Trojan Urbin

[Gość: anatik]

Juz poruszalam ten temat ale jestem nowicjuszka no i z racji swojego wieku
nie znam angielskiego.Prosze o pomoc i wskazówki najlepiej co robic po
kolei.Informatyk mnie niestety zlekceważyl i w ogole nie przyjechal.Z gory
dziekuje

[Gość: anatik]

Logfile of HijackThis v1.97.7
Scan saved at 23:25:37, on 04-05-27
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Creative\Shared Files\CamTray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\AntiVirenKit\AVKPOP.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Program Files\AntiVirenKit\AVKService.exe
C:\Program Files\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\user\Ustawienia lokalne\Temporary Internet
Files\Content.IE5\YZQNQH2Z\HijackThis[1].exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
www.idg.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Program
Microsoft Internet Explorer dostarczony przez SUUS
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-
5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program
Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} -
C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared
Files\CamTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32
\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\AntiVirenKit\AVKPOP.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1
\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1
\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program
Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program
Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search -
bar.mywebsearch.com/menusearch.html?p=ZRxdm185
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=www.idg.pl
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab

[netsec]

Gość portalu: anatik napisał(a):

> Logfile of HijackThis v1.97.7
> Scan saved at 23:25:37, on 04-05-27
> Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Na początek włącz wbudowaną w XP Zaporę.
www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
Odinstaluj w Panel Sterownaia Dodaj/Usuń MyWebSearch.

Uruchom ponownie HijackThis, wykonaj Scan i zaznacz te pozycje:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Program
Microsoft Internet Explorer dostarczony przez SUUS
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-
5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program
Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} -
C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1
\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1
\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program
Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program
Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search -
bar.mywebsearch.com/menusearch.html?p=ZRxdm185
O14 - IERESET.INF: START_PAGE_URL=www.idg.pl
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
ak.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversInitialSetup1.0.0.8.exe

Wykonaj Fix Checked i potwierdź OK uruchom komputer ponownie.

Ściągnij ten wpis do rejestru
www.spywareinfo.com/downloads/tools/IEFIX.reg
Uruchom wpis klikając, zaakceptuj wpis.
Po tym uruchom komputer ponownie.

Ściągnij CWShredder 209.133.47.12/~merijn/files/CWShredder.exe
Uruchom i wykonaj Fix. Przed wykonaniem FIX zamknij wszystkie
okna Internet Explorera, a w trakcie FIX zawsze odpowiadaj OK.


Kliknij przycisk Start,
kliknij polecenie Mój komputer
kliknij menu Narzędzia,
a następnie kliknij polecenie Opcje folderów.
Kliknij kartę Widok.
W sekcji Ustawienia zaawansowane zaznacz pozycję Pokaż ukryte pliki i foldery.
W sekcji Ustawienia zaawansowane kliknij, aby wyczyścić pole wyboru Ukryj chronione pliki systemu operacyjnego (zalecane).
Zamknij Opcje folderów klikając OK.

UWAGA: Ukryte pliki i foldery będą zacieniowane.

Usuń tymczasowe pliki internetowe przy użyciu Kreatora oczyszczania dysku systemu Windows. W tym celu:
Kliknij przycisk Start,
a następnie kliknij polecenie Uruchom.
W polu Otwórz wpisz polecenie cleanmgr
Po tym zaznacz opcję Tymczasowe pliki internetowe,
a następnie kliknij przycisk OK.

Kliknij przycisk Start, wybierz Uruchom wpisz %TEMP% i OK.
W oknie które się pojawi, wykasuj wszystkie pliki które można skasować.

Jeśli masz GG to wyłącz połączenie bezpośrednie.
Jest bardzo niebezpieczne, chociaż samo GG jako takie nie jest bezpieczne.

Uruchom komputer ponownie.

Połącz się z WindowsUpdate www.windowsupdate.com i zaktualizuj system o wszystkie krytyczne poprawki.
Tutaj masz opisane jak to wykonać www.microsoft.com/poland/security/protect/windowsxp/updates.aspx

[netsec]

Gość portalu: anatik napisał(a):

> Juz poruszalam ten temat ale jestem nowicjuszka no i z racji swojego wieku
> nie znam angielskiego.Prosze o pomoc i wskazówki najlepiej co robic po
> kolei.Informatyk mnie niestety zlekceważyl i w ogole nie przyjechal.Z gory
> dziekuje

Odpowiem jutro :)

[Gość: anatik]

dziekuje za informacje i poswiecony mi czas. Sprobuje cos pokombinowac chociaz
nie wiem czy sobie poradze.Dam znak.