Trojan.Conhook.Y
Kako naj se rešim tega trojanca? Poskusila že z vsem živim, Kaspersky, Bitdefender on-line… v varnem zagonu…, hijackthis…
Okužene so tele datoteke:
C:\WINDOWS\system32\bweluycd.dll
C:\WINDOWS\system32\cibfcib.dll
C:\WINDOWS\system32\jhcrblzr.dll
C:\WINDOWS\system32\sctlmmgy.dll
C:\WINDOWS\system32\uwmqmhor.dll
C:\WINDOWS\system32\xtoknhiy.dll
Kakšna ideja, kako naj tole zbrišem?
A če tudi samostojno odstraniš iz C:\WINDOWS\system32\ se ti ponovno pojavijo ali jih ne moreš brisati? Drugače pa še probaj s tem programom ‘SUPERAntiSpyware’
SuperAntiSpyware že tudi uporabila.
Tiste okužene datoteke mi najde BitDefender on-line scan, pa jih ne more zbrisat, tudi ročno se jih ne da, niti v varnem zagonu.
???
Poskusi najprej z sistem restore, potem bomo pa naprej pametovali, če ne bo šlo.
Sistem restore? Kaj misliš s tem – obnovitev sistema? Sem že poskusila.
Pa z izklopom obnovitve sistema, pa se tudi ni dalo zbrisat.
A res nihče nima nobene ideje?
Evo, ene ideje:
Hvala za tole, samo eno podvprašanje: a pomeni”enable third party browser extension” “omogoči pripone drugih brskalnikov”? Če je to to, sem naredila vse po navodilih, pa zadeva ni uspela, tistih dll-jev nisem uspela zbrisati, niti v varnem zagonu. So trdovratni kot hudir.
Iz neta si stankaj Killbox http://www.downloads.subratam.org/KillBox.zip
Zaženi Killbox, namalaj pikico pri Delete on Reboot in pritisni gumb All Files.
Označi tale tekst
C:\WINDOWS\system32\bweluycd.dll
C:\WINDOWS\system32\cibfcib.dll
C:\WINDOWS\system32\jhcrblzr.dll
C:\WINDOWS\system32\sctlmmgy.dll
C:\WINDOWS\system32\uwmqmhor.dll
C:\WINDOWS\system32\xtoknhiy.dll
in pritisni CTRL+C (skopiraj ga v clipboard)
Pojdi nazaj v Killbox v menu File in izberi Paste from Clipboard.
Nato klikni na rdeč krog z belim križcem (Delete File), izberi Yes ko bo spraševal Delete on Reboot ? in Do You Want to Reboot Now?
Ko se zbuta nazaj, zaženi HijackThis in pripopaj log semle.
Hvala, bom zvečer, ker se mi tole dogaja na domači mašini.
Evo, tale je še ostal: C:\WINDOWS\system32\cibfcib.dll
Pa še HijackThis:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 – BHO: (no name) – {4CEE004F-6D2D-49DC-AD8C-963E6E4DFB4A} – c:\windows\system32\jhcrblzr.dll (file missing)
O2 – BHO: (no name) – {53707962-6F74-2D53-2644-206D7942484F} – C:\Program Files\Spybot – Search & Destroy\SDHelper.dll
O2 – BHO: SSVHelper Class – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 – BHO: SysShield IE Popup Blocker – {9A23B8A4-C6C9-4A68-8FA6-5F905DC8FF80} – C:\Program Files\SysShield Tools\Internet Eraser\PKExt.dll
O2 – BHO: (no name) – {C4B8592F-7CCE-4F90-B29F-592D8B54F26F} – c:\windows\system32\cibfcib.dll
O3 – Toolbar: &Radio – {8E718888-423F-11D2-876E-00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 – HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 – HKLM\..\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot
O4 – HKLM\..\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 – HKLM\..\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe”
O4 – HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 – HKLM\..\Run: [AVP] “C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe”
O4 – HKLM\..\Run: [UnlockerAssistant] “C:\Program Files\Unlocker\UnlockerAssistant.exe”
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 – HKCU\..\Run: [Octoshape Streaming Services] “C:\Program Files\Octoshape Streaming Services\Boris\OctoshapeClient.exe” -inv:bootrun
O4 – HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 – HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 – Global Startup: Office zagon.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O9 – Extra button: Web Anti-Virus statistics – {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} – C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 – Extra button: AbsoluteShield Internet Eraser – {4A0EF50C-6A4A-4b30-84D8-53D5BC95C043} – C:\Program Files\SysShield Tools\Internet Eraser\cseraser.exe (HKCU)
O16 – DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) – http://download.ewido.net/ewidoOnlineScan.cab
O16 – DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) – http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 – DPF: {3707DB0E-E788-491A-8FA7-8C8B9774AAEB} (DigSigX Control) – https://edavki.durs.si/OpenPortal/Gui/Applets/hslDigSigX.cab
O16 – DPF: {556DDE35-E955-11D0-A707-000000521957} – http://www.xblock.com/download/xclean_micro.exe
O16 – DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) – http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 – DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158856535075
O16 – DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} – http://212.103.151.248//activex/AMC.cab
O16 – DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) – https://edavki.durs.si/OpenPortal/Gui/Applets/msxml4.cab
O16 – DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) – http://ax.emsisoft.com/asquared.cab
O16 – DPF: {CC4271BF-1582-4FD4-81CD-9AE877B17644} (ESignDoc2 Object) – https://edavki.durs.si/PersonalPortal/%5B2689%5D/Controls/ESignDocControls/hslESignDoc2.cab
O16 – DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) – http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5063/mcfscan.cab
O20 – AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 – Winlogon Notify: !SASWinLogon – C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O20 – Winlogon Notify: bavocyiq – C:\WINDOWS\SYSTEM32\cibfcib.dll
O20 – Winlogon Notify: klogon – C:\WINDOWS\System32\klogon.dll
O23 – Service: Ad-Aware 2007 Service (aawservice) – Lavasoft AB – C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: Kaspersky Internet Security 6.0 (AVP) – Unknown owner – C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe” -r (file missing)
O23 – Service: fwnet64 (fwnet) – Unknown owner – C:\WINDOWS\fwnet64.exe (file missing)
O23 – Service: Pml Driver HPZ12 – HP – C:\WINDOWS\System32\HPZipm12.exe
O23 – Service: Sygate Personal Firewall (SmcService) – Sygate Technologies, Inc. – C:\Program Files\Sygate\SPF\smc.exe
Ampak tistega dll-ja iz začetka tudi tale ne uniči.
Če je še kakšna možnost – sicer pa hvala za pomoč.
Sonja
Probaj zbrisat tisti dll kar na roke v safe mode(potem ko počistiš z HijackThis), ker tisto je le BHO in ni nek hud virus. Lahko poskusiš tudi s kakim SpyBotom ali Adware. Ali pa BHODemon http://www.spywareinfo.com/downloads/bhod/ s katerim ga lahko onemogočiš.
Tudi tale log ne zgleda tolko slabo, lahko pa pobrišeš naslednje stvari:
O2 – BHO: (no name) – {4CEE004F-6D2D-49DC-AD8C-963E6E4DFB4A} – c:\windows\system32\jhcrblzr.dll (file missing)
O2 – BHO: (no name) – {C4B8592F-7CCE-4F90-B29F-592D8B54F26F} – c:\windows\system32\cibfcib.dll
O4 – HKLM..Run: [NeroCheck] C:WINDOWSSystem32\NeroCheck.exe
O4 – HKLM\..\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot
O4 – HKLM\..\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 – HKLM\..\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe”
O4 – Global Startup: Office zagon.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O20 – Winlogon Notify: bavocyiq – C:\WINDOWS\SYSTEM32\cibfcib.dll
O23 – Service: fwnet64 (fwnet) – Unknown owner – C:\WINDOWS\fwnet64.exe (file missing)
Tkole zgleda zadeva: kot sem že zadnjič napisala, Killbox je zbrisal vse razen cibfcib.dll. Pa ne vem, a tale potem generira vse ostale, ker so se vsi zbrisani dll-ji spet pojavili. Sem jih zdaj spet zbrisala s Killboxom, pa s Spywareinfo onemogočila cibfcib.dll, pa da vidim, kaj bo. Drugače pa, AdAware in SpyBot mi nič ne najdeta, ročno v varnem zagonu se ga tudi ne da zbrisat, HijackThis ga tudi ne uniči.
Tudi Kaspersky, ki ga imam na računalniku, ne reagira, BitDefender online scanner mi pa še vedno kaže tole:
Scanned File
Status
C:\WINDOWS\system32\cibfcib.dll
Infected with: Trojan.Conhook.Y
C:\WINDOWS\system32\cibfcib.dll
Disinfection failed
C:\WINDOWS\system32\cibfcib.dll
Delete failed
Me prav zanima, če se bodo tile dll-ji še naprej razmnoževali?
Hvala za vso pomoč,
Sonja
Zaženi računalnik v varnem načinu (na začetku
pritiskaš tipko F8) in potem si izbereš
v meniju SAFE MODE – ali pa Varni zagon
nato pa izberi v meniju:
– start
– zaženi
– vpiši cmd.exe in pritisni tipko ENTER
napiši:
del C:\WINDOWS\system32\cibfcib.dll
pa ti mora pobrisati to datoteko.
lp
Mi napiše “Dostop je zavrnjen”
ja ampak v windows-e se moraš prijaviti kot administrator
Ahaaa… popoldan ponovim vajo!
(Nisem kak hud računalniški strokovnjak, pa takih stvari ne vem)
Tudi administratorju je dostop zavrnjen. Še več, vsi na začetku navedeni dll-ji so se spet pojavili!
Zdaj pa počasi že obupavam.
Hja – očitno te nekaj heca. :)))
najbrž se datoteke startajo ob zagonu windows – xp in jih sistem
zaklene.
Kaj pa tisto, ko ti je Hmmm napisal, da pobriši ti -je uspelo ????
Po mojem bi z “ubijanjen” procesov v task managerju lahko potem tudi pobrisal to nesrečo od teh datotek.,
Par dni sem bila odsotna – medtem se je začel še IE zapirat po dveh, treh klikih, sem poskusila z obnovitvijo sistema, pa je vse zaštekalo… zdaj se mučim, da bi spravila še kakšno stvar na CD, windowsi se komaj postavijo na noge, mašina melje tako počasi, da znoriš…
Zdaj grem pa brskat po forumu, kako se zadeva sformatira, približno vem, pa nisem tega še nikoli sama počela.
Pa hvala vsem za nasvete.
Forum je zaprt za komentiranje.