Skocz do zawartości
SeQ DanceR

Problem Z Trojanem.

Rekomendowane odpowiedzi

Mam taki cholerny problem.

Otoz anty-wirus wykryl mi trojana... Niestety nie moze sobie dac z nim rady. Razem z tym trojanem odpalaja mi sie rozne syfy (pop-upy). I zadnym programem nie idzie sie tego pozbyc: Ad-aware nic nie daje, Spybot zreszta tez nic. Teoretycznie oba usuwaja mi bez przerwy jakies smieci, ale one zostaja. Bo nie musze nawet przeladowywac systemu, zeby problem powrocil. Te wszystkie strony otwieraja sie bez przerwy... :mur: Caly ten smiec zainstalowany jest w folderze windows/isrvs, ktory byl zreszta niewidoczny i jest tylko do odcztytu. Nie da sie tego zmienic, bo sam sie przestawia, przez co nie idzie go usunac. <_<

 

W zaden sposob nie moge sie tego syfu pozbyc z dysku (Norton wykrywa mi to wlasnie jako 'trojan.downloader', ale i on nie daje rady). W rejestrze nie da sie, na kluczach odpowiadajacych tym plikom, dokonywac zmian. Pierwszy raz sie z czyms takim spotykam. Czyzby pozostawala mi tylko reinstalacja windy i w przyszlosci nie orzystanie z Explorera, tylko z (chyba) bezpieczniejszej Opery?

 

Zapomnialem napisac co w tym folderze jest.

desktop.exe, edmond.exe, isearch.xpi, msdbhk.dll, mfilitis.dll, sysupd.dll oraz podfolder 'icons', w ktorym znajduja sie dwie ikonki: spywareavenger i virushunter.

 

Jesli ktos ma jakis pomysl, co mozna z tym zrobic, bede bardzo wdzieczny za wszelkie sugestie. Z gory dzieki.

 

EDIT: No dobra, usunalem te pliki w trybie awaryjnym. Ale i tak otwieraja mi sie te pop-upy, ktorych nie moge usunac zadnym ze znanych mi programow...

Edytowane przez SeQ DanceR

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Po co log skoro juz wiadomo co to jest... Poszukaj w Google'u (wpisując nazwę trojana lub tych plików co tam miałeś), bądź na stronie Symanteca sposobu usunięcia tego świństwa. Zmienić przeglądarkę zawsze możesz ale lepiej zaopatrz się na przyszłość w porządnego rezydentnego antywirusa.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

:arrow: Złodziej

Skad wiesz, ze autor ma tylko tego jednego trojana/spyware? Bo ja watpie, ze ma tylko tego jednego trojana chyba lepiej sprawdzc, a Twoje podejscie nie jest za dobre, po co sprawdzac skoro mozna usunac jednego i dac sobie spokoj, eh... super.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Gość Tony***

Kolobos ma racje.Niech wklei loga z HJT'a.To jest Trojan downloader a on zadko wystepuje sam.Dodatkowo proponuje zainstalowac dobrego firewall'a.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zrobilem ten caly skan, ale nie wiem co przekopiowac, wiec wrzuca caly log.

 

Logfile of HijackThis v1.99.1Scan saved at 16:27:08, on 2005-03-15Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exeC:\WINDOWS\system32\rundll32.exeD:\Programy\NORTON~1\NORTON~2\GHOSTS~2.EXEC:\WINDOWS\System32\imapi.exeD:\Programy\Norton SystemWorks\Norton AntiVirus\navapsvc.exeD:\Programy\Norton SystemWorks\Norton Utilities\NPROTECT.EXEC:\WINDOWS\Explorer.EXEC:\WINDOWS\System32\nvsvc32.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\kiqokg.exeC:\Program Files\Common Files\Symantec Shared\ccApp.exeD:\Programy\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeC:\WINDOWS\System32\wsxsvc\wsxsvc.exeC:\Program Files\AutoUpdate\AutoUpdate.exeC:\WINDOWS\System32\wmvisn.exeC:\WINDOWS\System32\ctfmon.exeC:\Documents and Settings\Domownik\Dane aplikacji\hsht.exeC:\WINDOWS\System32\j?vaw.exeC:\WINDOWS\System32\wkstdep.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Documents and Settings\Domownik\Pulpit\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://yoursearch.ws/browser/R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.plR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://yoursearch.ws/browser/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Domownik\USTAWI~1\Temp\se.dll/sp.htmlR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blankR0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.plR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet z płyty;)R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaR3 - Default URLSearchHook is missingO1 - Hosts: 127.0.0.3 www.greg-tut.comO1 - Hosts: 127.0.0.3 nylonsexy.comO1 - Hosts: 127.0.0.3 www.nylonsexy.comO1 - Hosts: 127.0.0.3 vparivalka.comO1 - Hosts: 127.0.0.3 www.vparivalka.comtoescrowpay.comO1 - Hosts: 127.0.0.3 www.awmdabest.comO1 - Hosts: 127.0.0.3 www.sexfiles.nuO1 - Hosts: 127.0.0.3 awmdabest.comO1 - Hosts: 127.0.0.3 sexfiles.nuO1 - Hosts: 127.0.0.3 allforadult.comO1 - Hosts: 127.0.0.3 www.allforadult.comO1 - Hosts: 127.0.0.3 www.iframe.bizO1 - Hosts: 127.0.0.3 iframe.bizO1 - Hosts: 127.0.0.3 www.newiframe.bizO1 - Hosts: 127.0.0.3 newiframe.bizO1 - Hosts: 127.0.0.3 www.vesbiz.bizO1 - Hosts: 127.0.0.3 vesbiz.bizO1 - Hosts: 127.0.0.3 www.[COLOR=red][ciach!][/COLOR]to.bizO1 - Hosts: 127.0.0.3 [COLOR=red][ciach!][/COLOR]to.bizO1 - Hosts: 127.0.0.3 www.aaasexypics.comO1 - Hosts: 127.0.0.3 aaasexypics.comO1 - Hosts: 127.0.0.3 www.virgin-tgp.netO1 - Hosts: 127.0.0.3 virgin-tgp.netO1 - Hosts: 127.0.0.3 www.awmcash.bizO1 - Hosts: 127.0.0.3 awmcash.bizO1 - Hosts: 127.0.0.3 buldog-stats.comO1 - Hosts: 127.0.0.3 www.buldog-stats.comO1 - Hosts: 127.0.0.3 fregat.drocherway.comO1 - Hosts: 127.0.0.3 slutmania.bizO1 - Hosts: 127.0.0.3 www.slutmania.bizO1 - Hosts: 127.0.0.3 toolbarpartner.comO1 - Hosts: 127.0.0.3 www.toolbarpartner.comO1 - Hosts: 127.0.0.3 www.megapornix.comO1 - Hosts: 127.0.0.3 megapornix.comO1 - Hosts: 127.0.0.3 www.sp2fucked.bizO1 - Hosts: 127.0.0.3 sp2fucked.bizO1 - Hosts: 69.20.16.183 auto.search.msn.comO1 - Hosts: 69.20.16.183 search.netscape.comO1 - Hosts: 69.20.16.183 ieautosearchO2 - BHO: (no name) - {84CD042D-9EC0-9741-BC8B-929B13D83FE0} - C:\WINDOWS\System32\qtwkzo.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Programy\FlashGet\fgiebar.dllO3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programy\Norton SystemWorks\Norton AntiVirus\NavShExt.dllO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exeO4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exeO4 - HKLM\..\Run: [farmmext] C:\WINDOWS\farmmext.exeO4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Programy\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exeO4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exeO4 - HKLM\..\Run: [Dvx] C:\WINDOWS\System32\wsxsvc\wsxsvc.exeO4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exeO4 - HKLM\..\Run: [d] C:\WINDOWS\isrvs\ffisearch.exeO4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"O4 - HKLM\..\Run: [os6W33h] wmvisn.exeO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [Messenger] MSMSGSO4 - HKCU\..\Run: [Seco] C:\Documents and Settings\Domownik\Dane aplikacji\hsht.exeO4 - HKCU\..\Run: [Ygrpqy] C:\WINDOWS\System32\j?vaw.exeO4 - HKCU\..\Run: [ZBp6RTNFi] wkstdep.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dllO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programy\FlashGet\flashget.exeO9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programy\FlashGet\flashget.exeO10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\dolsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\winlspak.dllO15 - Trusted Zone: *.iframedollars.bizO15 - Trusted Zone: *.skoobidoo.comO15 - Trusted Zone: *.slotchbar.comO15 - Trusted Zone: *.windupdates.comO15 - Trusted Zone: *.ysbweb.comO15 - Trusted Zone: *.iframedollars.biz (HKLM)O15 - Trusted Zone: *.skoobidoo.com (HKLM)O15 - Trusted Zone: *.slotchbar.com (HKLM)O15 - Trusted Zone: *.windupdates.com (HKLM)O15 - Trusted Zone: *.ysbweb.com (HKLM)O15 - Trusted IP range: 213.159.117.202O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://67.15.101.3/g_bin/pl/roulette_2_0_0_15.cabO16 - DPF: {1A781DED-C22D-4153-3213-A3211E29DF13} (GameDesire Card Games) - http://67.15.101.3/g_bin/pl/cards_2_0_0_60.cabO16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (GINBOARDS Class) - http://67.15.101.3/g_bin/pl/boards_2_0_0_16.cabO16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - http://67.15.101.3/g_bin/pl/slots90_2_0_0_21.cabO16 - DPF: {67135BDA-6546-4426-BC94-BB5AF5005231} (GameDesire Checkers) - http://67.15.101.3/g_bin/pl/checkers_2_0_0_15.cabO16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} - http://67.15.101.3/g_bin/pl/poker_2_0_0_36.cabO16 - DPF: {9085316E-42BA-11D4-BAA3-0080C8D7ED4A} (GameDesire JungleHunter) - http://67.15.101.3/g_bin/pl/hunter_2_0_0_16.cabO16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cabO16 - DPF: {A1FE3DE0-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Demon) - http://67.15.101.3/g_bin/pl/demon_2_0_0_18.cabO16 - DPF: {A1FE3DEF-CF77-11D4-8340-0080C8D7ED4A} (GameDesire Pinball Pirate) - http://67.15.101.3/g_bin/pl/pirate_2_0_0_18.cabO16 - DPF: {A6212120-01D4-11D5-9A39-0080C8D85044} (GameDesire Slots 70th) - http://67.15.101.3/g_bin/pl/slots70_2_0_0_21.cabO16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbies&Diamonds) - http://67.15.101.3/g_bin/pl/marbles_2_0_0_21.cabO16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) - http://67.15.101.3/g_bin/pl/darts_2_0_0_29.cabO16 - DPF: {AD7013FF-1D9A-4F36-94A6-3CD408A663F9} (GameDesire BreakOut) - http://67.15.101.3/g_bin/pl/breakout_2_0_0_15.cabO16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_35.cabO16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GameDesire Mahjong) - http://67.15.101.3/g_bin/pl/mahjong_2_0_0_17.cabO16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} - http://skaner.mks.com.pl/SkanerOnline.cabO16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - http://67.15.101.3/g_bin/pl/slots80_2_0_0_21.cabO16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GameDesire Pool Training) - http://67.15.101.3/g_bin/pl/billardt_2_0_0_21.cabO16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cabO18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dllO20 - Winlogon Notify: Controls Folder - C:\WINDOWS\system32\n24slch71f4.dllO20 - Winlogon Notify: MCD - C:\WINDOWS\system32\i8240ifqe82e0.dll (file missing)O21 - SSODL: XSulI - {1C014E8C-B6AB-E426-EDB7-86D85796AA18} - C:\WINDOWS\System32\ddl.dllO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exeO23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exeO23 - Service: GhostStartService - Symantec Corporation - D:\Programy\NORTON~1\NORTON~2\GHOSTS~2.EXEO23 - Service: iPod Service (iPodService) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)O23 - Service: Usługa Auto-Protect w programie Norton AntiVirus (navapsvc) - Symantec Corporation - D:\Programy\Norton SystemWorks\Norton AntiVirus\navapsvc.exeO23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Programy\Norton SystemWorks\Norton Utilities\NPROTECT.EXEO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exeO23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exeO23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exeO23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Nie wiem czy to cos pomoze...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Według mnie wirus jest już "wżarty" w system. Najlepsza metoda na to jest "format c: "

Bo jeżeli go i tak usuniesz to możesz skasowac też pare plików systemowych i jak potem bedzie działał na ukochanym system Windows to każdy wie :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dołącz do dyskusji

Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.

Gość
Dodaj odpowiedź do tematu...

×   Wklejono zawartość z formatowaniem.   Przywróć formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić grafiki. Dodaj lub załącz grafiki z adresu URL.

Ładowanie


×
×
  • Dodaj nową pozycję...