Trojan Win32:agent-ht [trj]

[morys]

Sąciad prosił mnie o pomoc w odblokowaniu zawieszającego sie bez przerwy

systemu win XP.

Przeczyściłem system przy pomocy Ad-aware , Spybot-Search&Destroy i wywaliłem kupę robactwa.

Niestety skanując system przy pomocy Avast`a nie mogę sobie poradzić z

Trojanem win32:Agent-HT [Trj]

Rozmnaża sie w C;\WNNT\System32

Chyba z godzinę wsadzałem w kwarantannę ponad 50 mutantów i zrezygnowałem.

W zasadzie na razie system pracuje stabilnie ale sąciad ma trochę roboty

biurowej i zero pojęcia.

Poradźcie co z tym paskudztwem zrobić ?

W sieci jest tylko sporo wpisów że jest to robal ale na żadnym serwerze nie

znalazłem sposobu jak go usunąc (a raczej już teraz JE usunąć).

Avasta mam free więc serwis mi się chyba nie należy.

[SGJ]

Daj log z HijackThis

[morys]

Daj log z HijackThis

Prubuję !

 

Niestety jakoś nie umiem dodać załącznika.

Wklejam tutaj.

Najwyżej pózniej usunę

 

Logfile of HijackThis v1.99.1

Scan saved at 16:28:09, on 2006-05-09

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINNT\System32\nvsvc32.exe

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Globe Software\StatBar\StatBar.exe

C:\Program Files\Mozilla Firefox\firefox.exe

F:\Programy\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {02CF02E4-4ED8-C170-8EE3-716CB80CB86B} - (no file)

O2 - BHO: (no name) - {03516A67-1DF8-4882-0646-5DCAB8E58A39} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {0D5F027A-3A09-2B3F-77F4-EABCE57E70AC} - (no file)

O2 - BHO: (no name) - {0DA80363-14A8-21B6-3DA4-55CE37683BE7} - (no file)

O2 - BHO: (no name) - {19AA53C8-F31B-F24C-1988-85FA31A5049C} - (no file)

O2 - BHO: (no name) - {1BB1C522-BA69-F76F-5DA8-C652B2B572E4} - (no file)

O2 - BHO: (no name) - {1BFCC8C4-519B-40D5-8BFE-FE0B2846D569} - (no file)

O2 - BHO: (no name) - {210C2ED6-DEC2-486C-FA2D-6E9CAF22597C} - (no file)

O2 - BHO: (no name) - {21C805B4-C227-B5A0-C40F-AF0FA07C2E59} - (no file)

O2 - BHO: (no name) - {2DB1D24E-CD2A-44A9-CDD7-1EF30E4127DC} - (no file)

O2 - BHO: (no name) - {2FC95406-BD0C-AD00-D537-AB6A13894F06} - (no file)

O2 - BHO: (no name) - {315E98A7-74F9-5F23-1F83-8DF6BA732119} - (no file)

O2 - BHO: (no name) - {3A3A2001-B541-3D27-89C0-16CDF8212342} - (no file)

O2 - BHO: (no name) - {3AF78A0D-8A23-E61A-57C0-EE3C664E1425} - (no file)

O2 - BHO: (no name) - {46199094-7DD3-0ABA-474D-B06038248E65} - (no file)

O2 - BHO: (no name) - {50AEDBFB-69D9-C454-A25A-AD18991DEA72} - (no file)

O2 - BHO: (no name) - {5148515F-C021-D025-C014-39B6286F75F3} - (no file)

O2 - BHO: (no name) - {51A8F4CD-2343-18E1-ABD2-F00B481A116E} - (no file)

O2 - BHO: (no name) - {5683D317-E3BB-83D0-67C5-85D9DB32FC7F} - (no file)

O2 - BHO: (no name) - {57DD6ED6-F824-8F6E-D24C-DAA6CC9AEDF8} - (no file)

O2 - BHO: (no name) - {5869CC2C-F3F1-33C1-A895-48605BB7DE19} - (no file)

O2 - BHO: (no name) - {58DD029C-992B-A964-9598-55C487713EC7} - (no file)

O2 - BHO: (no name) - {5EC74F68-481C-11E1-66C8-9B2B480FEE69} - (no file)

O2 - BHO: (no name) - {6315D07E-C169-5F22-2AEB-56572EF0EE38} - (no file)

O2 - BHO: (no name) - {6FC93981-8DF7-1175-C957-35B249B58EB6} - (no file)

O2 - BHO: (no name) - {7D8214B2-171F-8B12-6259-F6E0AEB9F803} - (no file)

O2 - BHO: (no name) - {7E1FF175-AF3F-A94C-658C-783D1C38C742} - (no file)

O2 - BHO: (no name) - {7EA3F60F-10F0-0938-4982-1B08D4B3E401} - (no file)

O2 - BHO: (no name) - {844A149F-41DE-FA73-0206-32F29122B33A} - (no file)

O2 - BHO: (no name) - {88E91021-5C21-2CB5-B28A-238F80155F49} - (no file)

O2 - BHO: (no name) - {8BB7DAB1-D99F-1F75-54C7-D4C7E2D55FED} - (no file)

O2 - BHO: (no name) - {8DC59F8A-A38C-4AEC-B374-2EFF71DA12CC} - (no file)

O2 - BHO: (no name) - {9341C955-9B9E-D574-C5C1-B294022FF521} - (no file)

O2 - BHO: (no name) - {9407E41A-7C0F-B5C6-1D61-8C738A6CDC87} - (no file)

O2 - BHO: (no name) - {95C683EB-89DA-3AF7-E3D5-5593211D15AA} - (no file)

O2 - BHO: (no name) - {9653433C-3B4B-5BE6-CE8B-41DF46292905} - (no file)

O2 - BHO: (no name) - {9683D005-901E-44EC-E7D8-C4313DE2CBE4} - (no file)

O2 - BHO: (no name) - {99279057-432F-36B1-1BBD-CAE9F66729E4} - (no file)

O2 - BHO: (no name) - {A3C09072-8BED-46A4-8F3C-6ECFF3BB5377} - (no file)

O2 - BHO: (no name) - {A59032CD-0686-C388-2339-A80FD4CCFF22} - (no file)

O2 - BHO: (no name) - {ADC65335-380F-A709-8485-BA6E47D9A5C5} - (no file)

O2 - BHO: (no name) - {AF61DD49-FEDC-3145-683E-6D19A02D4877} - (no file)

O2 - BHO: (no name) - {B52DB2D9-FF80-8793-DD6A-ABA88955C38D} - (no file)

O2 - BHO: (no name) - {BAA318D3-8A22-DBE1-BCCD-760A5D11BE14} - (no file)

O2 - BHO: (no name) - {C13C1448-F9CF-6EFE-F6C3-CD99CDA3BF02} - (no file)

O2 - BHO: (no name) - {C758741B-F271-B1B9-E5E5-A385B63232CA} - (no file)

O2 - BHO: (no name) - {CA183EA3-D757-266F-0875-9EFBB1288EDF} - (no file)

O2 - BHO: (no name) - {CE66F9C5-3BA2-D10E-13DC-8211C7CDC655} - (no file)

O2 - BHO: Class - {DF99E0C3-338A-8EAC-D60F-0B2248E7E647} - C:\WINNT\system32\apipj.dll (file missing)

O2 - BHO: (no name) - {E63D0063-4765-69C1-D4E0-D6A4569B4062} - (no file)

O2 - BHO: (no name) - {E8F9F03A-BE22-03A0-0932-A5CF0D6CA011} - (no file)

O2 - BHO: (no name) - {E949B869-B9BE-C937-3740-623DCC38D6EC} - (no file)

O2 - BHO: (no name) - {EAF62A88-9CDF-9569-F33C-5759F994F510} - (no file)

O2 - BHO: (no name) - {F205DC8B-C372-D9B3-2E06-BA8C11824A5F} - (no file)

O2 - BHO: (no name) - {F4545462-121B-7A31-50F3-6A97D9BA8712} - (no file)

O2 - BHO: (no name) - {F8C8F77E-C405-F73A-3EA0-C95BCC148504} - (no file)

O2 - BHO: (no name) - {FB41D08A-A948-ED9C-9321-519849430ADD} - (no file)

O2 - BHO: (no name) - {FE3D4E38-8E7F-3F2F-6E0C-FD4A138B1037} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\MICROS~1\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\MICROS~1\OFFICE11\REFIEBAR.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

Edytowane 9 Maja 2006 przez morys

[SGJ]

Usun wszystkie

O2 - BHO: (no name) - {2DB1D24E-CD2A-44A9-CDD7-1EF30E4127DC} - (no file)

 

i

O2 - BHO: Class - {DF99E0C3-338A-8EAC-D60F-0B2248E7E647} - C:\WINNT\system32\apipj.dll (file missing)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

 

--

A tak, to w tym logu nic nie widac.

[morys]

Dzięki.

Poprubuję.

 

A gdybym posłużył się:

http://www.hijackthis.de/

 

Wkleiłam tam ale ąż się boję bo same wykrzykniki od góry do dołu (prawie)

 

Jak odznaczę wszystkie te z wykrzyknikami to nie padnie mi system ?

[SGJ]

Mozesz usunąc wszystko co jest tam zaznaczone.

 

I ten system wymaga aktualizacji. Powinien byc zainstalowany przynajmniej SP2.

[morys]

OK

Dzięki

[Kolobos]

Zamknij porty w wwdc:

http://www.firewallleaktester.com/wwdc.htm

 

Zrob skan tym:

http://download.ewido.net/ewido-setup.exe

po przeskanowaniu odinstaluj.

 

Tu jest opis zmian w rejestrze jakich dokonuje ten trojan:

http://www.avira.com/en/threats/section/fu...r_agent.ht.html

 

W jakim pliku go masz?

[morys]

Na razie nie ośmieliłem sie nic grzebnąć bo jest w miarę stabilny.

Za kilka dni przyniosa mi go z powrotem , wtedy pokombinuje i dam znać.