Grape Napisano 28 Kwietnia 2009 Zgłoś Napisano 28 Kwietnia 2009 Witam Spyware Doctor znalazł mi trojana, a konkretnie mówiąc 13 infekcji (screen poniżej). Walczę z nim od dłuższego momentu i nadal powraca. Spyware Doctor niby usuwa problem, ale po ponownym uruchomieniu komputera trojan powraca. Od razu mówię, że opcja przywracania systemu jest wyłączona. Mój antywirus Avira nic nie znajduje. Kaspersky on-line również nie widzi żadnego problemu. Zresztą podobnie jest w przypadku spybot search & destroy, bo on też nie znajduje żadnego zagrożenia. Próbowałem to usnąć w trybie normalnym i awaryjnym, ale nadal nic to nie dało. Skończyły mi się pomysły, więc zakładam temat na forum. Jak się tego skutecznie pozbyć? Macie jakieś pomysły? Proszę o pomoc i z góry dziękuję. Pozdrawiam log z hijackthis Logfile of Trend Micro HijackThis v2.0.2Scan saved at 16:09:26, on 2009-04-28Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exeC:\Program Files\Google\Update\GoogleUpdate.exeC:\WINDOWS\Explorer.EXEC:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exeC:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exeC:\Program Files\Java\jre6\bin\jusched.exeC:\WINDOWS\system32\RUNDLL32.EXEC:\Program Files\Spyware Doctor\pctsTray.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exeC:\Program Files\Java\jre6\bin\jqs.exeC:\Program Files\Common Files\LightScribe\LSSrvc.exeC:\WINDOWS\system32\nvsvc32.exeC:\WINDOWS\system32\HPZipm12.exeC:\WINDOWS\system32\PnkBstrA.exeC:\Program Files\Spyware Doctor\pctsAuxs.exeC:\Program Files\Spyware Doctor\pctsSvc.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\wscntfy.exeC:\WINDOWS\System32\alg.exeC:\Program Files\Spyware Doctor\pctsGui.exeC:\Program Files\Mozilla Firefox\firefox.exeC:\Program Files\Adobe\Photoshop CS\Photoshop.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeC:\WINDOWS\System32\wbem\wmiprvse.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLLO2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dllO2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dllO2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dllO4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /minO4 - HKLM\..\Run: [Ad-watch] C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exeO4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -kO4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /autoO4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /SO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dllO9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dllO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLLO9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dllO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLLO23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exeO23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exeO23 - Service: Usługa Google Update (gupdate1c9933cff7cf08e) (gupdate1c9933cff7cf08e) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exeO23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exeO23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exeO23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exeO23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exeO23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exeO23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exeO23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe--End of file - 6667 bytes Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
ULLISSES Napisano 28 Kwietnia 2009 Zgłoś Napisano 28 Kwietnia 2009 Pozabijaj wszystkie procesy na Twoim koncie przy pomocy Menedżera zadań używając polecenia "Zakończ drzewo procesów". Przy zamykaniu Explorer.exe zapewne zamknie Ci menedżera, ale uruchom go jeszcze raz. Następnie przy jego pomocy uruchom Total Commander (szukaj w Google triala), wejdź do katalogu Program files i usuń wszystko z katalogu Internet Explorer poza iexplorer.exe oraz hmmapi.dll. Następnie odpal Spybot S&D, daj Widok->Zaawansowany, następnie na przycisk Tools na dole, w lewym oknie upewnij się, że masz zaznaczone (i w razie potrzeby zaznacz) ActiveX. Następnie wejdź ActiveX i usuń wszystko co nie ma zielonego znaczka (V) obok. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Grape Napisano 28 Kwietnia 2009 Zgłoś Napisano 28 Kwietnia 2009 Niestety nie pomogło. Pozamykałem wszystkie procesy. Odpaliłem total commandera przez menedżera zadań, usunąłem pliki z katalogu program files/internet explorer (z wyjątkiem folderu "connection wizard" - przy próbie usunięcia wyskoczył komunikat, że nie można usunąć folderu, bo są w nim pliki używane przez inną osobę lub program), następnie przez total commandera odpaliłem spybota, w zakładce tools zaznaczyłem opcję Activex i usunąłem w niej dwa wpisy, które nie miały zielonego znaczka z boku. To jednak nie poskutkowało. Spyware Doctor nadal widzi trojana. Nie wiem czy to może jakiś fałszywy alarm czy co. Trochę dziwne, że żaden inny program nic nie wykrył. Antywirus siedzi cicho, kaspersky on-line też nie wyświetla żadnych zagrożeń. Z komputerem na "oko" też się nic nie dzieje. Wszystko chodzi normalnie, nie ma żadnych problemów. Pozostaje tylko kwestia tego ustrojstwa, które wyświetla spyware doctor. Może nie jest to nic wielkiego, ale mimo to czuję pewien dyskomfort i chciałbym się tego pozbyć 8O Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
ULLISSES Napisano 28 Kwietnia 2009 Zgłoś Napisano 28 Kwietnia 2009 Zainstaluj program Unlocker i CCleaner. Powtórz to co opisałem, ale w trybie awaryjnym. Następnie wejdź przez Total Commander do Windows\System32, a następnie znajdź i usuń wszystkie pliki .dll oraz .exe, które mają atrybut "hs" (ukryty, systemowy) - w zdrowym systemie nie powinno tam być takich plików. W przypadku problemu z usunięciem użyj programu Unlocker. Wciskasz prawy przycisk myszy i na pliku wybierasz Unlocker, a następnie w oknie Unlockera wybierasz "uwolnij wszystkie" i "usuń plik". Na koniec zrób czyszczenie przy pomocy Spyware Doctor i rejestr przy pomocy CCleaner. Po ponownym uruchomieniu komputera powinno być ok. Oczywiście zakładam, iż zarówno Avira jak i Spybot S&D mają pobrane najnowsze bazy danych. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
Grape Napisano 29 Kwietnia 2009 Zgłoś Napisano 29 Kwietnia 2009 (edytowane) Sprawa już wyjaśniona. Okazuje się, że mamy do czynienia z fałszywym alarmem. Wczoraj próbowałem znaleźć jeszcze jakieś informacje na temat tego trojana i trafiłem na oficjalne forum spyware doctor, gdzie znalazłem temat z identycznym problemem. Wpisało się tam sporo osób, którym SD wskazał to samo zagrożenie (identyczny trojan, ta sama liczba infekcji i nawet wpisy w rejestrze takie same). Winowajcą jest wczorajsza poprawka do SD. Wkradł się jakiś błąd i program identyfikuje zdrowe pliki jako zarażone. Dałbym link do tego tematu, ale nie wiem czy będzie to zgodne z regulaminem PurePC 8O Poniżej odpowiedź osoby bezpośrednio związanej z ekipą SD: Hi All, This is a FP (false positive) and a fix will be available later today. Apologies for any inconvenience. PS. ULLISSES dzięki za zainteresowanie tematem i szybką odpowiedź. Tym razem to oprogramowanie spłatało mi figla, ale w przyszłości - jeśli pojawi się jakiś niechciany trojan, na pewno skorzystam z Twoich rad 8O Pozdrawiam i jeszcze raz wielkie dzięki Edytowane 29 Kwietnia 2009 przez Grape Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach More sharing options...
