CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo wtlbass32.dll

wtlbass32.dll

Witam

mam problem z plikiem wtlbass32.dll (trojan?) nie moge wogule go usunac z kompa. wylaczylem przywracanie systemu uruchomilem kompa w trybie awaryjnym i wywalilem plik i za kazdym razem pojawia sie z powrotem. i wielka prosba jak to wywalic?? :)

logi z HijackThis:

C:WINDOWSSystem32smss.exe
C:WINDOWSSYSTEM32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:PROGRA~1NORTON~1 avapw32.exe
C:Program FilesWinampWinampa.exe
C:Program FilesWinampWinampa.exe
C:WINDOWSSystem32vytwzzb.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSSystem32CTFMONSS.EXE
C:WINDOWSSystem32CSRSSW.EXE
C:Program FilesNorton AntiVirus avapsvc.exe
C:WINDOWSSystem32 vsvc32.exe
C:Program FilesInternet Exploreriexplore.exe
D:ProgramyprogramyHijackThis.exe

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http:/82.179.166.192/search.php?v=6&aff=44401
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://default.home
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
O2 – BHO: ZServObj Class – {00000000–C1EC–0345–6EC2–4D0300000000} – C:WINDOWSServ.dll
O2 – BHO: VDOMP Class – {A0ED918D–B8E6–4c3d–BD15–1DB1AE9A5DD3} – C:WINDOWSwtlbass32.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [NAV Agent] C:PROGRA~1NORTON~1 avapw32.exe
O4 – HKLM..Run: [Symantec NetDriver Monitor] C:PROGRA~1SYMNET~1SNDMon.exe
O4 – HKLM..Run: [SSC_UserPrompt] C:Program FilesCommon FilesSymantec SharedSecurity CenterUsrPrmpt.exe
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [WinampAgent] "C:Program FilesWinampWinampa.exe"
O4 – HKLM..Run: [lmjdkmxkek] C:WINDOWSSystem32vytwzzb.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [CTFMONSS] C:WINDOWSSystem32CTFMONSS.EXE
O4 – HKCU..Run: [CSRSSW] C:WINDOWSSystem32CSRSSW.EXE
O8 – Extra context menu item: &Download with &DAP – C:PROGRA~1DAPdapextie.htm
O8 – Extra context menu item: Download &all with DAP – C:PROGRA~1DAPdapextie2.htm
O9 – Extra button: Run DAP – {669695BC–A811–4A9D–8CDF–BA8C795F261C} – C:PROGRA~1DAPDAP.EXE
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098990735920
O16 – DPF: {83AFB5CA–ED35–11D4–A452–0080C8D85045} (GameDesire Poker Games) – http://67.15.101.3/g_bin/pl/poker_2_0_0_34.cab
O16 – DPF: {A6212120–01D4–11D5–9A39–0080C8D85044} (GameDesire Slots 70th) – http://67.15.101.3/g_bin/pl/slots70_2_0_0_20.cab
O16 – DPF: {FDDBE2B8–6602–4AD8–946D–94C5A32FA6C5} (GameDesire Snooker) – http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab
O17 – HKLMSystemCCSServicesTcpip..{DA38F294–56ED–4084–9B86–1CEF61E842CD}: NameServer = 62.233.190.14,194.204.159.1
O23 – Service: Norton AntiVirus Auto Protect Service – Symantec Corporation – C:Program FilesNorton AntiVirus avapsvc.exe
O23 – Service: NVIDIA Driver Helper Service – NVIDIA Corporation – C:WINDOWSSystem32 vsvc32.exe
O23 – Service: ScriptBlocking Service – Symantec Corporation – C:PROGRA~1COMMON~1SYMANT~1SCRIPT~1SBServ.exe
O23 – Service: Symantec Network Drivers Service – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedSNDSrvc.exe
O23 – Service: SymWMI Service – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedSecurity CenterSymWSC.exe


z gory dziekuje za pomoc :)

Odpowiedzi: 7

EL NINO:
primax:
cos mi nie pasowalo z plikiem "ctfmon" wiec go nie ruszalem jedynie go FIXowalem
Jesli go fixowales, to teraz wejdz w Backup w programie HiJack i przywroc ten wpis.


ok zrobione

bez Waszej pomocy to bym napewno sobie nie poradzil :)

jeszcze raz dziekuje za pomoc:!:
primax
Dodano
02.02.2005 16:46:10
primax:
cos mi nie pasowalo z plikiem "ctfmon" wiec go nie ruszalem jedynie go FIXowalem
Jesli go fixowales, to teraz wejdz w Backup w programie HiJack i przywroc ten wpis.
EL NINO
Dodano
02.02.2005 13:30:47
Prosze Cie bardzo :lol:

PS: Trzeba miec za przeproszeniem "oczy w doopie" bo te wredne bestie coraz bardziej perfidne nazwy przyjmuja

Wkoncu dojda do takiego poziomu ze zaczna pisać wirusy o takiej lokalizacji
C:WINDOWSSystem33ctfmon.exe :P
Bobi
Dodano
02.02.2005 00:46:59
odrazu przeczytalem post MarcinX i wzialem sie do roboty. wlanczam kompa i juz po problemie wchodze na forum podziekowac patrze i czytam twoj post Bobi_robert i wlasnie cos mi nie pasowalo z plikiem "ctfmon" wiec go nie ruszalem jedynie go FIXowalem :lol: ale wszystko dziala juz elegancko :D

dziekuje Wam slicznie za szybka pomoc

pozdrawiam.
primax
Dodano
02.02.2005 00:30:01
Ops sorki z ctfmon.exe,coś przewidziało mi się z CTFMONSS.EXE
MarcinX
Dodano
02.02.2005 00:11:22
Nie, nie, nie...
ctfmon
Usługi tekstowe
Mozna odptaszkować uruchamianie po starcie ale nie usuwać

wtlbass32.dll jest bezposrednio spokrewniony z: CTFMONSS.EXE, CSRSSW.EXE
Cała rodzinka to fałszywki odpowiednio: ctfmon i csrss

Wylaczasz przywracanie systemu

Uruchamiasz w awaryjnym

Usuwasz z HDD:
CTFMONSS.EXE
CSRSSW.EXE
wtlbass32.dll
vytwzzb.exe

Wyrejestrowujesz te biblioteke

FIXujesz wpisy ale bez tego co napisalem
Bobi
Dodano
02.02.2005 00:07:10

C:WINDOWSSystem32vytwzzb.exe
C:WINDOWSSystem32ctfmon.exe
C:WINDOWSSystem32CTFMONSS.EXE
C:WINDOWSSystem32CSRSSW.EXE
1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http:/82.179.166.192/search.php?v=6&aff=44401
O2 – BHO: ZServObj Class – {00000000–C1EC–0345–6EC2–4D0300000000} – C:WINDOWSServ.dll
O2 – BHO: VDOMP Class – {A0ED918D–B8E6–4c3d–BD15–1DB1AE9A5DD3} – C:WINDOWSwtlbass32.dll
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [CTFMONSS] C:WINDOWSSystem32CTFMONSS.EXE
O4 – HKCU..Run: [CSRSSW] C:WINDOWSSystem32CSRSSW.EXE


Pozbądź się tego.
MarcinX
Dodano
01.02.2005 23:55:01
primax
Dodano:
01.02.2005 23:30:42
Komentarzy:
7
Strona 1 / 1