moja kolezanka robila formata pelno nadal trojanow w katalogu system 32 lub wogole w katalogu c:\ obecnie zainstalowane ma tylko miktex i dodatki typu winedt, gs itp oraz avast i poz tym nic nie wstawialismy jeszcze service packa 2 bo swiezy system i po zainstalowaniu tych dwoch programow zaraz pojawila sie trojany ponadto system nie chce sie wyłączyć. czekam na odpowiedź pozdrawiam.
log hijack this
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:17:45, on 2009-01-05
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
w tym miejscu hubert2t w pliku lsass.exe wystepowal błąd jak próbowałem wejsc w moj komputer.
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\carpserv.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HPQ\One-Touch\OneTouch.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Documents and Settings\Natalia\Pulpit\HiJackThis.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
--
End of file - 3801 bytes
ComboFix 09-01-04.01 - Natalia 2009-01-05 15:25:10.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.1.1250.1.1045.18.191.73 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Natalia\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_MICROSOFT_WINDOWS_TCP_PROTOCOL
((((((((((((((((((((((((( Pliki utworzone od 2008-12-05 do 2009-01-05 )))))))))))))))))))))))))))))))
.
2009-01-05 15:15 . 2009-01-05 15:15 60,928 --ah----- c:\windows\system32\bbmidbs.exe
2009-01-05 14:43 . 2009-01-05 14:43 60,928 --ah----- c:\windows\system32\aeuu.exe
2009-01-05 14:43 . 2009-01-05 14:43 56,870 --ah----- c:\windows\system32\hsycq.exe
2009-01-05 14:38 . 2009-01-05 14:38 <DIR> d-------- c:\program files\WinEdt Team
2009-01-05 14:38 . 2009-01-05 14:39 <DIR> d-------- c:\documents and settings\Natalia\Dane aplikacji\WinEdt
2009-01-05 14:37 . 2009-01-05 14:37 <DIR> d-------- c:\program files\gs
2009-01-05 14:37 . 2009-01-05 14:37 <DIR> d-------- c:\program files\Ghostgum
2009-01-05 14:28 . 2009-01-05 14:28 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\MiKTeX
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-05 13:26 --------- d-----w c:\program files\MiKTeX 2.6
2009-01-05 12:10 --------- d-----w c:\program files\Alwil Software
2009-01-05 12:07 1,722 --sha-r c:\windows\system32\drivers\HP_HP nx9010 (DJ347A)_YN_U_QCNF411_E_4_I0850_SHP_VNS570 Version PQ1B60_BKF KH.F.20_T040212_WXH1_L415_M192_J80_7Intel_8Celeron_92,59_1104C8026_N100B0020_P12176972_Z10B95457_K_A10B95451_U11063038_G10024337.MRK
2009-01-05 12:05 --------- d-----w c:\program files\HPQ
2009-01-05 12:04 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-05 12:02 --------- d-----w c:\program files\ATI Technologies
2009-01-05 11:59 --------- d-----w c:\program files\Synaptics
2009-01-05 11:59 --------- d-----w c:\program files\NSC
2009-01-05 11:58 --------- d-----w c:\program files\Common Files\InstallShield
2009-01-05 11:57 --------- d-----w c:\program files\CONEXANT
2009-01-05 11:56 --------- d-----w c:\program files\Company
2009-01-05 11:53 --------- d-----w c:\program files\Java
2009-01-05 11:53 --------- d-----w c:\program files\Common Files\Java
2009-01-05 11:43 --------- d-----w c:\program files\microsoft frontpage
2009-01-05 11:41 --------- d-----w c:\program files\Usługi online
2003-04-16 19:00 156,691 --sha-r c:\windows\system32\quggjqde.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2003-04-16 13312]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2003-05-22 110592]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2003-05-22 610304]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2002-08-14 290816]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2003-10-05 196670]
"Display Settings"="c:\program files\HPQ\Notebook Utilities\hptasks.exe" [2002-08-15 45056]
"QT4HPOT"="c:\program files\HPQ\One-Touch\OneTouch.EXE" [2003-03-13 106496]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]
"CARPService"="carpserv.exe" [2003-04-15 c:\windows\system32\carpserv.exe]
"ATIModeChange"="Ati2mdxx.exe" [2002-08-16 c:\windows\system32\Ati2mdxx.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-04-16 13312]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-05 111184]
R3 ALiIRDA;ALi Infrared Device Driver;c:\windows\system32\drivers\aliirda.sys [2009-01-05 26112]
R3 CALIAUD;Conexant AMC 3D ENVIRONMENTAL AUDIO;c:\windows\system32\drivers\caliaud.sys [2009-01-05 291328]
R3 CALIHALA;CALIHALA;c:\windows\system32\drivers\calihal.sys [2009-01-05 244608]
R3 DP83815;National Semiconductor Corp. DP83815/816 NDIS 5.0 Miniport Driver;c:\windows\system32\drivers\DP83815.sys [2003-07-17 28280]
S4 hhbvtykf;Update Config;c:\windows\system32\svchost.exe -k netsvcs [2003-04-16 12800]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
hhbvtykf
*Newly Created Service* - ALG
*Newly Created Service* - HHBVTYKF
*Newly Created Service* - IPNAT
.
.
------- Skan uzupełniający -------
.
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-05 15:29:50
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????)?,w?????????? ???B???????????????B? ??????
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hhbvtykf]
"ServiceDll"="c:\windows\System32\quggjqde.dll"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(660)
c:\windows\System32\ODBC32.dll
- - - - - - - > 'lsass.exe'(720)
c:\windows\System32\dssenh.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\system32\HPConfig.exe
c:\program files\HPQ\Notebook Utilities\HPWirelessMgr.exe
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
.
**************************************************************************
.
Czas ukończenia: 2009-01-05 15:33:19 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-01-05 14:33:15
Przed: 22 990 659 584 bajtów wolnych
Po: 22,961,737,728 bajtów wolnych
114
pełno trojanów
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
2 posty(ów)
• Strona 1 z 1
pełno trojanów
przez Czarodziejczarek » 05 Sty 2009, 16:34
UA: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Znalazłem kiedyś fajną stronę:
www.google.pl
www.google.pl
-
Czarodziejczarek - Postujący
- Posty: 430
- Dołączenie: 20 Lut 2008, 23:57
- Miejscowość: Berlin - Słupsk
- Pochwały: 1
Re: pełno trojanów
przez AJAN » 05 Sty 2009, 23:44
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5
Pobierz ComboFix, ale nie uruchamiaj
Zaznacz, wklej do notatnika, i zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Na czas skanowania proszę wyłączyć wszelkie zapory i antyvirusy
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum
- jak na obrazku
Loga wklejasz na WKLEJ EU lub WKLEJ a w poście daj linka
Zaznacz, wklej do notatnika, i zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
- Kod: Zaznacz wszystko
File::
c:\windows\system32\bbmidbs.exe
c:\windows\system32\aeuu.exe
c:\windows\system32\hsycq.exe
Na czas skanowania proszę wyłączyć wszelkie zapory i antyvirusy
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum
- jak na obrazkuLoga wklejasz na WKLEJ EU lub WKLEJ a w poście daj linka
Desktop: AMD 1,8ghz, 1GB RAM, graf: Gforce2 FX5200
PG K8-755-A2/ESC WINDOWS XP Pro 5.1.2600 SP 3, 80GB, DVD SH-S182D
Laptop: Toshiba Portege M300
net: 3Mb/1,5Mb
KLIK Pomogłem? Daj +
PG K8-755-A2/ESC WINDOWS XP Pro 5.1.2600 SP 3, 80GB, DVD SH-S182D
Laptop: Toshiba Portege M300
net: 3Mb/1,5Mb
KLIK Pomogłem? Daj +
-
AJAN - Aktywny w piśmie
- Posty: 810
- Dołączenie: 07 Lis 2008, 00:10
- Miejscowość: 49°37'30.12"N, 20°41'44.13"E
- Pochwały: 62
2 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Brak zarejestrowanych użytkowników