Cwany Trojan !

[pecetomaniak]

Mam poważny problem. Otoż złapałem jakiegoś Trojana, który wkradł sie do pliku usersytem.exe. Kiedy juz doszło do infekcji komputer nie chial mi się łączyć z netem, a antywirus avg przestał działać. Co zrobić???

 

--------[ Procesy ]-----------------------------------------------------------------------------------------------------

 

avgamsvr.exe D:\Programy\AVGFRE~1\avgamsvr.exe 1804 KB 3136 KB

avgcc.exe D:\Programy\AVGFRE~1\avgcc.exe 4596 KB 15440 KB

avgupsvc.exe D:\Programy\AVGFRE~1\avgupsvc.exe 1200 KB 736 KB

avgvv.exe D:\Programy\AVGFRE~1\avgvv.exe 18088 KB 13824 KB

cFosDNT.exe D:\Programy\cFos\cFosDNT.exe 2012 KB 2152 KB

ctfmon.exe C:\WINDOWS\system32\ctfmon.exe 1632 KB 932 KB

CTHELPER.EXE C:\WINDOWS\system32\CTHELPER.EXE 700 KB 2092 KB

DAP.exe D:\Programy\DAP\DAP.exe 2156 KB 29540 KB

everest.bin D:\Programy\EVEREST Home Edition\everest.bin 11348 KB 12236 KB

Explorer.EXE C:\WINDOWS\Explorer.EXE 12036 KB 11308 KB

FIREFOX.EXE D:\PROGRAMY\MOZILL~1\FIREFOX.EXE 36752 KB 34936 KB

FreeRAM XP Pro.exe D:\Programy\FreeRAM XP Pro\FreeRAM XP Pro.exe 1964 KB 5100 KB

gg.exe D:\Programy\Gadu-Gadu\gg.exe 6320 KB 9068 KB

lsass.exe C:\WINDOWS\system32\lsass.exe 1464 KB 3952 KB

NetMeter.exe D:\Programy\NetMeter\NetMeter.exe 1760 KB 1808 KB

nhksrv.exe C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe 208 KB 284 KB

nod32krn.exe D:\Programy\NOD32\nod32krn.exe 15996 KB 14812 KB

nod32kui.exe D:\Programy\NOD32\nod32kui.exe 2280 KB 1668 KB

nvsvc32.exe C:\WINDOWS\system32\nvsvc32.exe 372 KB 1932 KB

services.exe C:\WINDOWS\system32\services.exe 1792 KB 1912 KB

smc.exe D:\Programy\Sygate Personal Firewall Pro\smc.exe 13876 KB 17320 KB

smss.exe C:\WINDOWS\System32\smss.exe 52 KB 164 KB

spoolsv.exe C:\WINDOWS\system32\spoolsv.exe 764 KB 3048 KB

svchost.exe C:\WINDOWS\System32\svchost.exe 468 KB 2248 KB

svchost.exe C:\WINDOWS\system32\svchost.exe 1552 KB 2828 KB

svchost.exe C:\WINDOWS\System32\svchost.exe 9504 KB 12688 KB

winlogon.exe C:\WINDOWS\system32\winlogon.exe 920 KB 5888 KB

wscntfy.exe C:\WINDOWS\system32\wscntfy.exe 568 KB 572 KB

 

--------[ Usługi ]------------------------------------------------------------------------------------------------------

 

ALG Usługa bramy warstwy aplikacji alg.exe 5.1.2600.2180 Proces własny Działanie NT AUTHORITY\LocalService

Avg7Alrt AVG7 Alert Manager Server avgamsvr.exe 7.0.0.199 Proces własny Działanie LocalSystem

AVGEMS AVG E-mail Scanner avgemc.exe 7.0.0.203 Proces własny Zatrzymane LocalSystem

Avg7UpdSvc AVG7 Update Service avgupsvc.exe 7.0.0.132 Proces własny Działanie LocalSystem

cisvc Usługa indeksowania cisvc.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

ClipSrv ClipBook clipsrv.exe 5.1.2600.2180 Proces własny Zatrzymane LocalSystem

COMSysApp Aplikacja systemowa modelu COM+ dllhost.exe 5.1.2600.2180 Proces własny Zatrzymane LocalSystem

SwPrv MS Software Shadow Copy Provider dllhost.exe 5.1.2600.2180 Proces własny Zatrzymane LocalSystem

dmadmin Usługa administracyjna Menedżera dysków logicznych dmadmin.exe 2600.2180.503.0 Proces udostępniania Zatrzymane LocalSystem

ImapiService Usługa COM nagrywania dysków CD IMAPI imapi.exe 5.1.2600.2180 Proces własny Zatrzymane LocalSystem

RpcLocator Lokalizator usługi zdalnego wywołania procedury (RPC) locator.exe 5.1.2600.2180 Proces własny Zatrzymane NT AUTHORITY\NetworkService

Netlogon Logowanie do sieci lsass.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

NtLmSsp Usługa NT LM Security Support Provider lsass.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

PolicyAgent Usługi IPSEC lsass.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

ProtectedStorage Magazyn chroniony lsass.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

SamSs Menedżer kont zabezpieczeń lsass.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

mnmsrvc NetMeeting Remote Desktop Sharing mnmsrvc.exe 5.1.2600.2180 Proces własny Zatrzymane LocalSystem

MSDTC Distributed Transaction Coordinator msdtc.exe 2001.12.4414.258 Proces własny Zatrzymane NT AUTHORITY\NetworkService

MSIServer Instalator Windows msiexec.exe 3.0.3790.2180 Proces udostępniania Zatrzymane LocalSystem

NetDDE DDE sieci netdde.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

NetDDEdsdm DSDM DDE sieci netdde.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

nhksrv Netropa NHK Server nhksrv.exe Proces własny Działanie LocalSystem

NOD32krn NOD32 Kernel Service nod32krn.exe 2.50.25.0 Proces własny Działanie LocalSystem

NVSvc NVIDIA Display Driver Service nvsvc32.exe 6.14.10.8185 Proces własny Działanie LocalSystem

ose Office Source Engine OSE.EXE 11.0.5525.0 Proces własny Zatrzymane LocalSystem

RSVP QoS RSVP rsvp.exe 5.1.2600.0 Proces własny Zatrzymane LocalSystem

SCardSvr Karta inteligentna SCardSvr.exe 5.1.2600.2180 Proces udostępniania Zatrzymane NT AUTHORITY\LocalService

Eventlog Dziennik zdarzeń services.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

PlugPlay Plug and Play services.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

RDSessMgr Menedżer sesji pomocy pulpitu zdalnego sessmgr.exe 5.1.2600.2180 Proces własny Zatrzymane LocalSystem

SmcService Sygate Personal Firewall Pro smc.exe 5.5.0.2637 Proces własny Działanie LocalSystem

SysmonLog Dzienniki wydajności i alerty smlogsvc.exe 5.1.2600.2180 Proces własny Zatrzymane NT Authority\NetworkService

Spooler Bufor wydruku spoolsv.exe 5.1.2600.2180 Proces własny Działanie LocalSystem

Alerter Urządzenie alarmowe svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane NT AUTHORITY\LocalService

AppMgmt Zarządzanie aplikacjami svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

AudioSrv Windows Audio svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

BITS Usługa inteligentnego transferu w tle svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

Browser Przeglądarka komputera svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

CryptSvc Usługi kryptograficzne svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

DcomLaunch Program uruchamiający proces serwera DCOM svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

Dhcp Klient DHCP svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

dmserver Menedżer dysków logicznych svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

Dnscache Klient DNS svchost.exe 5.1.2600.2180 Proces udostępniania Działanie NT AUTHORITY\NetworkService

ERSvc Usługa raportowania błędów svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

EventSystem System zdarzeń COM+ svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

FastUserSwitchingCompatibility Zgodność szybkiego przełączania użytkowników svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

helpsvc Pomoc i obsługa techniczna svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

HidServ Dostęp do urządzeń interfejsu HID svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

HTTPFilter HTTP SSL svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

lanmanserver Serwer svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

lanmanworkstation Stacja robocza svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

LmHosts Pomoc TCP/IP NetBIOS svchost.exe 5.1.2600.2180 Proces udostępniania Działanie NT AUTHORITY\LocalService

Messenger Posłaniec svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

Netman Połączenia sieciowe svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

Nla Rozpoznawanie lokalizacji w sieci (NLA) svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

NtmsSvc Magazyn wymienny svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

RasAuto Menedżer autopołączenia dostępu zdalnego svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

RasMan Menedżer połączeń usługi Dostęp zdalny svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

RemoteAccess Routing i dostęp zdalny svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

RemoteRegistry Rejestr zdalny svchost.exe 5.1.2600.2180 Proces udostępniania Działanie NT AUTHORITY\LocalService

RpcSs Zdalne wywoływanie procedur (RPC) svchost.exe 5.1.2600.2180 Proces udostępniania Działanie NT Authority\NetworkService

Schedule Harmonogram zadań svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

seclogon Logowanie pomocnicze svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

SENS Zawiadomienie o zdarzeniu systemowym svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

SharedAccess Zapora systemu Windows/Udostępnianie połączenia internetowego svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

ShellHWDetection Wykrywanie sprzętu powłoki svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

srservice Usługa przywracania systemu svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

SSDPSRV Usługa odnajdywania SSDP svchost.exe 5.1.2600.2180 Proces udostępniania Działanie NT AUTHORITY\LocalService

stisvc Windows Image Acquisition (WIA) svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

TapiSrv Telefonia svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

TermService Usługi terminalowe svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

Themes Kompozycje svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

TrkWks Klient śledzenia łączy rozproszonych svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

upnphost Host uniwersalnego urządzenia Plug and Play svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane NT AUTHORITY\LocalService

W32Time Usługa Czas systemu Windows svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

WebClient WebClient svchost.exe 5.1.2600.2180 Proces udostępniania Działanie NT AUTHORITY\LocalService

winmgmt Instrumentacja zarządzania Windows svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

WmdmPmSN Usługa numeru seryjnego multimediów przenośnych svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

Wmi Rozszerzenia sterownika Instrumentacji zarządzania Windows svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

wscsvc Centrum zabezpieczeń svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

wuauserv Aktualizacje automatyczne svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

WZCSVC Konfiguracja zerowej sieci bezprzewodowej svchost.exe 5.1.2600.2180 Proces udostępniania Działanie LocalSystem

xmlprov Usługa dostarczania sieci svchost.exe 5.1.2600.2180 Proces udostępniania Zatrzymane LocalSystem

TlntSvr Telnet tlntsvr.exe 5.1.2600.2180 Proces własny Zatrzymane LocalSystem

UPS Zasilacz awaryjny (UPS) ups.exe 5.1.2600.2180 Proces własny Zatrzymane NT AUTHORITY\LocalService

VSS Kopiowanie woluminów w tle vssvc.exe 5.1.2600.2180 Proces własny Zatrzymane LocalSystem

UMWdf Windows User Mode Driver Framework wdfmgr.exe 5.2.3790.1230 Proces własny Działanie NT AUTHORITY\LocalService

WmiApSrv Karta wydajności WMI

[Kolobos]

Wyedytuj ten post i wklej log z hijackthis, a nie ten syf.

[SGJ]

I zdecyduj się o jaki plik chodzi(w poscie inny, na obrazku inny), zresztą zaddna róznica, w systemie nie powinno byc zadnego z nich.

[pecetomaniak]

Wyedytuj ten post i wklej log z hijackthis, a nie ten syf.

OTO LOG WYGENEROWNY PRZEZ HIJACKTHIS!

 

Logfile of HijackThis v1.99.1

Scan saved at 10:28:27, on 2005-11-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\Programy\Sygate Personal Firewall Pro\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

C:\WINDOWS\Explorer.EXE

D:\Programy\AVGFRE~1\avgamsvr.exe

D:\Programy\cFos\cFosDNT.exe

D:\Programy\AVGFRE~1\avgcc.exe

D:\Programy\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\CTHELPER.EXE

D:\Programy\NOD32\nod32kui.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

D:\Programy\FreeRAM XP Pro\FreeRAM XP Pro.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Programy\NetMeter\NetMeter.exe

D:\Programy\NOD32\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

D:\Programy\IncrediMail\bin\IncMail.exe

D:\Programy\INCRED~1\bin\IMApp.exe

D:\Programy\Gadu-Gadu\gg.exe

D:\Programy\DAP\DAP.exe

D:\Programy\Mozilla Firefox\firefox.exe

C:\DOCUME~1\Kamil\USTAWI~1\Temp\Rar$EX00.297\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 128.230.109.43:80

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\Programy\DAP\DAPBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programy\Adobe Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\Programy\DAP\DAPIEBar.dll

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [smcService] D:\Programy\SYGATE~1\smc.exe -startgui

O4 - HKLM\..\Run: [cFosDNT] D:\Programy\cFos\cFosDNT.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVG7_CC] D:\Programy\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [nod32kui] "D:\Programy\NOD32\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [FreeRAM XP] "D:\Programy\FreeRAM XP Pro\FreeRAM XP Pro.exe" -win

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [D:\Programy\NetMeter\NetMeter.exe] D:\Programy\NetMeter\NetMeter.exe

O8 - Extra context menu item: &Download with &DAP - D:\Programy\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - D:\Programy\DAP\dapextie2.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - D:\Programy\DAP\DAP.EXE

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Programy\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{16B013A0-039A-4EE3-8A45-23EC9E130CC8}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\Programy\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\Programy\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\Programy\AVGFRE~1\avgemc.exe

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Programy\NOD32\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - D:\Programy\Sygate Personal Firewall Pro\smc.exe

[Kolobos]

W logu go nie widac.Jego plik usun z dysku o ile jeszcze tego nie zrobiles.

 

Usun:

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)