.pl/phpbb203/index...ype=post&id=459

 

Jak juz wszystkiego uzyjesz to uruchom ponownie komputer i wklej nowy log.