Spybot mi nachází trojana Torpig, ale nedokáže jej odstranit, vytváří 2 soubory v C:/WINNT/TEMP, které jdou smazat jen v nouzovém režimu. Můžete mi překontrolovat log?
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:11:47, on 27.4.2007
Platform: Windows 2000 SP4
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINNT\system32\internat.exe
C:\PROGRA~1\FASTDE~1\FAST2.EXE
C:\Program Files\! Smart Protector\smartprotectorpro.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\wuauclt.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\DOCUME~1\JN\LOCALS~1\Temp\_tc\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://msn.atlas.cz
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1029,&Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [FAST Defrag] C:\PROGRA~1\FASTDE~1\FAST2.EXE -tray
O4 - HKCU\..\Run: [SPSTEALT] "C:\Program Files\! Smart Protector\smartprotectorpro.exe" /stealt
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Rychlé spuštění aplikace HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://msn.atlas.cz
O14 - IERESET.INF: MS_START_PAGE_URL=http://msn.atlas.cz
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINNT\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINNT\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
--
End of file - 4970 bytes
Trojan Torpig
-
Baron Prášil
- Master Level 7
- Příspěvky: 4882
- Registrován: červen 06
- Pohlaví:
- Stav:
Offline
nainstaluj firewall
http://viry.cz/forum/viewtopic.php?t=65 ... b226c523ee
fixni
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
toto používáš?neni to moc košer.
C:\Program Files\! Smart Protector
nepoužívej IE pokud to není nutný
spust oba rezidenty u Spybotu
Režim>Pro pokročilé>Nástroje>Rezidentní a zaškrtni oboje
až budeš mít firewall a rezidenty nahoře-aktualizuj Spybot a projeď to znova
možná ještě lépe v nouzáku(s tímto by si měl poradit,ale musíš ho trochu podpořit)
a když to nezabere,proskenuj mwavem a vlož sem upravený log
http://viry.cz/forum/viewtopic.php?t=40 ... 9a7fb585ba
http://viry.cz/forum/viewtopic.php?t=65 ... b226c523ee
fixni
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
toto používáš?neni to moc košer.
C:\Program Files\! Smart Protector
nepoužívej IE pokud to není nutný
spust oba rezidenty u Spybotu
Režim>Pro pokročilé>Nástroje>Rezidentní a zaškrtni oboje
až budeš mít firewall a rezidenty nahoře-aktualizuj Spybot a projeď to znova
možná ještě lépe v nouzáku(s tímto by si měl poradit,ale musíš ho trochu podpořit)
a když to nezabere,proskenuj mwavem a vlož sem upravený log
http://viry.cz/forum/viewtopic.php?t=40 ... 9a7fb585ba
-
Baron Prášil
- Master Level 7
- Příspěvky: 4882
- Registrován: červen 06
- Pohlaví:
- Stav:
Offline
-
Jan Karásek
- nováček
- Příspěvky: 2
- Registrován: květen 07
- Pohlaví:
- Stav:
Offline
Trojan Torpig
Vyzkoušel jsem fixnout ty procesy a nepomohlo to. Projel jsem to MWAVEM a ten ho ani nenašel. Tak jsem v nouzáku vlezl do těch dvou souborů, které si Torpig v TEMPu vytváří, vymazal jsem jejich obsah a zamknul je jen pro čtení. Od té doby chodí počítač 2x rychleji a vir se projevuje pouze (tedy alespoň doufám) hláškou "svchost.exe" generoval chyby při startu.
-
Baron Prášil
- Master Level 7
- Příspěvky: 4882
- Registrován: červen 06
- Pohlaví:
- Stav:
Offline
-
fredik
- člen Security týmu
-
Master Level 7
- Příspěvky: 4680
- Registrován: červenec 06
- Pohlaví:
- Stav:
Offline
Tak zpátky odemkni ty soubory 
Jsou tři postupy co by měly zabrat SDFix, ruční práce a zdivočelý medvěd.
Nejdřív udělej krok první a dej sem z něho log, ostatní už by neměly být potřeba.
1)Stáhni si SDFix a spusť ho ,vybalí se do vlastní složky (bude asi na C:\SDfix).
Poté restartuj PC do nouzového režimu.Otevři složku kde je vybalený SDFix a spusť soubor RunThis.bat a stiskni Y pro zahájení čistícího procesu.
Pro dokončení bude třeba stisknout libovolnou klávesu a počítač se restartuje.
Při nabíhání operačního systému budeš muset po vyzvání stisknout libovolnou klávesu pro vstup do do Win.
Po naběhnutí OS by ti měl zobrazit výpis SDFixu tak ho sem zkopíruj pokud by ti nevyběhne tak je umístěný ve své vlastní složce jako Report.txt (nezapomeň sem zkopírovat jeho obsah).
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
2)
Použij toto: Panda Online (musíš to spustit v IE)
Na stránce klikneš na tlačítko Scan your PC
Otevře se ti nové okno a v něm vyplníš údaje a pak dáš Free Online Scan.
(Budeš-li dotázán na nainstalovaní AciveX komponenty tak to povol).
Program se stáhne a nainstaluje (bude to chvíli trvat).
Až bude stažení kompletní tak zvol možnost klikni na My Computer nebo Local Disks.
Až prohlídka skončí tak dej a něco najde tak klikni na tlačítko See Report a potom dej Save Report a ulož si výsledek někam na disk a pak sem zkopíruj jeho obsah.
(aby jsi nainstaloval Pandu ActiveScan tak v průběhu instalace budeš muset vypnout na chvíli rezidentní štít od avastu, protože ti vyhodí hlášku worm/virus called Win32:CTX (http://acs.pandasoftware.com/activescan ... /motor.cab\pskavs.DLL) a nepovede se ti to nainstalovat.
Z logu pak uvidíme jak se s tím popral.
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
3)
Nebo ručně (doufám že to mají 2000 stejné jako Xp)
Zapni si zobrazení skrytých souborů.
Napiš přesné názvy souborů umístěných v tom C:\WINNT\TEMP (např: C:\WINNT\Temp\$_2341233.TMP)
a pak se ještě podívej do adresáře C:\Program Files\Common Files\Microsoft Shared\Web Folders
měl by tam být soubor ibm0000*.dll nebo i ibm0000*.exe kde místo * může být nějaké číslo
tak sem pak opiš všechny soubory co jsem psal včetně jejich cesty.
Jsou tři postupy co by měly zabrat SDFix, ruční práce a zdivočelý medvěd.
Nejdřív udělej krok první a dej sem z něho log, ostatní už by neměly být potřeba.
1)Stáhni si SDFix a spusť ho ,vybalí se do vlastní složky (bude asi na C:\SDfix).
Poté restartuj PC do nouzového režimu.Otevři složku kde je vybalený SDFix a spusť soubor RunThis.bat a stiskni Y pro zahájení čistícího procesu.
Pro dokončení bude třeba stisknout libovolnou klávesu a počítač se restartuje.
Při nabíhání operačního systému budeš muset po vyzvání stisknout libovolnou klávesu pro vstup do do Win.
Po naběhnutí OS by ti měl zobrazit výpis SDFixu tak ho sem zkopíruj pokud by ti nevyběhne tak je umístěný ve své vlastní složce jako Report.txt (nezapomeň sem zkopírovat jeho obsah).
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
2)
Použij toto: Panda Online (musíš to spustit v IE)
Na stránce klikneš na tlačítko Scan your PC
Otevře se ti nové okno a v něm vyplníš údaje a pak dáš Free Online Scan.
(Budeš-li dotázán na nainstalovaní AciveX komponenty tak to povol).
Program se stáhne a nainstaluje (bude to chvíli trvat).
Až bude stažení kompletní tak zvol možnost klikni na My Computer nebo Local Disks.
Až prohlídka skončí tak dej a něco najde tak klikni na tlačítko See Report a potom dej Save Report a ulož si výsledek někam na disk a pak sem zkopíruj jeho obsah.
(aby jsi nainstaloval Pandu ActiveScan tak v průběhu instalace budeš muset vypnout na chvíli rezidentní štít od avastu, protože ti vyhodí hlášku worm/virus called Win32:CTX (http://acs.pandasoftware.com/activescan ... /motor.cab\pskavs.DLL) a nepovede se ti to nainstalovat.
Z logu pak uvidíme jak se s tím popral.
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
3)
Nebo ručně (doufám že to mají 2000 stejné jako Xp)
Zapni si zobrazení skrytých souborů.
Napiš přesné názvy souborů umístěných v tom C:\WINNT\TEMP (např: C:\WINNT\Temp\$_2341233.TMP)
a pak se ještě podívej do adresáře C:\Program Files\Common Files\Microsoft Shared\Web Folders
měl by tam být soubor ibm0000*.dll nebo i ibm0000*.exe kde místo * může být nějaké číslo
tak sem pak opiš všechny soubory co jsem psal včetně jejich cesty.
Zpět na “Viry, antiviry, firewally…”
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 4 hosti