Pozostałość po koniach trojańskich.
Witam.
Mam problem miałem na kompie a AVAST nie wykrył nic momo gruntownego skanu z archiwami, konie trojańskie:
Trojan.Spy.Small.Dg jakieś 12 wpisów w róźnych miejsach i Trojan.Startpage.Ahf jakieś 6 w róznych miejscach na kompie – wszystko na dysku c:
Ale przeskanowałem się on line ArcaVirem i wszystko usunoł no właśnie prawie wszystko:
pliki usunięte ale po stracie systemu wyswietla mi się taki komunikat jak tu: http://www.pharaoh.republika.pl/zwirusa.JPG sprawdzałem autostart nie ma tam nic w uruchamianych procesach teź nie ma i nie wiem jak to usunąć. Przecieź fizycznie tego nie ma.
Drugie pytanie inny od avasta (bo nie wykrył mi ich) dobry skuteczny darmowy antywir zna ktoś poleca? Tylko naprawde dobry.
Znalazlem na stronie coś o logach ale nic mi nie mowi to co mam czy wszystko jest w poźądku? Jestem z legów zielony i nie wiem co robić.
Logfile of HijackThis v1.99.1
Scan saved at 22:48:26, on 2006–01–24
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Kuba\Pulpit\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – (no file)
F2 – REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – D:\Programy\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – D:\Programy\SPYBOT~1\SDHelper.dll
O4 – HKLM\..\Run: [VTPreset] VTPreset.exe
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://D:\Programy\MICROS~1\Office10\EXCEL.EXE/3000
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O15 – Trusted Zone: http://arcaonline.arcabit.com
O16 – DPF: ING Bank Online – https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab
O16 – DPF: {17492023–C23A–453E–A040–C7C580BBF700} (Windows Genuine Advantage Validation Tool) – http://go.microsoft.com/fwlink/?linkid=39204
O16 – DPF: {2DF91772–19DC–47AE–B52F–B8E2FE545625} (Spd2 Class) – http://www.lemontv.pl/lmctrls.cab
O16 – DPF: {3D8700FB–86A4–4CB4–B738–6F0FC016AC7D} (MainControl Class) – http://arcaonline.arcabit.com/ArcaOnline.cab
O16 – DPF: {6E32070A–766D–4EE6–879C–DC1FA91D2FC3} (MUWebControl Class) – http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136542014694
O17 – HKLM\System\CCS\Services\Tcpip\..\{2B7F9A40–C8DF–4839–BBF3–9251FDC9FECA}: NameServer = 194.204.152.34 217.98.63.164
O17 – HKLM\System\CS1\Services\Tcpip\..\{2B7F9A40–C8DF–4839–BBF3–9251FDC9FECA}: NameServer = 194.204.152.34 217.98.63.164
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
Mam problem miałem na kompie a AVAST nie wykrył nic momo gruntownego skanu z archiwami, konie trojańskie:
Trojan.Spy.Small.Dg jakieś 12 wpisów w róźnych miejsach i Trojan.Startpage.Ahf jakieś 6 w róznych miejscach na kompie – wszystko na dysku c:
Ale przeskanowałem się on line ArcaVirem i wszystko usunoł no właśnie prawie wszystko:
pliki usunięte ale po stracie systemu wyswietla mi się taki komunikat jak tu: http://www.pharaoh.republika.pl/zwirusa.JPG sprawdzałem autostart nie ma tam nic w uruchamianych procesach teź nie ma i nie wiem jak to usunąć. Przecieź fizycznie tego nie ma.
Drugie pytanie inny od avasta (bo nie wykrył mi ich) dobry skuteczny darmowy antywir zna ktoś poleca? Tylko naprawde dobry.
Znalazlem na stronie coś o logach ale nic mi nie mowi to co mam czy wszystko jest w poźądku? Jestem z legów zielony i nie wiem co robić.
Logfile of HijackThis v1.99.1
Scan saved at 22:48:26, on 2006–01–24
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Kuba\Pulpit\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – (no file)
F2 – REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – D:\Programy\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – D:\Programy\SPYBOT~1\SDHelper.dll
O4 – HKLM\..\Run: [VTPreset] VTPreset.exe
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://D:\Programy\MICROS~1\Office10\EXCEL.EXE/3000
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O15 – Trusted Zone: http://arcaonline.arcabit.com
O16 – DPF: ING Bank Online – https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab
O16 – DPF: {17492023–C23A–453E–A040–C7C580BBF700} (Windows Genuine Advantage Validation Tool) – http://go.microsoft.com/fwlink/?linkid=39204
O16 – DPF: {2DF91772–19DC–47AE–B52F–B8E2FE545625} (Spd2 Class) – http://www.lemontv.pl/lmctrls.cab
O16 – DPF: {3D8700FB–86A4–4CB4–B738–6F0FC016AC7D} (MainControl Class) – http://arcaonline.arcabit.com/ArcaOnline.cab
O16 – DPF: {6E32070A–766D–4EE6–879C–DC1FA91D2FC3} (MUWebControl Class) – http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136542014694
O17 – HKLM\System\CCS\Services\Tcpip\..\{2B7F9A40–C8DF–4839–BBF3–9251FDC9FECA}: NameServer = 194.204.152.34 217.98.63.164
O17 – HKLM\System\CS1\Services\Tcpip\..\{2B7F9A40–C8DF–4839–BBF3–9251FDC9FECA}: NameServer = 194.204.152.34 217.98.63.164
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
Odpowiedzi: 7
No i pomogło:) Hehehe Dziękuje bardzo za pomoc.
Co pomogło?
Skaner online ArvaVir pod aderesm: www.wirus.pl pomogło unięcie ręcznie plików, pomogło usunięcie wpisów z rejestru (start – uruchom – regedit – i wyszukaj z nazwą imb00001) pomoglo tez HJ usunięcie poleceniem Fix checked – wszystkie te kroki i komuter działa jak działał.
Jeszcze raz dziękuje.
Co pomogło?
Skaner online ArvaVir pod aderesm: www.wirus.pl pomogło unięcie ręcznie plików, pomogło usunięcie wpisów z rejestru (start – uruchom – regedit – i wyszukaj z nazwą imb00001) pomoglo tez HJ usunięcie poleceniem Fix checked – wszystkie te kroki i komuter działa jak działał.
Jeszcze raz dziękuje.
R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – (no file)
Usiń ten wpis w HijackThis poleceniem fix checked tu masz info jak to zrobić http://forum.centrumxp.pl/viewtopic.php?t=19974
pharaoh:
No właśnie nie ma juz źadnych z tą naqzwą w sobie.
Jak mówisz ze nie ma to wpis w HijackThis równieź usuń tym samym poleceniem
No właśnie nie ma juz źadnych z tą naqzwą w sobie.
Dobrze przywracanie systemu a jak w przywruceniu to usunąć: R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – (no file)
Bo rozumiem źe to mam usunąć jeszcze.
Dobrze przywracanie systemu a jak w przywruceniu to usunąć: R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – (no file)
Bo rozumiem źe to mam usunąć jeszcze.
W C:\Program Files\Common Files\Microsoft Shared\Web Folders powinno byc jeszcze kilka bibliotek o nazwach zaczynających sie od ibm*, je takźe usun.
Przywracanie systemu: http://forum.centrumxp.pl/viewtopic.php?t=33144
Przywracanie systemu: http://forum.centrumxp.pl/viewtopic.php?t=33144
Dziękuje za odpowiedź.
Ale pisałem przecieź źe fizycznie tego pliku juz nie ma w tej lokalizacji. Wiem bo go usunołem.
A z resztą to nie wiem co mam zrobić
Usun to z wyłaczonym przywracaniem systemu
Jak włancza sie przywracanie systemu i jak to usunąć bo nie wiem :(
Ale pisałem przecieź źe fizycznie tego pliku juz nie ma w tej lokalizacji. Wiem bo go usunołem.
A z resztą to nie wiem co mam zrobić
Usun to z wyłaczonym przywracaniem systemu
Jak włancza sie przywracanie systemu i jak to usunąć bo nie wiem :(
R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – (no file)
F2 – REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
Usun to z wyłaczonym przywracaniem systemu. Wpisy HJ a plik na czerwono recznie z dysku
Znalazlem na forum odpowiedz aby usunac z rejestru wpisy z tą nazwą i podobno to komuś pomogło usunołem zapisalem zmiany zresetowałem kompa i dalej mi to wyskakuje. I co robić dalej?
Strona 1 / 1