Trojan win32.delf.zj

dildoo · Příspěvek od **dildoo** » čtv 15. bře 2007, 15:03

Mate nekdo s touhle bestii nakou zkusenost---->jak se ho zbavit...
NOD32 ho ani neotevre....neskontroluje
KAV 4.5.0.94....ho sice najde ale uz ho nesmaze ani nevyleci
trojan hunter se nechyt vubec

Nechce se mi zkouset jeden antivir za druhym jestli to nahodou ten ci onen neumi, proto se radsi ptam...

THX

likc · Příspěvek od **likc** » čtv 15. bře 2007, 15:24

Tak bud to mwav a nebo jeden specialista, ktery by si s tim mel poradit. BugHunter http://bughunter.it-mate.co.uk/
Melo by to jit i ruco smazat
%system%\ beedbee.dll
%system%\ beedbee.exe
%system%\ caiicaaa.exe
%system%\ drivers\ eneisuks.sys
%system%\ edgaedg.dll
%system%\ hydnqaaa.exe
%system%\ jiaajia.dll
%system%\ lgfalgf.dll
%system%\ mnobrind.dll
%system%\ wskwwlhn.dll

dildoo · Příspěvek od **dildoo** » pát 16. bře 2007, 17:21

MWAV???Nevim chtel sem to teda smazat ruco ale ty knihovny sem na disku nikde nenasel...

likc · Příspěvek od **likc** » pát 16. bře 2007, 19:53

Mwav je cistic havete na pc. http://www.mwti.com/products/mwav/mwav.asp
Asi bude lepsi pouzit na to odstraneni nejaky softik, kdyz to nejde ruco.

dildoo · Příspěvek od **dildoo** » čtv 23. srp 2007, 15:04

Furt mám stejný problém s Trojan-clicker.win32.delf.hi

Už sem toho vyzkoušel mraky u furt se toho ne a ne zbavit.A vůbec se my nechce jít do reinstalu Woken.

KAV 4,KAV 7,NOD 32,Avast,hijackThis,Bughunter,Mwav + moře online skenrů.O mazání ručně ani nemulvim.

Zkoušel sem i v nouzovym režimu ,ale taky to nepomohlo.

Kdyby ste měl ještě někdo nějaký nápad nebo zkušenost tak my ho sem postněte.thx

likc · Příspěvek od **likc** » sob 25. srp 2007, 10:06

stahni si combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe a projed system, pak sem dej log z HJT a z combofixu.

dildoo · Příspěvek od **dildoo** » sob 25. srp 2007, 12:05

Logfile of HijackThis v1.99.1
Scan saved at 11:59:41, on 25.8.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Jan\Plocha\Ostatní\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7A108029-6000-4403-AF41-178D2DD8B1E9} - c:\windows\system32\khsjqnzc.dll
O2 - BHO: (no name) - {819151F1-ED1E-4755-BE05-E864955A000D} - c:\windows\system32\khsjqnzc.dll
O2 - BHO: (no name) - {9609C95C-C7EF-4BF0-A801-9E33FF2531F1} - c:\windows\system32\llkallk.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5E5485C-AC70-4C2A-B120-5292AFA845AB}: NameServer = 85.255.116.105,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF5643C4-BCD5-43F6-B9F4-BDA836AF4832}: NameServer = 85.255.116.105 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.105 85.255.112.215
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.105 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.105 85.255.112.215
O20 - Winlogon Notify: mmvmcfrc - C:\WINDOWS\SYSTEM32\llkallk.dll
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe

Combofix my po naběhnutí příkaz. řádky napíše přístup byl odepřen a pak se vypne.

hlupak · Příspěvek od **hlupak** » sob 25. srp 2007, 15:00

O2 - BHO: (no name) - {7A108029-6000-4403-AF41-178D2DD8B1E9} - c:\windows\system32\khsjqnzc.dll Unknown application.
O2 - BHO: (no name) - {819151F1-ED1E-4755-BE05-E864955A000D} - c:\windows\system32\khsjqnzc.dll Unknown application.
O2 - BHO: (no name) - {9609C95C-C7EF-4BF0-A801-9E33FF2531F1} - c:\windows\system32\llkallk.dll

ZNoav spust Hijack ...a pak zaskrtni tyhle polozky a dej FIX CHECKED

jeste ta IP..jestli je tvoje ok a Kaspersky by mozna chtel preinstalovat protoze

O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service !!!!!!(file missing)!!!!!!!!
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /service !!!!!(file missing)!!!!!

dildoo · Příspěvek od **dildoo** » sob 25. srp 2007, 16:11

O2 - BHO: (no name) - {9609C95C-C7EF-4BF0-A801-9E33FF2531F1} - c:\windows\system32\llkallk.dll

Tenhle právě že nejde fixknout.

Hijackthis is about to remove a BHO and the corresponding file rom your system.Close all Internet explore system AND all Windows Explorer window before continuing for the best change off succes.

Samo že mam vše zavřeny ,ale při dalším skenu je tam furt.NOD hlasil že je v oper. paměti.

Logfile of HijackThis v1.99.1
Scan saved at 16:19:39, on 25.8.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe
C:\Program Files\QIP\qip.exe
C:\Program Files\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Jan\Plocha\Ostatní\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9609C95C-C7EF-4BF0-A801-9E33FF2531F1} - c:\windows\system32\llkallk.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Program Files\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5E5485C-AC70-4C2A-B120-5292AFA845AB}: NameServer = 85.255.116.105,85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\..\{FF5643C4-BCD5-43F6-B9F4-BDA836AF4832}: NameServer = 85.255.116.105 85.255.112.215
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.105 85.255.112.215
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.105 85.255.112.215
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.105 85.255.112.215
O20 - Winlogon Notify: mmvmcfrc - C:\WINDOWS\SYSTEM32\llkallk.dll
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpcc.exe" /service (file missing)
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation\avpm.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Windows Installer (MSIServer) - Unknown owner - C:\WINDOWS\system32\msiexec.exe

hlupak · Příspěvek od **hlupak** » sob 25. srp 2007, 18:19

c:\windows\system32\llkallk.dll

najed do Safe modu a smaz to rucne( dej safe mod BEZ network)jen Safe mod.... najdi tu cestu c:\windows\system32\llkallk.dll a smaz to od tamtud.

rary · Příspěvek od **rary** » sob 25. srp 2007, 18:29

1. Postupuj dle tohoto návodu

Použij toho Vundofix-a

Akorát je ten návod psaný na starou verzi takže mám k tomu dvě připomínky:

1.Hned jak to spustíš tak klikni na Scan for Vundo

2.Je možné že se VundoFix po restartu znovu automaticky spustí, znamená, že některé infikované soubory, které našel, nemohly být smazány.A v tom případě opakuj postup s Vundofixem znovu.

A vlož sem log z VundoFixa uložený na C:\VundoFix.txt

2. Použij Fixwareout dle tohoto návodu a vlož sem z něho taky log umístěný na C:\fixwareout\report.txt

3. Jinak používáš starou verzi HijackThisu stáhni si nový HijackThis. Ke stažení odsud ulož ho do samostatného adresáře a spusť ho.
Objeví se ti okno tak dole uprosřed klikni na tlačítko - Main Menu
A poté až se ti objeví menu tak klikni na Do a system scan and save a logfile
A počkej po chvilce by se ti mělo objevit okno Poznámkového bloku kde bude výpis HJT tak ho sem zkopíruj.

Předtím však smaž starou verzi HijackThisu než použiješ nový HijackThis.