heh.pl
Kanał informacyjny Heh.pl


Środa 24 kwietnia 2024 r.

artykuły | abc komputera (archiwum) | forum dyskusyjne | redakcja


Temat

Jak Wywalić Trojana Wieszajacego Kompa?


83.23.156.* napisał:
Witam mam problem , otoz komputer zawiesza sie po paru minutach pracy w sieci. Avast wykryl ze tego przyczyna jest Win32: Ircbot - ABC jednak nie jest w stanie z nim zrobic. Prosze o jak najszybsza pomoc,
pozdrawiam,
mortinus

83.14.8.* napisał:
odpal sobie takie narzedzie HijackThis masz tutaj linka:
http://www.merijn.org/files/hijackthis.zip

83.23.160.* napisał:
ok log z hijacka wyglada tak:
Logfile of HijackThis v1.99.1
Scan saved at 21:25:28, on 2006-08-14
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programy\Antywirus\Avast4\aswUpdSv.exe
C:\Programy\Antywirus\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Programy\ANTYWI~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM Fst 800-840\dslmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programy\Ochrona\AntiSPy\gcasDtServ.exe
C:\Programy\Antywirus\Avast4\ashWebSv.exe
C:\Programy\Antywirus\Avast4\ashMaiSv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Watch.exe
C:\Programy\Muzyka\Winamp\winamp.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\Programy\ANTYWI~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programy\Ochrona\AntiSPy\gcasServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM Fst 800-840\dslmon.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153130135125
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4BE8915-FD38-4509-8B33-4247AE5D1E03}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programy\Antywirus\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programy\Antywirus\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programy\Antywirus\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programy\Antywirus\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE



83.23.126.* napisał:
Jest to nowy log z hijack'a na SP2 , wszystko objawia sie tak, ze gdy komp podloczonay jest do internetu po kilku minutach avast wykrywa trojana i gdy che cos z nim zrobic (usun, kwarantanna, przenies) komputer sie zawiesza, muzyka leci dalej itp, ale pasek zadan calkowicie sie blokuje i niezbedny jest reset. Prosze o pomoc!!

Logfile of HijackThis v1.99.1
Scan saved at 13:16:29, on 2006-08-15
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programy\Antywirus\Avast4\aswUpdSv.exe
C:\Programy\Antywirus\Avast4\ashServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programy\Antywirus\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programy\Antywirus\Avast4\ashWebSv.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\Programy\ANTYWI~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM Fst 800-840\dslmon.exe
C:\Programy\Ochrona\AntiSPy\gcasDtServ.exe
C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Watch.exe
C:\WINDOWS\System32\msiexec.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [avast!] C:\Programy\ANTYWI~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programy\Ochrona\AntiSPy\gcasServ.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM Fst 800-840\dslmon.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1153130135125
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4BE8915-FD38-4509-8B33-4247AE5D1E03}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programy\Antywirus\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programy\Antywirus\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programy\Antywirus\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programy\Antywirus\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE



80.53.218.* napisał:
Usun te wpisy: (Fix) tzn. zaznaczasz ==> naciskasz "fix"
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4BE8915-FD38-4509-8B33-4247AE5D1E03}: NameServer = 194.204.152.34 217.98.63.164


Usun te pliki programem KillBox :

C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\PROGRA~1\WANADOO\EspaceWanadoo.exe
C:\PROGRA~1\WANADOO\ComComp.exe
C:\PROGRA~1\WANADOO\Watch.exe

instrukcja:
1. wlaczasz killbox'a
2. podajesz lokalizcje "syfu"
3. zaznaczasz opcje "delete on Reboot"
4. Naciskasz na "czerwony krzyzyk" (takie koleczko = = usuwasz)
5. Progs zapyta Cie czy teraz restartowac kompa ==> NIE ROB TEGO dopoki nie usuniesz wszystkich tzn. usuwasz plik nr 1, anulujesz restart kompa, usuwasz plik 2, znow anulujesz i tak do ostatniego pliku Dopiero przy ostatnim restartujesz icon_biggrin3.gif

Powinno pomoc icon_razz.gif Jesli problem bedzie sie powtarzal daj znowu log z Hijacka
Inna opcja usuniecia syfow jest przeskanowanie SpySweeperem lub Spyware Doctor Ten drugi jest lepszy z dwoch powodow a) czas skanu trwa 10-15min cool.gif znajduje wiecej syfu icon_biggrin3.gif Zazwyczaj skany programow antyspare
trwaja wiecznosc icon_razz.gif I jeszcze jedno mozesz sprobowac przeskanowac kompa jakims antywirusem Polecam Kasperskiego


83.21.249.* napisał:
bramkarz_MU - usunięcie "aplikacji dostepowej Neostrada TP" nic nie da, ale ogólnie to dobry pomysł icon_wink2.gif
Rozwiązanie jest tam:
http:///forum/index.php?showtopic=202320
wystarczy poczytać forum icon_razz.gif

83.23.130.* napisał:
Dzieki za odpowiedzi ale to nie do konca moj problem bo mam innego robaka Win32: Ircbot - ABC.
Teraz udalo mi sie zwalczyc zawiechy kompa , ale teraz internet chodzi ociazale i po prostu sie muli, dodatkowo wyskakuje co jakis czas : blad ieexplorer ktory powoduje zamkniecie okna iexplorera.

83.8.242.* napisał:
Ludzie, czy Wy wogóle instalujecie wszystkie krytyczne! uaktualnienia do Windowsa XP SP2? Ja nie używam firewall'a, ten Windowsowy wyłączony w rejestrze (ogólnie firewall'e strasznie spowalniają system); jedynie Anivirusa, ale on nic nie pomoże na tego typu robaki. Wystarczy update'ować system i wszystko działa jak należy.
Miałem problem z nieco innym robakiem W32.Wargbot - instalacja poprawki KB921883 rozwiązała sprawę. Poza tym zainstalowałem pozostałe sierpniowe aktualki i wszystko wróciło do porządku.

83.21.249.* napisał:
Avast błędnie identyfikuje "W32.Wargbot" jako "Win32: Ircbot - ABC". Po prostu zrób aktualizację (KB921883), jeśli nadal będą jakieś błędy to znaczy że wirus nie został usunięty przez Avasta i musisz użyć działającego programu antywirusowego.

83.8.243.* napisał:
Ewentualnie jeśli siedzi to jeszcze na kompie, ściągnij sobie Windows-KB890830-V1.19.exe (Removal Tool) i przeskanuj system. Może tym uda się wywalić, choć wątpię ponieważ ten robal wykorzystuje luki w protokołach i atakuje przez net. Powinno wystarczyć zainstalowanie łatek. Poza tym jeśli ktoś używa SP2 i ma odblokowane np. xp-AntiSPy ilość jednoczesnych połączeń na więcej niż 50 to niech się nie dziwi, że mu się robale "wgryzają" w system.

213.77.144.* napisał:
CYTAT
ale teraz internet chodzi ociazale i po prostu sie muli, dodatkowo wyskakuje co jakis czas : blad ieexplorer ktory powoduje zamkniecie okna iexplorera.


Pierwsza zasada używania pc, usuwasz Internet (s)explorer i instalujesz FireFox. W ten sposób przeglądarka nie wpuści już żadnego szpiega (nie wykryło mi ani jednego spywaru od kiedy mam FF, a to dłuuugo). Potem wywalasz firewall SP2. Odchudzasz Windows ze zbędnych usług (poszukaj w necie co i jak), dodatkowo odblokuj liczbe połączeń jednoczesnych programem Xp-AntiSpy.

80.53.218.* napisał:

bramkarz_MU - usunięcie "aplikacji dostepowej Neostrada TP" nic nie da, ale ogólnie to dobry pomysł icon_wink2.gif
Rozwiązanie jest tam:
http:///forum/index.php?showtopic=202320
wystarczy poczytać forum icon_razz.gif


Dzieki za wsparcie moich metod Widze w Tobie sojusznika icon_wink2.gif Nie jestem dosc doswiadczonym uztkownikiem Internetu (mam stalke dopiero od 3 miechow) ale mialem kilka problemow z ktrorym sobie poradzilem.

Mortinus ==> uzyj progsa Autoruns ==> sprawdza co uruchamia sie ze startem windy
CWShredder ==> wykrywa i usuwa rozne syfy (1-2MB zajmuje)
zrob loga Silent Runners ==> moze cos wykryje
Spy Search and Destroy ==> kiedys mi pomogl icon_wink2.gif
l2mfix ==> rowniez tworzy logi/automatycznie znajduje i usuwa syf
zrob ponownie log w Hijacku
Przeskanuj kompa roznymi antywirusami
spr co chce uzyskac z Toba polaczenie ==> Wejdz do linii komend i wpisz polecenie Netstat
do zablokowania polaczen sluzy taki pliczek ==> Host (znajdziesz go n na partycji C) Otwierasz go notatnikiem i wpisujesz adres stronki obok cyfr


Nie znam tego robaka wiec moge Ci tylko doradzic co ja bym najpierw zrobil na Twoim miejscu Jesli wiesz co za syf masz to wpisz go do google Na pewno znajdziesz najbardziej trafna odp. jak ten syf usunac Moze komus udalo sie go usunac icon_smile3.gif i podzielil sie go z szersza publicznoscia icon_wink2.gif

83.23.159.* napisał:
Dzieki za wszystkie odpowiedzi, poradzilem sobie z robakiem przez latke i wywalilem go spyware terminatorem.


213.77.144.* napisał:
IE nie usuniesz, ale jak do niego nie wchodzisz to wszystko jest wporządku, ja polecam SP2 + off firewall, a jak ktoś nie chce to priorytet SP1. On bardzo usprawnia prace xp'ka i nie ma już tylu błędów w nim. Widocznie było co poprawiać jak już SP1 i 2 są.

Podobne tematy


Działy









Copyright © 2002-2024 | Prywatność | Load: 1.46 | SQL: 1 | Uptime: 511 days, 14:29 h:m | Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl