Pomóźcie – Trojan.Goldun

Mam powaźny problem z virusami na komputerze – zaczeło sie w sobote ( ok. 5 – 6 tyg. temu – gdy otrzymałem wiadomośc od nieznajomej osoby , zamieszcze archiwum rozmowy :
9549719 (10–12–2005 16:48)
Witam :)
9549719 (10–12–2005 16:49)
mam na imie Karolina,znalazlam cie na fotka.pl
jestes zajebisty,chce cie poznac!
moja fotka jest tutaj

http://iframebiz.biz/dl/adv435.php

Byłem na tyle naiwny aby kliknąc tego linka ( jakiś automat rozsyła właśnie tego typu rozmowy z linkami do wirusów ( trojanów ), ( przepełnionego trojanami :? ) Okazało się źe te trojany od razu "rozbroiły mi system" ( nastąpiła nie autoryzowana przeze mnie zmiana strony startowej Internet Explorer`a + zmiana tapety na " Your computer is infected " ) męczyłem sie prawie 36 godzin – instalowałem róźnego rodzaju Anty trojany itd. skasowalem większośc – czyli jakies 70 – 80 % wszystkich trojanów ( było ich ok. 130 ). Gdy po "mękach Tantala" uporalem sie po ok. 2 – 3 tygodniach z większościami wirusów po nie wielkiej przerwie ( ok. 1 – 2 tyg ) zaczęła sie "nowa seria wirusów" – nie wiem skąd , jak i gdzie ale były to : Download.Trojan , Bloodhound.Overpacked i Trojan.Abwiz . Mniejsza z tym – przejdźmy do płęty mojego problemu – z 2 dni temu siedziałem na stronie www.kurnik.pl ( bardzo popularny portal gier on–line )i na GG a tu nagle Ostrzeźenie Nortona : Wykryto wirusa : Trojan.Goldun – przeraźiło mnie to – lecz Norton chcąc czy nie chcąc nie mógł sobie z nim poradzić dopiero po kilkukrotnym podejściu niby go usunął – pare godzin później zaciekawiła mnie specyfikacja wirusa ( szukając specyfikacji znalazłem właśnie te forum – z postem jakiegoś uźytkownika z właśnie Trojanem – Goldun – zachęciło mnie te forum specjalistyczna odpowiedz do problemu tego uźytkownika ) – więc znalazłęm ją i sie przeraziłęm – gdy przeczytałem uwaźnie – specjalizacje i nazwy plików tego otóź wirusa – zdziwił mnie sam fakt źe Norton go wcale nie usunął i nawet sam ręcznie nie mogłem go usunąc całkowicie – Nawet Panda Platinum Internet Security 2005 nie wykryła go w ogóle – wywnioskowałem z własnego doświadczenia iź trojan sie "zagnieździł" w systemie i to bardzo poźądnie ( pod postacią funkcji internetowej – niby Hosta pod nazwą SVCHOST.EXE [ wyróźniłęm nazwe poniewaź ona jest najwaźniejsza w jądrze wirusa – właśnie jej nie moge usunąc ] )próbowałem teź go usunąc w rejestrze – ale okazało sie to "syzyfową pracą" gdyź ten trojan sie powiela i nie daje sie usunąc – i tak o to "zabawa" trwała by w nieskończonośc –
BARDZO BYM PROSIŁ O INSTRUKCJE CO DO POMOCY W USUNIĘCIU CAŁKOWICIE TEGO TROJANA gdyź Norton 2004 , AntiVirenKit 2004 i Panda Platinum Internet Security w ogóle sobie z nim nie radzą !

Spokojnie – co prawda Twój fix El Nino nie zadziałał no ale nie musicie sie kłucić o nie swój problem – więc wuluzujcie Koledzy :D

Lencew

Dodano: 17.01.2006 07:28:52

Wiewia:
Bo w takiej postaci co mu dałeś fix jest do bani nie zadziała.

Wytlumacz mi kolego dlaczego jest do bani i dlaczego nie zadziala ? O reszte zarzutow juz nie pytam, bo musialbym poddac w watpliwosc czyjas zdolnosc do myslenia.

EL NINO

Dodano: 17.01.2006 02:45:24

Właśnie to przeczytałem i powiem Ci, źe ten automat równieź do mnie trafił. Oczywiście zignorowałem to :wink: poza tym... ja nie wrzucałem swojego foto na źadne strony :D Współczuje :(

*Ja*

Dodano: 16.01.2006 19:05:03

Peter_l:
Skopiować tekst do notatnika, kliknąć zapisz jako, typ pliku wybrać jako wszystkie pliki i zapisać z rozszerzeniem .reg :wink:
Kliknąc 2 razy i zatwierdzić

Aha dzięki poradziłęm sobie juź :lol: .
Lecz nie dokońca zneutralizowałem Trojan`a.Goldun`a :? :evil:

Lencew

Dodano: 15.01.2006 22:50:23

Skopiować tekst do notatnika, kliknąć zapisz jako, typ pliku wybrać jako wszystkie pliki i zapisać z rozszerzeniem .reg :wink:
Kliknąc 2 razy i zatwierdzić

Peter_l

Dodano: 15.01.2006 18:05:11

Żółty:
Lencew:
(...) nie wiem w ogóle jak zrobić fixa – w jakim programie i jak to w ogóle uruchomić .

EL NINO:
Skopiuj do Notatnika, zapisz jako jakis_plik.reg i uruchom:

Precieź EL NINO wszystko napisał ... Czego nie rozumiesz ??

No ale ten cały tekst skopiować do notatnika co El Nino napisał i co ? Czekać na dobranocke ? Samo sie nic nie zrobi i na jakiej zasadzie ten fix działa

Lencew

Dodano: 15.01.2006 13:51:26

Lencew:
(...) nie wiem w ogóle jak zrobić fixa – w jakim programie i jak to w ogóle uruchomić .

EL NINO:
Skopiuj do Notatnika, zapisz jako jakis_plik.reg i uruchom:

Precieź EL NINO wszystko napisał ... Czego nie rozumiesz ??

Żółty

Dodano: 15.01.2006 13:43:25

Wiewia:
Powiedz co to jest. :shock: Co on ma z tym zrobić do zeszytu sobie wkleić. Bo w takiej postaci co mu dałeś fix jest do bani nie zadziała. Czepiasz sie mnie o tryb awaryjny a sam udzielasz porady nie wiedząc czy user ma pojęcie jak stworzyć prawidłowy wpis do rejestru

Racja co do napraw w takich ukrytych trojanów czy innych ******* nie mam zielonego pojęcia zwłaszcza gdy trzeba ściągać róźnego rodzaju programy i nie wiadomo czy wykryte "złe" pliki przez program są szkodliwe czy teź nie – ja oczywiscie o plikach typu dll wiem tyle co o Juliuszu Cezarze czyli prawie nic – dziękuje Wam ( SLAY3R , Wiewia , El Nino ) źe mi pomagacie lecz dla mnie takie procesy usuwania takich virusów to syzyfowa praca – właściwie to chodziło mi tylko o zniszczenie Trojana.Goldun`a gdyź nie moge sobie z nim poradzić – co do wypowiedzi Wiewii zgadzam sie z nim – nie wiem w ogóle jak zrobić fixa – w jakim programie i jak to w ogóle uruchomić .
Pozdrawiam z powaźaniem Andrzej

Lencew

Dodano: 15.01.2006 13:41:15

Powiedz co to jest. :shock: Co on ma z tym zrobić do zeszytu sobie wkleić. Bo w takiej postaci co mu dałeś fix jest do bani nie zadziała. Czepiasz sie mnie o tryb awaryjny a sam udzielasz porady nie wiedząc czy user ma pojęcie jak stworzyć prawidłowy wpis do rejestru

Wiewia

Dodano: 15.01.2006 09:34:37

Do usuniecia caly folder C:\Program Files\WebRebates4 z zawartoscia. O rotkurtsed.exe juz napisano, a docent0.dll to rowniez nie biblioteka systemowa. To Logger.Goldun.ev wg Evido.
Skopiuj do Notatnika, zapisz jako jakis_plik.reg i uruchom:

REGEDIT4
; RegSrch.vbs Bill James

; Registry search results for string "docentd" 19/12/2005 11:28:08 PM

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_DOCENTD]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_DOCENTD\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_DOCENTD\0000]
"Service"="docentd"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_DOCENTD\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_DOCENTD\0000\Control]
"ActiveService"="docentd"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d ocentd]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d ocentd\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d ocentd\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\d ocentd\Enum]
"0"="Root\\LEGACY_DOCENTD\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_DOCENTD]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_DOCENTD\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_DOCENTD\0000]
"Service"="docentd"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\d ocentd]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\d ocentd\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_DOCENTD]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_DOCENTD\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_DOCENTD\0000]
"Service"="docentd"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_DOCENTD\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_DOCENTD\0000\Control]
"ActiveService"="docentd"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\docentd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\docentd\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\docentd\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\docentd\Enum]
"0"="Root\\LEGACY_DOCENTD\\0000"

Na zakonczenie z Uruchom –> "cmd"
, a pozniej "sc delete docentd".

EL NINO

Dodano: 14.01.2006 23:39:17

No nie widać nic innego jak to

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! docent0\DLLName = "docent0.dll" [file not found]

Zastosuj się raczej do instrukcji usuwania VX2

Wiewia

Dodano: 14.01.2006 21:15:34

W logu z Silenta czysto – no, mogę się jedynie przyczepić do tego docent0.dll

Peter_l

Dodano: 14.01.2006 21:04:10

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non–default values, except where indicated by "{++}"

Startup items buried in registry:
–––––––––––––––––––––––––––––––––

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"Gadu–Gadu" = ""C:\Program Files\Gadu–Gadu\gg.exe" /tray" ["Gadu–Gadu Sp. z oo"]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Skype" = ""C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Anti Trojan Elite" = "C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO" [file not found]
"APVXDWIN" = ""C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE" /s" ["Panda Software International"]
"SCANINICIO" = ""C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\Inicio.exe"" ["Panda Software International"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{A5366673–E8CA–11D3–9CD9–0090271D075B}\(Default) = "IeCatch2 Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\FlashGet\jccatch.dll" ["Amaze Soft"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045–0000–0000–C000–000000000046}" = "Microsoft Outlook Custom Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206–2D85–11D3–8CFF–005004838597}" = "Microsoft Office HTML Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\Office10\msohev.dll" [MS]
"{52B87208–9CCF–42C9–B88E–069281105805}" = "Trojan Remover Shell Extension"
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]
"{21569614–B795–46b1–85F4–E737A8DC09AD}" = "Shell Search Band"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{8e9d6600–f84a–11ce–8daa–00aa004a5691}" = "Shell extensions for NetWare"
–> {CLSID}\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{e3f2bac0–099f–11cf–8daa–00aa004a5691}" = "Shell extensions for NetWare"
–> {CLSID}\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{52c68510–09a0–11cf–8daa–00aa004a5691}" = "Shell extensions for NetWare"
–> {CLSID}\InProcServer32\(Default) = "nwprovau.dll" [MS]
"{B41DB860–8EE4–11D2–9906–E49FADC173CA}" = "WinRAR shell extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{640167b4–59b0–47a6–b335–a6b3c0695aea}" = "Portable Media Devices"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a–b60a–48e6–996b–41d25ed39a1e}" = "Portable Media Devices Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{65756541–C65C–11CD–0000–4B656E696100}" = "Panda Antivirus"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PAVOLE.DLL" ["Panda Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{9EF34FF2–3396–4527–9D27–04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Microsoft AntiSpyware\shellextension.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! docent0\DLLName = "docent0.dll" [file not found]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Panda Antivirus\(Default) = "{65756541–C65C–11CD–0000–4B656E696100}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PAVOLE.DLL" ["Panda Software"]
Trojan Remover\(Default) = "{52B87208–9CCF–42C9–B88E–069281105805}"
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
NetWareUNCMenu\(Default) = "{e3f2bac0–099f–11cf–8daa–00aa004a5691}"
–> {CLSID}\InProcServer32\(Default) = "nwprovau.dll" [MS]
Panda Antivirus\(Default) = "{65756541–C65C–11CD–0000–4B656E696100}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PAVOLE.DLL" ["Panda Software"]
Trojan Remover\(Default) = "{52B87208–9CCF–42C9–B88E–069281105805}"
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\TROJAN~1\Trshlex.dll" [file not found]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

Active Desktop and Wallpaper:
–––––––––––––––––––––––––––––

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Andrzej.LENCEWICZ\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"

Startup items in "Andrzej" & "All Users" startup folders:
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"Microsoft Office" –> shortcut to: "C:\Program Files\Microsoft Office\Office10\OSA.EXE –b –l" [MS]

Enabled Scheduled Tasks:
––––––––––––––––––––––––

"Symantec NetDetect" –> launches: "C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE" ["Symantec Corporation"]

Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\pavlsp.dll ["Panda Software "], 01 – 03, 22
%SystemRoot%\system32\mswsock.dll [MS], 04 – 06, 09 – 21
%SystemRoot%\system32\rsvpsp.dll [MS], 07 – 08

Toolbars, Explorer Bars, Extensions:
––––––––––––––––––––––––––––––––––––

Toolbars

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{E0E899AB–F487–11D5–8D29–0050BA6940E3}" = "FlashGet Bar"
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\FlashGet\fgiebar.dll" ["Amaze Soft"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0–4FCB–11CF–AAA5–00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{CAFEEFAC–0015–0000–0005–ABCDEFFEDCBC}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."]

{D6E814A0–E0C5–11D4–8D29–0050BA6940E3}\
"ButtonText" = "FlashGet"
"MenuText" = "&FlashGet"
"Exec" = "C:\PROGRA~1\FlashGet\flashget.exe" ["Amaze Soft"]

{FB5F1910–F110–11D2–BB9E–00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

Machine Debug Manager, MDM, ""C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
Panda anti–virus service, PAVSRV, ""C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe"" ["Panda Software"]
Panda Antispam Engine, pmshellsrv, "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe" ["PANDA SOFTWARE"]
Panda Function Service, PAVFNSVR, ""C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe"" ["Panda Software"]
Panda IManager Service, PSIMSVC, ""C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe"" ["Panda Software Internacional"]
Panda Network Manager, PNMSRV, "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\FIREWALL\PNMSRV.EXE" ["Panda Software"]
Panda Process Protection Service, PavPrSrv, ""C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe"" ["Panda Software"]
Panda TPSrv, TPSrv, ""C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe"" ["Panda Software"]
Usługa klienta dla systemu NetWare, NWCWorkstation, "C:\WINDOWS\system32\svchost.exe –k netsvcs" {"C:\WINDOWS\System32\nwwks.dll" [MS]}
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

––––––––––
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the –supp parameter or answer "No" at the first message box.
–––––––––– (total run time: 76 seconds, including 18 seconds for message boxes)

Lencew

Dodano: 14.01.2006 19:47:30

Jeszcze miał być log z silenta.

Więc dalej podtrzymuje naszą teorię proces svchost.exe jest prawidłowy i zostaw go w spokoju.

Natomiast masz prawdopodobnie VX2 dałem ci tam informacje co masz z tym zrobić.

O4 – HKCU\..\Run: [Rotkurtsed] C:\WINDOWS\rotkurtsed.exe

Pozostaje jeszcze to ja uwaźam źe to jest trojan moźe któtyś z userów zna ten wpis to ci odpowie.

R3 – URLSearchHook: (no name) – – (no file)
O8 – Extra context menu item: Web Rebates. – file://C:\Program Files\WebRebates4\websrebates\webtrebates\toprC0.htm

To zaś usuń w trybie awaryjnym z wyłączonym przywracanie systemu. wpisy HJ a folder ręcznie z dysku

Wiewia

Dodano: 14.01.2006 18:59:48

Logfile of HijackThis v1.99.1
Scan saved at 14:12:03, on 2006–01–14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\FIREWALL\PNMSRV.EXE
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE
C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\WebProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Andrzej.LENCEWICZ\Pulpit\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – URLSearchHook: (no name) – – (no file)
O4 – HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 – HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE" /s
O4 – HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\Inicio.exe"
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 – HKCU\..\Run: [Rotkurtsed] C:\WINDOWS\rotkurtsed.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Web Rebates. – file://C:\Program Files\WebRebates4\websrebates\webtrebates\toprC0.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O12 – Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O16 – DPF: {17492023–C23A–453E–A040–C7C580BBF700} (Windows Genuine Advantage Validation Tool) – http://go.microsoft.com/fwlink/?linkid=39204
O16 – DPF: {C4925E65–7A1E–11D2–8BB4–00A0C9CC72C3} (Virtools WebPlayer Class) – http://player.virtools.com/downloads/player/Install3.0/Installer.exe
O17 – HKLM\System\CCS\Services\Tcpip\..\{4E998AF8–6AA5–4EDA–959F–2E8FC990C608}: NameServer = 62.233.128.17,194.63.133.4
O20 – Winlogon Notify: docent0 – docent0.dll (file missing)
O23 – Service: Zarządzanie aplikacjami (AppMgmt) – Unknown owner – (no file)
O23 – Service: Usługa inteligentnego transferu w tle (BITS) – Unknown owner – (no file)
O23 – Service: Przeglądarka komputera (Browser) – Unknown owner – (no file)
O23 – Service: Usługi kryptograficzne (CryptSvc) – Panda Software – (no file)
O23 – Service: Panda Function Service (PAVFNSVR) – Panda Software – C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe
O23 – Service: Panda Process Protection Service (PavPrSrv) – Panda Software – C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 – Service: Panda anti–virus service (PAVSRV) – Panda Software – C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe
O23 – Service: Panda Antispam Engine (pmshellsrv) – PANDA SOFTWARE – C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe
O23 – Service: Panda Network Manager (PNMSRV) – Panda Software – C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\FIREWALL\PNMSRV.EXE
O23 – Service: Panda IManager Service (PSIMSVC) – Panda Software Internacional – C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe
O23 – Service: Symantec Network Drivers Service (SNDSrvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 – Service: SymWMI Service (SymWSC) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 – Service: Panda TPSrv (TPSrv) – Panda Software – C:\Program Files\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe

Lencew

Dodano: 14.01.2006 18:49:32

Lencew:

Chodzi o główny katalog windows a nie z rozpatrzeniem o dokładne foldery

Właśnie o dokładne foldery się rozchodzi – bo Windows\svchost.exe jest syfem a Windows\System32\svchost.exe nie jest nim – to jest plik systemowy i nie jest śmieciem.

Żółty

Dodano: 14.01.2006 18:13:54

Dobra ok. Zrobimy tak. Pójdziemy na kompromis. Wcelu potwierdzenia naszych albo twoich teorii wklej jeszcze raz loga z programu HijackThis i dodatkowo z Silent Runners tu masz info http://forum.centrumxp.pl/viewtopic.php?t=35349.

Skoro mówisz ze norton ci go wykrywa to musi on gdzieś być. Któryś z logów nam to pokaźe

Tylko nic nie dopisuj w tych logach źadnych swoich uwag daj to w takiej postaci jak się wygenerują

Wiewia

Dodano: 14.01.2006 18:03:14

Żółty:
Lencew:

Prosze zauwaźyć iź na stronie zamieszona jest teź taka komplikacja ––> 1. Kopiuje się do katalogu [Windows] jako svchost.exe

A to nie ma róźnicy pomiędzy windows\svchost.exe a windows\system32\svchost.exe ??

Chodzi o główny katalog windows a nie z rozpatrzeniem o dokładne foldery

Lencew

Dodano: 14.01.2006 17:39:18

Lencew:

Prosze zauwaźyć iź na stronie zamieszona jest teź taka komplikacja ––> 1. Kopiuje się do katalogu [Windows] jako svchost.exe

A to nie ma róźnicy pomiędzy windows\svchost.exe a windows\system32\svchost.exe ??

Żółty

Dodano: 14.01.2006 16:53:03

Wiewia:
słuchaj zauwaź jakie wpisy ma ten wirus do którego podałeś link

Są takie

[Windows]\ie–hook.dll
[Windows\System32]\syswrk.dll
System = [Windows]\svchost.exe

I takie wpisy powinny się pojawić w HJ. A tamto jest to normalny proces systemowy

Prosze zauwaźyć iź na stronie zamieszona jest teź taka komplikacja ––> 1. Kopiuje się do katalogu [Windows] jako svchost.exe

Lencew

Dodano: 14.01.2006 16:44:43

Pom&#243;źcie – Trojan.Goldun

Odpowiedzi: 20

Pomóźcie – Trojan.Goldun