Trojan

7 kwietnia 2007

:cry: Mój komputer zainfekowany jest przez wirusa Win32: Horst GZ. Avast jest bezsilny. Trojan ma następujące działanie uruchamia jakieś programy np. x43847.exe i jak uruchomi już kilka to uruchamia w tle Internet Explorer i rozsłyła spam. Wiem bo przez przypadek zmaksymalizował się. Strasznie spowalnia internet i przeciąża procesor. Nie wiem czy on jest tego przyczyną ale przy włączeniu bardziej wymagających gier (nie takich jak tetris lub pasjans wyłącza się). Błagam pomóżcie...

[ Dodano: 2007-04-07, 13:26 ]

Logfile of HijackThis v1.99.1

Scan saved at 13:24:01, on 2007-04-07

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32spoolsv.exe

C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

C:Program FilesAlwil SoftwareAvast4ashServ.exe

C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe

C:Program FilesCommon FilesEPSONEBAPISAgent2.exe

C:WINDOWSrunservice.exe

C:WINDOWSsystem32nvsvc32.exe

C:WINDOWSsystem32UAService7.exe

C:WINDOWSExplorer.EXE

C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe

C:Program FilesAlwil SoftwareAvast4ashWebSv.exe

C:Program FilesGrisoftAVG Anti-Spyware 7.5avgas.exe

C:PROGRA~1NEOSTR~1taskbaricon.exe

C:PROGRA~1NEOSTR~1CnxMon.exe

C:Program FilesCyberLinkPowerDVDPDVDServ.exe

C:WINDOWSsystem32RunDll32.exe

C:PROGRA~1ALWILS~1Avast4ashDisp.exe

C:WINDOWSsystem32svchost.exe

C:PROGRA~1NEOSTR~1NeostradaTP.exe

C:PROGRA~1NEOSTR~1ComComp.exe

C:PROGRA~1NEOSTR~1Watch.exe

C:Program FilesMozilla Firefoxfirefox.exe

C:DOCUME~1ZenonUSTAWI~1Temp34exinjs.a3.exe

C:WINDOWSsystem32svchost.exe

C:Program FilesMicrosoft OfficeOFFICE11WINWORD.EXE

C:DOCUME~1ZenonUSTAWI~1Temp66exgmail50rec.1.exe

C:DOCUME~1ZenonUSTAWI~1Temp60exgmi.7.exe

C:Program FilesOperaOpera.exe

C:WINDOWSsystem32taskmgr.exe

C:DOCUME~1ZenonUSTAWI~1Temp71exyp.3.exe

C:Program FilesInternet Exploreriexplore.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://google.bearshare.com/pl

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada TP

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:PROGRA~1NEOSTR~1SEARCH~1.DLL

O1 - Hosts: 217.96.35.130 auto.search.msn.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0 CEReaderActiveXAcroIEHelper.ocx

O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:PROGRA~1MORROW~1FlashGetjccatch.dll (file missing)

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:Program FilesMyGlobalSearchbar1.binMGSBAR.DLL

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:PROGRA~1MEGAUP~1MEGAUP~1.DLL

O2 - BHO: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:Documents and SettingsZenonMoje dokumentyGrzegorzExpressivo DemoIH_iexplore.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar2.dll

O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:PROGRA~1MORROW~1FlashGetgetflash.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar2.dll

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:Program FilesMyGlobalSearchbar1.binMGSBAR.DLL

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:PROGRA~1MORROW~1FlashGetfgiebar.dll (file missing)

O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:Documents and SettingsZenonMoje dokumentyGrzegorzExpressivo DemoIH_iexplore.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:PROGRA~1MEGAUP~1MEGAUP~1.DLL

O4 - HKLM..Run: [!AVG Anti-Spyware] "C:Program FilesGrisoftAVG Anti-Spyware 7.5avgas.exe" /minimized

O4 - HKLM..Run: [WOOWATCH] C:PROGRA~1NEOSTR~1Watch.exe

O4 - HKLM..Run: [WOOTASKBARICON] C:PROGRA~1NEOSTR~1taskbaricon.exe

O4 - HKLM..Run: [WooCnxMon] C:PROGRA~1NEOSTR~1CnxMon.exe

O4 - HKLM..Run: [skrót do strony właściwości High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"

O4 - HKLM..Run: [nwiz] nwiz.exe /install

O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe

O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe

O4 - HKLM..Run: [.nvsvc] C:WINDOWSsystemsmss.exe /w

O4 - HKLM..Run: [DAEMON Tools] "C:Program FilesDAEMON Toolsdaemon.exe" -lang 1033

O4 - HKCU..Run: [PayTime] C:WINDOWSsystem32paytime.exe

O4 - HKCU..Run: [NBJ] "C:Program FilesAheadNero BackItUpnbj.exe"

O4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadu76gg.exe" /tray

O4 - Startup: PowerReg Scheduler.exe

O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 800-840dslmon.exe

O8 - Extra context menu item: &Google Search - res://c:program filesgoogleGoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:program filesgoogleGoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:program filesgoogleGoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:program filesgoogleGoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Download All by FlashGet - C:PROGRA~1MORROW~1FlashGetjc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:PROGRA~1MORROW~1FlashGetjc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000

O8 - Extra context menu item: Read By Natural Voice Reader - C:Documents and SettingsZenonMoje dokumentyMarcinProgramyread.html

O8 - Extra context menu item: Similar Pages - res://c:program filesgoogleGoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:program filesgoogleGoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe

O9 - Extra button: Natural Reader - {0DF757C4-9999-463C-A4EB-B6BF1D8D8D3D} - C:Documents and SettingsZenonMoje dokumentyMarcinProgramyread.html

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:PROGRA~1MORROW~1FlashGetflashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:PROGRA~1MORROW~1FlashGetflashget.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%Network Diagnosticxpnetdiag.exe (file missing)

O15 - Trusted Zone: http://bezpieczenstwo.onet.pl

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/ArcaOnline.cab

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_cracks.cab

O16 - DPF: {65D72393-E210-4A2A-B8E0-10AC45986770} - http://megapanel.gem.pl/WebInstaller.dll

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab

O17 - HKLMSystemCCSServicesTcpip..{E54FA010-1435-4014-AA18-1051986A5CEE}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:PROGRA~1COMMON~1SkypeSKYPE4~1.DLL

O20 - Winlogon Notify: klogon - C:WINDOWSsystem32klogon.dll

O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:Program FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:Program FilesGrisoftAVG Anti-Spyware 7.5guard.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:Program FilesKaspersky LabKaspersky Anti-Virus 6.0avp.exe" -r (file missing)

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:Program FilesCommon FilesEPSONEBAPISAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:Program FilesiPodbiniPodService.exe

O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:WINDOWSrunservice.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%WinPcaprpcapd.exe" -d -f

Proszę o pomoc krok po kroku jak dla laika.

[ Dodano: 2007-04-07, 13:48 ]

Znalazłem coś na tej francuskiej/włoskiej stronie. Mam ten program (AVG Anti-Spywaree 7.5.0.50) o którym pisze w poście.Pisze w nim że trzeba włączyć jakąś dodatkową opcje, tylko nie wiem, nie rozumiem jaką? Aha patrze na logi tego gościa i mam to samo czyli coś w podobie 43857.exe

http://www.sur-la-toile.com/viewTopic_5130...-%5Btrj%5D.html

7 kwietnia 2007

Usuń wszystko z katalogu C:DOCUME~1ZenonUSTAWI~1Temp

blokujesz porty programem http://www.firewallleaktester.com/tools/wwdc.exe

i ustawiasz tak

netbios może zostać żółty i robisz restart

Używasz SmitFraudFix opishttp://forum.dobreprogramy.pl/viewtopic.php?p=539329#539329

z opcji 2 w trybie awaryjnym

O1 - Hosts: 217.96.35.130 auto.search.msn.com
O4 - HKLM..Run: [.nvsvc] C:WINDOWSsystemsmss.exe /w

usuń wpis a pogrubiony ręcznie z dysku TYLKO NIE POMYL LOKALIZACJI ! ! !

[ Dodano: 2007-04-07, 14:00 ]

W trybie awaryjnym to usuwasz

[ Dodano: 2007-04-07, 14:13 ]

Po zabiegach nowe logi

7 kwietnia 2007

Że wam się chce o_O

Mnie już dawno znudziły ciągłe utarczki z Windowsem...

Ja bym wolał jakieś wskazówki jak zapobiegać, a nie jak leczyć... Ale chyba tak się nie da (z Windowsem oczywiście)

Ale to tak OT :oops:

Pozdrawiam

dos

Zaloguj się

Trojan

Marcin89

skowrona

dos

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Strona główna

Powiadomienie o plikach cookie