Przesadziłem :(

31.05.04, 22:48
Witam,
udało mi się złapać trojana, a nawet kilka - klasyka zmieniona strona
startowa, wcinające się gołe dupy...
poszperałem po wątkach, odpaliłem zalecane programy i pozbyłem się
paskudztwa, ale zdaje się, że przesadziłem - nie mogę wpisywac adresów na
pasku, jak też nie odpala się strona startowa - "nie można znaleźć... upewnij
się, że ścieżka i adres internetowy są poprawne"
    • Gość: piecyk gazowy Re: Przesadziłem :( IP: *.visp.energis.pl 31.05.04, 22:51
      Hm... Na początek proponuję sprawdzić ustawienia proxy przeglądarki i jak coś
      jest, wyłączyć.
      • grail Re: Przesadziłem :( 31.05.04, 23:05
        Proxy wyłączone, więc to nie to - odpalają się ulubione i linki np. w mailu, a
        startowa i wpisana ręcznie nie...
        • Gość: piecyk gazowy Re: Przesadziłem :( IP: *.visp.energis.pl 31.05.04, 23:10
          Aha. A CWShreddera próbowałeś?
          www.spywareinfo.com/~merijn/files/CWShredder.exe
          • grail Re: Przesadziłem :( 31.05.04, 23:21
            Owszem, nic nie znajduje
            • netsec Re: Przesadziłem :( 01.06.04, 10:30
              grail napisał:

              > Owszem, nic nie znajduje

              Na początek odszukaj pliki hosts i skasuj wszystkie z wyjątkiem hosts.sam
              Napisz czy pomogło.
              • grail Re: Przesadziłem :( 01.06.04, 18:15
                Serialu część dalsza - teraz daje się wpisywać z paska ale wróciły pornusy :(
                znowu wykasowałem to co wyglądało odejrzanie...
                Wklejam log z hijack - może coś opuściłem??
                Logfile of HijackThis v1.97.7
                Scan saved at 18:01:29, on 2004-06-01
                Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\system32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\system32\spoolsv.exe
                C:\Program Files\AntiVirenKit professional\AVKService.exe
                C:\Program Files\AntiVirenKit professional\AVKWCtl.exe
                C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
                C:\WINDOWS\System32\nvsvc32.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\System32\MsPMSPSv.exe
                C:\WINDOWS\Explorer.EXE
                C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe
                C:\Program Files\Common Files\Real\Update_OB\realsched.exe
                C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
                C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
                C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
                C:\WINDOWS\System32\ctfmon.exe
                C:\Program Files\Messenger\msmsgs.exe
                C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
                D:\Gadu-Gadu\gg.exe
                C:\Program Files\ScannerU\AM32.exe
                C:\Program Files\Internet Explorer\IEXPLORE.EXE
                C:\Documents and Settings\Michał\Pulpit\HijackThis.exe

                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                www.wp.pl/
                R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
                R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                Files\MyWay\myBar\1.bin\MYBAR.DLL
                O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
                Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
                O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                C:\WINDOWS\System32\msdxm.ocx
                O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -
                C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
                O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
                O4 - HKLM\..\Run: [ABBYY Community Agent] C:\PROGRA~1
                \SPRINT~1.0OF\Sprint\CAgent.exe
                O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
                Files\Real\Update_OB\realsched.exe" -osboot
                O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
                \NvCpl.dll,NvStartup
                O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03
                \bin\jusched.exe
                O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital
                Imaging\\Unload\hpqcmon.exe
                O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-
                Packard\HP Share-to-Web\hpgs2wnd.exe
                O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg.exe" /tray
                O4 - HKCU\..\Run: [system service] C:\WINDOWS\spoolcrv.cpl
                O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe
                O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                Office\Office\OSA9.EXE
                O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
                O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
                O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
                O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
                O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
                O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
                O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
                O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
                O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
                O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
                O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
                O9 - Extra button: Related (HKLM)
                O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
                O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
                O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
                O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
                O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
                download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
                BTW - jedyny plik hosts jaki mam jest od spywareblastera, więc to chyba nie
                to...
                No i za Ciny Ludowe i pół Ameryki nie mogę pozbyć się DSO Exploit - SpyBot go
                wykrywa, pisze , że załatwiony ,ale przy następnym skanowaniu znowu jesty :((
                • netsec Re: Przesadziłem :( 01.06.04, 19:26
                  grail napisał:

                  > Serialu część dalsza - teraz daje się wpisywać z paska ale wróciły pornusy :(
                  > znowu wykasowałem to co wyglądało odejrzanie...
                  > Wklejam log z hijack - może coś opuściłem??
                  > Logfile of HijackThis v1.97.7
                  > Scan saved at 18:01:29, on 2004-06-01
                  > Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                  > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                  Na początek sprawdź i włącz zaporę Internetową we właściwościach Twojego
                  połączenia do Internetu.
                  Tu jest opis jak to wykonać
                  www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
                  Uruchom ponownie HijackTHis, wykonaj SCAN i zaznacz dokładnie te pozycje:


                  O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                  Files\MyWay\myBar\1.bin\MYBAR.DLL
                  O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -
                  C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL
                  O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
                  Files\Real\Update_OB\realsched.exe" -osboot
                  O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03
                  \bin\jusched.exe
                  O4 - HKCU\..\Run: [system service] C:\WINDOWS\spoolcrv.cpl
                  O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
                  O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
                  O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
                  O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
                  O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
                  O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
                  O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
                  O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
                  O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
                  O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
                  O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
                  O9 - Extra button: Related (HKLM)
                  O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
                  O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
                  O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
                  O9 - Extra button: Microsoft® JavaScript® Console (HKCU)

                  Po zaznaczeniu wykonaj FIX CHECKED i potwierdź OK.

                  Zainstaluj tę poprawke
                  www.microsoft.com/downloads/details.aspx?displaylang=pl&FamilyID=563F65A3-D793-47B4-A607-948CAA5B3454

                  Uruchom komputer ponownie.

                  W Opcjach Internetowych wyczyść Tymczasowe pliki Internetowe (Wszystkie) i
                  Cooki.

                  Ściągnij ten wpis do rejestru
                  www.spywareinfo.com/downloads/tools/IEFIX.reg
                  Uruchom klikając,i zaakceptuj wpis.

                  Odinstaluj w Panelu sterowania Dodaj/Usuń programy wszystkie
                  programy, co do których nie masz pewności, że Ci są potrzebne.

                  Z menu START wybierz Uruchom wpisz %TEMP% i OK
                  W oknie które się otworzy wykasuj wszystkie pliki które uda się skasować.
                  Upewnij się przed tym, że masz w Panelu Sterowania =>
                  Opcjach folderów zakładka Widok włączone Pokaż ukryte pliki i foldery.

                  Odinstaluj "ten" program antywirusowy, najwyraźniej nie radzi sobie :)

                  Zainstaluj program antywirusowy AVAST4 Home.
                  Jest to bezpłatny program antywirusowy po polsku.
                  Wersję polską możesz ściągnąć stąd www.avast.com/i_idt_1016.html
                  Przed instalacją zarejestruj się tu www.avast.com/i_kat_207.php?lang=ENG
                  Dzięki rejestracji otrzymasz mailem klucz rejestracyjny,
                  który umożliwi przez rok, bezpłatną aktualizacje bazy wirusów.

                  Przeskanuj AVAST'em wszystkie dyski.

                  Po usunięciu wszystkich wirusów, zaktualizuj system o wszystkie krytyczne
                  poprawki

                  Po wszystkim uruchom raz jeszcze komputer i wklej loga z HijackThis.
                  • grail Re: Przesadziłem :( 01.06.04, 23:28
                    No dobra...
                    na razie działa
                    log wygląda tak:
                    ogfile of HijackThis v1.97.7
                    Scan saved at 23:26:47, on 2004-06-01
                    Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
                    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

                    Running processes:
                    C:\WINDOWS\System32\smss.exe
                    C:\WINDOWS\system32\winlogon.exe
                    C:\WINDOWS\system32\services.exe
                    C:\WINDOWS\system32\lsass.exe
                    C:\WINDOWS\system32\svchost.exe
                    C:\WINDOWS\System32\svchost.exe
                    C:\WINDOWS\system32\spoolsv.exe
                    C:\Program Files\AntiVirenKit professional\AVKService.exe
                    C:\Program Files\AntiVirenKit professional\AVKWCtl.exe
                    C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
                    C:\WINDOWS\System32\nvsvc32.exe
                    C:\WINDOWS\System32\svchost.exe
                    C:\WINDOWS\System32\MsPMSPSv.exe
                    C:\WINDOWS\Explorer.EXE
                    C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe
                    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
                    C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
                    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
                    C:\WINDOWS\System32\ctfmon.exe
                    C:\Program Files\Messenger\msmsgs.exe
                    C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
                    C:\Program Files\ScannerU\AM32.exe
                    D:\Gadu-Gadu\gg.exe
                    C:\Documents and Settings\Michał\Pulpit\HijackThis.exe

                    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                    www.wp.pl/
                    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
                    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
                    Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
                    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1
                    \SPYBOT~1\SDHelper.dll
                    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
                    C:\WINDOWS\System32\msdxm.ocx
                    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
                    O4 - HKLM\..\Run: [ABBYY Community Agent] C:\PROGRA~1
                    \SPRINT~1.0OF\Sprint\CAgent.exe
                    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
                    Files\Real\Update_OB\realsched.exe" -osboot
                    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
                    \NvCpl.dll,NvStartup
                    O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital
                    Imaging\\Unload\hpqcmon.exe
                    O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-
                    Packard\HP Share-to-Web\hpgs2wnd.exe
                    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
                    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                    O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg.exe" /tray
                    O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe
                    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                    Office\Office\OSA9.EXE
                    O9 - Extra button: Related (HKLM)
                    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
                    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
                    download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
                    • netsec Re: Przesadziłem :( 02.06.04, 09:05
                      grail napisał:

                      > No dobra...
                      > na razie działa

                      wow ostatecznie zgodzisz się, że działa ?:)
                      • grail Re: Przesadziłem :( 02.06.04, 12:33
                        netsec - jestem Ci wdzięczny za helpa, ba moje pierwsze dziecko nazwę netsec ;)
                        a to co zacytowałeś - no cóż... znając moje szczęście pewnie jutro złapię
                        innego robala ;)
                        • netsec Re: Przesadziłem :( 02.06.04, 13:08
                          grail napisał:

                          > netsec - jestem Ci wdzięczny za helpa, ba moje pierwsze dziecko
                          > nazwę netsec ;)
                          > a to co zacytowałeś - no cóż... znając moje szczęście pewnie jutro złapię
                          > innego robala ;)

                          Ściagnij i zainstaluj jeszcze te poprawki:

                          download.microsoft.com/download/3/b/0/3b0062ab-3627-498d-b05e-04a5b56eaf82/WindowsXP-KB835732-x86-PLK.EXE
                          download.microsoft.com/download/4/8/0/4801e427-5d62-4bbb-9d94-d4c80fbca744/WindowsXP-KB828741-x86-PLK.EXE
                          download.microsoft.com/download/f/f/3/ff39c62a-6903-4393-baa5-ce95f6ee846f/OE6.0sp1-KB837009-x86-PLK.exe
                          download.microsoft.com/download/6/a/3/6a370b8e-1d81-4b7c-a666-7e0c85d2cc1a/WindowsXP-KB837001-x86-PLK.EXE
                          • grail Re: Przesadziłem :( 02.06.04, 18:15
                            Zainstalowałem, i gołe baki się nie pojawiają.
                            dzięki.

                            P.S. żeby one jeszcze ładne były... A tu takie pasztety...
Pełna wersja