POMOZTE TROJAN

petas.jir · Příspěvekod **petas.jir** » 11 bře 2008 18:05

TAK JSEM TO SKOPIROVAL JE TO DOUFÁM TODLE:
Files to delete:
C:\Documents and Settings\xxx\Local Settings\Application Data\cftmon.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\DOCUME~1\xxx\LOCALS~1\Temp\sv32_1.exe
C:\DOCUME~1\xxx\LOCALS~1\Temp\sv32_2.exe
c:\8.tmp
C:\WINDOWS\System32\CcEvtSvc.exe

Registry values to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | autoload
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | ntuser

A PIŠE MĚ TO

ERROR: INVALID SCRIPT. A VALID SCRIPT MUST BEGIN WITH A COMMAND DIRECTIVE.
ABORTING EXECUTION!

TAK NEVIM

Reklama

Příspěvekod **fredik** » 11 bře 2008 19:24

Je. Když zkopíruješ do Avengeru obsah skriptu, tak musíš smazat mezery za těmito příkazy, (za : už nesmí nic být):
Files to delete:
a
Registry values to delete:

Klidně ale použij již zmíněný SDFix.

petas.jir · Příspěvekod **petas.jir** » 11 bře 2008 20:19

TAK JSEM TO SKOUŠEL A ASI JSEM BLBEJ! :mad:

NECHCEŠ RADŠI PSAT PO MEJLU petas.jir@email.cz semnou to je asi nadlouho

Příspěvekod **fredik** » 11 bře 2008 22:23

Teď nevím co ti nejde, ale předpokládám že Avenger. Dal by se hodit skript na web, ale to teď momentálně není možné. Takže použij již zmíněný SDFix.

petas.jir · Příspěvekod **petas.jir** » 13 bře 2008 10:07

Pořád mě to píše tan error. Já tam vkladám todle snad to je dobře napsaný???
Files to delete:
C:\Documents and Settings\xxx\Local Settings\Application Data\cftmon.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\DOCUME~1\xxx\LOCALS~1\Temp\sv32_1.exe
C:\DOCUME~1\xxx\LOCALS~1\Temp\sv32_2.exe
C:\8.tmp
C:\WINDOWS\System32\CcEvtSvc.exe

Registry values to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | autoload
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | ntuser

Baron Prášil · Příspěvekod **Baron Prášil** » 13 bře 2008 10:20

takto má vypadat-s mezerou. a jinak jak píše fredik - SDFix

petas.jir · Příspěvekod **petas.jir** » 16 bře 2008 14:34

Tak ja nevim pořád mi to nejde přez Avenger a ani přez SDFix asi to budu muset někomu dát a zaplatit za to :huh:

Příspěvekod **fredik** » 16 bře 2008 14:37

Konkrétně co máš za problém s SDFIxem?

Stáhni si ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

petas.jir · Příspěvekod **petas.jir** » 16 bře 2008 22:00

S sdfixem jsen si ho uložil a pak jsem chtel dat pc do stavu nouze jak jsi to psal a to mi prave neslo.Tak jsem to skusil combofixem a snad jsem to udělal dobře objevil se mi nejakej seši a tohle tam bylo napsany:

ComboFix 08-03-14.4 - xxx 2008-03-16 21:39:21.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.719 [GMT 1:00]
Running from: C:\Documents and Settings\xxx\Plocha\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
The following files were disabled during the run:
C:\WINDOWS\system32\mp3res.dll

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\5.tmp
C:\8.tmp
C:\A.tmp
C:\B.tmp
C:\WINDOWS\system32\hrpdcf.bin

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\LEGACY_CCEVTSVC
-------\CcEvtSvc

((((((((((((((((((((((((( Files Created from 2008-02-16 to 2008-03-16 )))))))))))))))))))))))))))))))
.

2008-03-16 14:18 . 2008-03-16 14:18 91,648 --a------ C:\7.tmp
2008-03-16 14:18 . 2008-03-16 14:18 0 --a------ C:\C.tmp
2008-03-16 14:17 . 2008-03-16 14:17 3,584 --a------ C:\Documents and Settings\xxx\admin.exe
2008-03-16 00:31 . 2008-03-16 20:53 7 --a------ C:\WINDOWS\system32\ngxt.bin
2008-03-15 18:07 . 2008-03-16 21:42 7 --a------ C:\WINDOWS\system32\k86.bin
2008-03-15 17:23 . 2008-03-15 17:23 91,648 --a------ C:\3.tmp
2008-03-15 17:23 . 2008-03-15 17:23 0 --a------ C:\6.tmp
2008-03-15 16:18 . 2008-03-15 16:19 <DIR> d-------- C:\Program Files\DWGeditor
2008-03-13 11:03 . 2008-03-10 03:04 <DIR> d-------- C:\SDFix
2008-03-13 11:01 . 2004-10-05 16:54 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-03-11 22:47 . 2008-03-11 22:47 <DIR> d---s---- C:\Documents and Settings\xxx\UserData
2008-03-11 17:42 . 2008-03-11 17:43 1,412,414 --a------ C:\SDFix.exe
2008-03-11 12:16 . 2008-03-11 12:16 <DIR> d-------- C:\Program Files\Trend Micro
2008-03-11 11:25 . 2008-03-11 11:25 42,392 --a------ C:\WINDOWS\system32\drivers\spools.exe
2008-03-11 11:25 . 2008-03-11 11:25 0 --a------ C:\9.tmp

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-08 14:21 --------- d-----w C:\Program Files\Google
2008-02-03 11:05 --------- d-----w C:\Program Files\Alwil Software
2008-02-03 11:01 --------- d-----w C:\Program Files\Winamp
2008-01-24 20:17 --------- d-----w C:\Program Files\FlatOut2
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-17 14:49 15360]
"Creative Detector"="C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 18:23 102400]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-02-07 21:36 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-06-15 10:20 6803456]
"nwiz"="nwiz.exe" [2005-06-15 10:20 1519616 C:\WINDOWS\system32\nwiz.exe]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [2004-08-22 17:05 81920]
"RegistryMechanic"="" []
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-06-15 10:20 86016]
"CTDVDDET"="C:\Program Files\Creative\SBAudigy4\DVDAudio\CTDVDDET.EXE" [2003-06-18 01:00 45056]
"CTSysVol"="C:\Program Files\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe" [2005-02-15 16:10 57344]
"RCSystem"="C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 18:25 49152]
"AudioDrvEmulator"="C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 18:25 49152]
"CTHelper"="CTHELPER.EXE" [2005-06-18 07:01 16384 C:\WINDOWS\CTHELPER.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 10:09 77824 C:\WINDOWS\SOUNDMAN.EXE]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-12-20 16:16 37376]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"runwinlogon"="C:\WINDOWS\winlogon.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-17 14:49 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mp3res]
mp3res.dll 2008-03-15 17:23 22469 C:\WINDOWS\system32\mp3res.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Hry\\Far Cry\\Bin32\\FarCry.exe"=
"C:\\Hry\\Battlefield 2\\BF2.exe"=
"C:\\Hry\\Battlefield 2148\\BF2142.exe"=
"C:\\Program Files\\Valve\\hl.exe"=
"C:\\WINDOWS\\Explorer.EXE"=

R1 xprot;XPROTECTOR Driver;C:\WINDOWS\system32\xprot.sys [2008-03-15 17:23]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-03 22:04]
S2 grande48;grande48;C:\WINDOWS\system32\drivers\grande48.sys []
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2007-11-24 17:36]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a307bf5b-8d75-11dc-9e9d-806d6172696f}]
\Shell\AutoRun\command - E:\setup.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-16 21:41:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\mp3res.dll 22469 bytes executable
C:\WINDOWS\system32\xprot.sys 8736 bytes executable

scan completed successfully
hidden files: 2

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\mp3res.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-03-16 21:43:50 - machine was rebooted [xxx]
ComboFix-quarantined-files.txt 2008-03-16 20:43:47

Příspěvekod **fredik** » 18 bře 2008 21:09

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující text označený zeleně:

Kód: Vybrat vše

Driver::
grande48
xprot

File::
C:\7.tmp
C:\C.tmp
C:\WINDOWS\system32\ngxt.bin
C:\WINDOWS\system32\k86.bin
C:\3.tmp
C:\6.tmp
C:\9.tmp
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\winlogon.exe

Collect::
C:\WINDOWS\system32\xprot.sys
C:\WINDOWS\system32\mp3res.dll

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"runwinlogon"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mp3res]

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť
Obrázek

- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu

Na ploše se ti vytvoří soubor Submit(Datum+Čas).zip, vlož ho jako přílohu ke svému dalšímu příspěvku.
+
Dej sem i nový log z HJT.

petas.jir · Příspěvekod **petas.jir** » 19 bře 2008 16:21

ComboFix 08-03-14.4 - xxx 2008-03-19 16:09:20.3 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.697 [GMT 1:00]
Running from: C:\Documents and Settings\xxx\Plocha\ComboFix.exe
Command switches used :: C:\Documents and Settings\xxx\Plocha\CFScript.txt
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\3.tmp
C:\6.tmp
C:\7.tmp
C:\9.tmp
C:\C.tmp
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\k86.bin
C:\WINDOWS\system32\ngxt.bin
C:\WINDOWS\winlogon.exe
.
The following files were disabled during the run:
C:\WINDOWS\system32\mp3res.dll

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\3.tmp
C:\6.tmp
C:\7.tmp
C:\9.tmp
C:\C.tmp
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\k86.bin
C:\WINDOWS\system32\ngxt.bin

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:33, on 19.3.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RCSystem] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3937 bytes

petas.jir · Příspěvekod **petas.jir** » 19 bře 2008 16:29

SNAD JSEM TO UDELAL DOBRE

//příloha zaslána fredikovi
//Baron Prášil

POMOZTE TROJAN

Re: POMOZTE TROJAN

Re: POMOZTE TROJAN

Re: POMOZTE TROJAN

Re: POMOZTE TROJAN

Re: POMOZTE TROJAN

Re: POMOZTE TROJAN

Kdo je online