proszę o wskazowki do walki z trojanem

[kaniakoc]

nod32 wykrył u mnie wirusa trojanWin32/trojanDownloader.Small.ZL
niejak nie wiem jak sie go pozbyc. prosze o pomoc w formie jak najbardziej łopatologicznej, bo niestety nie jestem specem od komputerów. z gory dziekuje.

[Magik]

Witam

Uruchamiasz reejstr. Wchodzisz do tego klucza:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

Nastepnie usuwasz wpis " winshost.exe"

Trojan ten tworzy takie procesy:

Kod: Zaznacz wszystko

atupdater.exe
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avpupd.exe
avwupd32.exe
avxquar.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
nupgrade.exe
outpost.exe
update.exe
upgrader.exe

jesli taki w task'u(menadzer zadan) wypatrzysz to takze je ubil poprzez msconfig. Przeskanuh system jakims AntiTrojankiem

[kaniakoc]

dziekuje za informacje, ale niestety komputerowcy mysla ze jest to juz dosyc łopatologiczne...
ja jednak nadal nie wiem gdzie mam wejsc. o ile to mozliwe prosze jeszcze bardziej szczegolowo, glownie poczatek... sorki za takie problemy ale ja naprawde z komputerami jestem na bakier. jezeli sie nie da poszukam pomocy gdzies indziej....
dzieki

[Magik]

o ile to mozliwe prosze jeszcze bardziej szczegolowo, glownie poczatek

Dajesz na start uruchom wpisujesz "regedit"
Uruchomi sie edytor rejestru. Nastepnie poruszasz sie wg. tego schematu

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

krok po kroczku,,,,,,,,,,,,

jesli taki w task'u(menadzer zadan)

zeby go uruchomic wciskasz ctrl+alt+delete i patrzysz na procesy

msconfig

start uruchom wpisujesz "msconfig".......nastepnie zakladka uruchamianie i odhaczasz podejrzane procesy

Przeskanuh system jakims AntiTrojankiem

np. Trojan remover etc......Linki masz w tematach przyklejonych

[kaniakoc]

dzieki tlumaczenie bylo wstarczajaco łopatplogiczne. niestety nic nie dalo...

po pierwsze: po wykonaniu instrukcji w edytorze rejestru nie znalazlam wpisu 'winshost.exe'. nijak go tam nie ma...

po drugie: w task'u nie ma zadnych z wypisanych procesow, a moja wiedza jest zbyt mala zeby z tych ktore sa wyodrebnic jakies zagrozenia...

moze istnieje jakis inny sposob, albo w tym trzeba bardziej pogrzebac...

[Magik]

dzieki tlumaczenie bylo wstarczajaco łopatplogiczne. niestety nic nie dalo...

po pierwsze: po wykonaniu instrukcji w edytorze rejestru nie znalazlam wpisu 'winshost.exe'. nijak go tam nie ma...

po drugie: w task'u nie ma zadnych z wypisanych procesow, a moja wiedza jest zbyt mala zeby z tych ktore sa wyodrebnic jakies zagrozenia...

moze istnieje jakis inny sposob, albo w tym trzeba bardziej pogrzebac...

hmm.........to po prostu wklej log i bedziemy dzialac.......w sumie to moglismy od tego zaczac..heh

jak to zrobic masz opisane tu:
http://forum.programosy.pl/hijackthis-gtobsuga-i-umieszczanie-loga-vt9452.html

Pozdrawiam

[kaniakoc]

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 16:07:17, on 2005-09-29
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\qttask.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\PROGRA~1\KEMailKb\KEMailKb.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\user\USTAWI~1\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [KEMailKb] C:\PROGRA~1\KEMailKb\KEMailKb.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117901137578
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe


prosze o pomoc bo trace juz nadzieje...

[jeff]

F2 - REG:system.ini: Shell=explorer.exe

fix

[Magik]

prosze o pomoc bo trace juz nadzieje...

nie martw sie. Ja wogole bez niej zyje..............

Cytat:
F2 - REG:system.ini: Shell=explorer.exe


fix Cool

Log jest czysty. Jesli Trojan remover i wskazowki rady nie daja to pozostaje jeszcze skan systemu pod Nodem32......On go posiada w bazie wirusow i skutecznie usuwa

[Red]

poczestuj koniecznie nas logiem :
http://www.silentrunners.org/

p.s.
D! czy my nie mowimy o tym samym ,tylko ze symantec ma na to fixa
tooso

[kaniakoc]

wybaczcie, ale nie do konca wiem o co wam chodzi...

rozumiem ze nie ma nic do zmiany po analizie loga...

a system saknowalam nodem32 i on twierdzi ze nie moze nic zrobic z tymi wirusami... a jezeli nod mi sie regularnie aktualizuje to powinien miec te wirusy w bazie i je ususwac... o ile dobrze rozumuję? zawsze mogę się mylic

[Red]

a system saknowalam nodem32 i on twierdzi ze nie moze nic zrobic z tymi wirusami... a jezeli nod mi sie regularnie aktualizuje to powinien miec te wirusy w bazie i je ususwac... o ile dobrze rozumuję? zawsze mogę się mylic

z tego co widze to twoj nod juz dawno jest zaatakowane przez wirusa i nic mu nie moze zrobic ,zrob to co napisalem powyzej

[Magik]

z tego co widze to twoj nod juz dawno jest zaatakowane przez wirusa i nic mu nie moze zrobic ,zrob to co napisalem powyzej

Wyczytalem troche o tym, tylko kurcze po hiszpansku to bylo a ten jezyk u mnie kuleje ze ten trojanek Windows Firewall'a atakuje.......Zawsze pozostaje skaner on-line(linki w tematach przyklejonych)

D! czy my nie mowimy o tym samym ,tylko ze symantec ma na to fixa

Bardzo prawdopodobne, tylko ze ja na Symantec jestem obrazony za to co zrobili z NAV'em 2006.........Jesli tak samo z NIS'em pojada podaje sie do dymisji

[kaniakoc]

w nod32 pojaiwają mi się przy probach leczenia komunikaty:


(Zbiór C:\Documents and Settings\user\Ustawienia lokalne\Temp\~10.exe jest zainfekowany - trojan Win32/TrojanDownloader.Small.ZL. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\Documents and Settings\user\Ustawienia lokalne\Temp\~13E.exe jest zainfekowany - trojan Win32/TrojanDownloader.Small.ZL. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\Documents and Settings\user\Ustawienia lokalne\Temp\~37.exe jest zainfekowany - trojan Win32/TrojanDownloader.Small.ZL. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\Documents and Settings\user\Ustawienia lokalne\Temp\~3D.exe jest zainfekowany - trojan Win32/TrojanDownloader.Small.ZL. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\Documents and Settings\user\Ustawienia lokalne\Temp\~43.exe jest zainfekowany - trojan Win32/TrojanDownloader.Small.ZL. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\Documents and Settings\user\Ustawienia lokalne\Temp\~4C.exe jest zainfekowany - trojan Win32/TrojanDownloader.Small.ZL. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\Documents and Settings\user\Ustawienia lokalne\Temp\~55.exe jest zainfekowany - trojan Win32/TrojanDownloader.Small.ZL. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\Documents and Settings\user\Ustawienia lokalne\Temp\~C4.exe jest zainfekowany - trojan Win32/TrojanDownloader.Small.ZL. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\WINDOWS\610828.exe jest zainfekowany - robak Win32/Bagle.CZ. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\WINDOWS\firewall_anti.exe jest zainfekowany - robak Win32/Bagle.BH. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\WINDOWS\firewall_anti.exe.dll jest zainfekowany - robak Win32/Bagle.CI. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\WINDOWS\system32\windll2.exe jest zainfekowany - robak Win32/Bagle.CZ. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\WINDOWS\system32\winshost.exe jest zainfekowany - robak Win32/Bagle.CU. NOD32 Skaner nie może wyleczyć infekcji.

Zbiór C:\WINDOWS\system32\wiwshost.exe jest zainfekowany - trojan Win32/TrojanDownloader.Small.ZL. NOD32 Skaner nie może wyleczyć infekcji.)


moze to cos podpowie co z tym mozna innego zrobic...

[Red]

co z tym mozna innego zrobic...

napisalem ci powyzej ,ze nalezy uzyc tego usuwacza alias fixa:
FIX

sciagnij go i zapusc (włacz)
dodatkowo bedziesz pozniej musiał przeinstalowac nod-ka
jesli problem nie zniknie ( a powinien) to poprosze o log z programu:
http://www.silentrunners.org/

ps

C:\WINDOWS\system32\wiwshost.exe

<<<to jest własnie to
sciagnij program killbox:
http://www.bleepingcomputer.com/files/killbox.php
zaznacz w nim opcje>> Standard File kill + End explorer shell >>> wklep w pustym polu dwa pliki:
C:\WINDOWS\system32\winshost.exe
C:\WINDOWS\system32\wiwshost.exe
zatwierdz i bedzie restart
jednak nod i tak juz jest do przeinstalowania,bedzie ok

[MUTOPOMPKA]

1. Odpalić kompa w trybie awaryjnym z obsługą sieci
2. Odpalić jakiś skaner online antywirusowy
3. Wyczyścić całą zawartość OFFLINE (katalogi temp oraz temporary internet files) oczywiście kasowac w awaryjnym.

[kaniakoc]

wydaje mi sie ze znalazlam prostszy sposob... przeinstalowalam NODa, zeskanowalam dyski i wylaczylam wirusy, jezeli ich nie wykrywa przy ponownym skanowaniu to chyba jest juz po wszystkim...

sprawdzilam tez narzedzia ktore mi podaliscie (FxBeagle - nie wykryl nic, KillBox nie znalazl tych plikow). to chyba ok?

macie do czynienia z prawdziwym laikiem wiec sie nie dziwcie ze sie tak dopytuje...

[ Dodano: Dzisiaj o 18:23 ]
dziekuje za pomoc. a jednak prosty sposob okazal sie najskuteczniejszy.

dziekuje. juz dawno sie tyle nie nauczyclam o komputerach...