Uparty sasser

[Gość: olgierd]

Witam,
komp zaczał przejawiac klasyczne objawy sassera (nie będę się rozpisywał)
pościągałem narzędzia do usunięcia ze "wszech" stron nawet symantec i ... nic
nie znalazły go.
będąc zdesperowanym przeskanowałem kompa skanerem Pandy....
jeden trojan usunięty sassera ani śladu
łata na xp połozona z microsoftu i nic
czy ktoś ma jakiś pomysł ???
mi się już skonczyły
Pozdrawiam i dzięki za pomoc

[Gość: ass]

Sasser ma takie same objawy jak wirus "Ilove you".
To stary wirus ale krazy po sieci.

[netsec]

Gość portalu: olgierd napisał(a):

> Witam,
> komp zaczał przejawiac klasyczne objawy sassera (nie będę się rozpisywał)
> pościągałem narzędzia do usunięcia ze "wszech" stron nawet symantec i ... nic
> nie znalazły go.
> będąc zdesperowanym przeskanowałem kompa skanerem Pandy....
> jeden trojan usunięty sassera ani śladu łata na xp połozona z microsoftu i
> nic czy ktoś ma jakiś pomysł ??? mi się już skonczyły

Ściągnij HijackThis 209.133.47.200/~merijn/files/HijackThis.exe
Wykonaj Scan i po tym Save Log. Zawartość pliku z save log wklej na forum,
zobaczymy co się tam dzieje. Nie obawiaj się. nie w tym pliku poufnych informacji.

[Gość: olgierd]

Dzięki
odezwę się po niedzieli
:)
p.s.
nie obawiam się :))))

[Gość: Olgierd]

oto log:
Logfile of HijackThis v1.97.7
Scan saved at 12:49:43, on 2004-06-01
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Wanadoo\taskbaricon.exe
C:\Program Files\MKS\Bin\mks_mail.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\YDP\YdpDict\Watch.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\MARTA\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wp.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = tp wita Cie
w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe
O4 - HKLM\..\Run: [MailScanner] C:\Program Files\MKS\Bin\mks_mail.exe
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Aktywacja Testera.lnk = C:\Program
Files\YDP\YdpDict\Watch.exe
O4 - Global Startup: Menu mks_vir.lnk = C:\Program Files\MKS\Bin\mks_menu.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38079.2085069444
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
proszę o pomoc :)
dzięki

[netsec]

Gość portalu: Olgierd napisał(a):

> oto log:
> Logfile of HijackThis v1.97.7
> Scan saved at 12:49:43, on 2004-06-01
> Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Na początek sprawdź i włącz zaporę Internetową we właściwościach Twojego połączenia do Internetu.
Tu jest opis jak to wykonać www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx

Uruchom ponownie HijackTHis, wykonaj SCAN, zaznacz tę pozycje:

O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A

Po zaznaczeniu wykonaj FIX CHECKED i potwierdź OK.

Uruchom komputer ponownie.

W Opcjach Internetowych wyczyść Tymczasowe pliki Internetowe (Wszystkie) i Cooki.

Odinstaluj w Panelu sterowania Dodaj/Usuń programy wszystkie
programy, co do których nie masz pewności, że Ci są potrzebne -:)

Z menu START wybierz Uruchom wpisz %TEMP% i OK
W oknie które się otworzy wykasuj wszystkie pliki które uda się skasować.
Upewnij się przed tym, że masz w Panelu Sterowania =>
Opcjach folderów zakładka Widok włączone Pokaż ukryte pliki i foldery.

Uruchom komputer ponownie.

Zainstaluj program antywirusowy AVAST4 Home.
Jest to bezpłatny program antywirusowy po polsku.
Wersję polską możesz ściągnąć stąd www.avast.com/i_idt_1016.html
Przed instalacją zarejestruj się tu www.avast.com/i_kat_207.php?lang=ENG
Dzięki rejestracji otrzymasz mailem klucz rejestracyjny,
który umożliwi przez rok, bezpłatną aktualizacje bazy wirusów.

Przeskanuj AVAST'em wszystkie dyski.

Po usunięciu wszystkich wirusów, zaktualizuj system o wszystkie krytyczne poprawki www.windowsupdate.com

Po wszystkim uruchom raz jeszcze komputer i wklej loga z HijackThis.