Dodaj do ulubionych

Problem z usunięciem trojanów

IP: *.olsztyn.mm.pl 06.06.04, 14:47
Proszę o pomoc w usunieciu 4 trojanów: Trojan.Dropper.Small.Gf,
Trojan.Trojandownloader.Wintrim.Be, Trojan.Downloader.Winshow.Shp,
Trojan.Starpage.Itho
Obserwuj wątek
    • netsec Re: Problem z usunięciem trojanów 06.06.04, 15:16
      Gość portalu: Mariusz napisał(a):

      > Proszę o pomoc w usunieciu 4 trojanów: Trojan.Dropper.Small.Gf,
      > Trojan.Trojandownloader.Wintrim.Be, Trojan.Downloader.Winshow.Shp,
      > Trojan.Starpage.Itho

      MKS?


      --
      Nadmiar zaufania jest głupotą, nadmiar nieufności nieszczęściem.

      Net
        • netsec Re: Problem z usunięciem trojanów 06.06.04, 20:33
          Gość portalu: Mariusz napisał(a):

          > W tym problem, że mks ich nie usuwa

          Zmień ustawiania IE na opisane tu
          forum.gazeta.pl/forum/72,2.html?f=430&w=13121305
          Otwórz Internet Explorer a po tym zamknij i uruchom komputer ponownie.
          Po tym sprawdź czy trojany "zniknęły".
          Jeśli to nie pomoże to Ściągnij HijackThis
          209.133.47.12/~merijn/files/HijackThis.exe
          Wykonaj Scan i po tym Save Log. Zawartość pliku z save log wklej na forum,
          zobaczymy co się tam dzieje.

          --
          Nadmiar zaufania jest głupotą, nadmiar nieufności nieszczęściem.

          Net
          • Gość: Mariusz Re: Problem z usunięciem trojanów IP: *.olsztyn.mm.pl 06.06.04, 22:30
            Niestety nic z tego. W załączeniu raport ze scana.

            Logfile of HijackThis v1.97.7
            Scan saved at 22:11:24, on 2004-06-06
            Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\WINDOWS\Explorer.EXE
            C:\Program Files\Common Files\Real\Update_OB\realsched.exe
            C:\Program Files\Messenger\msmsgs.exe
            C:\Program Files\Gadu-Gadu\gg.exe
            C:\WINDOWS\System32\nvsvc32.exe
            C:\Program Files\Internet Explorer\IEXPLORE.EXE
            C:\Documents and Settings\Mariusz\Pulpit\HijackThis.exe

            R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = c:\searchpage.html
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
            69.50.191.52/3535/sp.php
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
            69.50.191.52/3535/
            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            www.wp.pl/
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
            c:\searchpage.html
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
            c:\searchpage.html
            R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
            c:\searchpage.html
            R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
            c:\searchpage.html
            R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
            69.50.191.52/3535/
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
            res://mshp.dll/sp.html#37049
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
            res://mshp.dll/index.html#37049
            R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
            res://mshp.dll/sp.html#37049
            R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
            c:\searchpage.html
            R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
            69.50.191.52/3535/sp.php
            R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
            bestsearch.cc/3535/search.php?qq=
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP =
            riviera.cc (obfuscated)
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            R1 - HKCU\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html
            R1 - HKLM\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html
            O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
            Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
            O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program
            Files\Submit\submithook.dll
            O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\Documents and
            Settings\Mariusz\Dane aplikacji\iefeatsl\iefeatsl.dll
            O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} -
            C:\Documents and Settings\Mariusz\Dane aplikacji\iefeatsl\mssearch.dll
            O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Documents and
            Settings\Mariusz\Dane aplikacji\iefeatsl\msiesh.dll
            O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} -
            C:\WINDOWS\System32\mshelper.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWS\system32\msdxm.ocx
            O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
            O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
            \NvCpl.dll,NvStartup
            O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
            O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
            Files\Real\Update_OB\realsched.exe" -osboot
            O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
            O4 - HKLM\..\Run: [sys] regedit -s sysdllwm.reg
            O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install
            O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
            O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
            O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
            O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
            Office\Office\OSA9.EXE
            O9 - Extra button: Messenger (HKLM)
            O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
            O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll
            O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
            O13 - DefaultPrefix: c:\searchpage.html?page=
            O13 - WWW Prefix: c:\searchpage.html?page=
            O13 - Home Prefix: c:\searchpage.html?page=
            O13 - Mosaic Prefix: c:\searchpage.html?page=
            O16 - DPF: BSK Online - ssl.bsk.com.pl/component/BSKOnl.cab
            O16 - DPF: {11111111-1111-1111-1111-112001276296} -
            mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe
            O16 - DPF: {11111111-1111-1111-1111-115859695328} -
            mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f10213.exe
            O16 - DPF: {11111111-1111-1111-1111-116005774593} -
            mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe
            O16 - DPF: {11111111-1111-1111-1111-117260345713} -
            mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe
            O16 - DPF: {11111111-1111-1111-1111-118747617882} -
            mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe
            O16 - DPF: {11111111-1111-1111-1111-119477402574} -
            mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe
            O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
            www.bph.pl/pi/components/SignActivX.cab
            O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
            www.pandasoftware.es/activescan/as/asinst.cab
            O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
            v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37971.3912152778
            O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
            download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            skaner.mks.com.pl/SkanerOnline.cab
            O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
            O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

            • netsec Re: Problem z usunięciem trojanów 06.06.04, 22:44
              Włącz zaporę Internetową
              http://www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx

              Uruchom komputer ponownie.

              Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje:

              R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = c:\searchpage.html
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
              69.50.191.52/3535/sp.php
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
              69.50.191.52/3535/
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
              c:\searchpage.html
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
              c:\searchpage.html
              R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
              c:\searchpage.html
              R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
              c:\searchpage.html
              R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
              69.50.191.52/3535/
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
              res://mshp.dll/sp.html#37049
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
              res://mshp.dll/index.html#37049
              R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
              res://mshp.dll/sp.html#37049
              R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
              c:\searchpage.html
              R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
              69.50.191.52/3535/sp.php
              R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
              bestsearch.cc/3535/search.php?qq=
              R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP =
              riviera.cc (obfuscated)
              R1 - HKCU\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html
              R1 - HKLM\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html
              O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program
              Files\Submit\submithook.dll
              O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\Documents and
              Settings\Mariusz\Dane aplikacji\iefeatsl\iefeatsl.dll
              O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} -
              C:\Documents and Settings\Mariusz\Dane aplikacji\iefeatsl\mssearch.dll
              O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Documents and
              Settings\Mariusz\Dane aplikacji\iefeatsl\msiesh.dll
              O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} -
              C:\WINDOWS\System32\mshelper.dll
              O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
              O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
              Files\Real\Update_OB\realsched.exe" -osboot
              O4 - HKLM\..\Run: [sys] regedit -s sysdllwm.reg
              O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install
              O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install
              O13 - DefaultPrefix: c:\searchpage.html?page=
              O13 - WWW Prefix: c:\searchpage.html?page=
              O13 - Home Prefix: c:\searchpage.html?page=
              O13 - Mosaic Prefix: c:\searchpage.html?page=
              O16 - DPF: BSK Online - ssl.bsk.com.pl/component/BSKOnl.cab
              O16 - DPF: {11111111-1111-1111-1111-112001276296} -
              mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe
              O16 - DPF: {11111111-1111-1111-1111-115859695328} -
              mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f10213.exe
              O16 - DPF: {11111111-1111-1111-1111-116005774593} -
              mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe
              O16 - DPF: {11111111-1111-1111-1111-117260345713} -
              mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe
              O16 - DPF: {11111111-1111-1111-1111-118747617882} -
              mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe
              O16 - DPF: {11111111-1111-1111-1111-119477402574} -
              mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe
              O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
              O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)

              Po zaznaczeniu wykonaj FIX CHECKED i OK.

              W Opcjach Internetowych usuń Tymczasowe pliki Internetowe
              (Wszystkie) i Cooki.

              Ściągnij ten wpis do rejestru
              http://www.spywareinfo.com/downloads/tools/IEFIX.reg
              Uruchom klikając,i zaakceptuj wpis.

              Ściągnij CWShredder http://209.133.47.12/~merijn/files/CWShredder.exe
              Uruchom i wykonaj Fix. Przed wykonaniem FIX zamknij wszystkie okna
              Internet Explorera, a w trakcie FIX zawsze odpowiadaj OK.

              Z menu START wybierz Uruchom wpisz %TEMP% i wykasuj wszystkie pliki
              które można skasować. Upewnij się przed tym, że masz w Opcjach folderów
              zakładka Widok zaznaczone Pokaż ukryte pliki i foldery.

              Uruchom komputer ponownie

              Skasuj plik C:\searchpage.html

              Zainstaluj te poprawki:

              http://download.microsoft.com/download/3/b/0/3b0062ab-3627-498d-b05e-
              04a5b56eaf82/WindowsXP-KB835732-x86-PLK.EXE

              http://download.microsoft.com/download/4/8/0/4801e427-5d62-4bbb-9d94-
              d4c80fbca744/WindowsXP-KB828741-x86-PLK.EXE

              http://download.microsoft.com/download/f/f/3/ff39c62a-6903-4393-baa5-
              ce95f6ee846f/OE6.0sp1-KB837009-x86-PLK.exe

              http://download.microsoft.com/download/6/a/3/6a370b8e-1d81-4b7c-a666-
              7e0c85d2cc1a/WindowsXP-KB837001-x86-PLK.EXE

              http://download.microsoft.com/download/c/d/3/cd37ab56-fde6-4f25-ac22-
              02329044acee/WindowsXP-KB840374-x86-PLK.EXE

              Odinstaluj w Panelu sterowania Dodaj/Usuń programy wszystkie
              programy, co do których nie masz pewności, że Ci są potrzebne.

              Uruchom komputer ponownie

              Zainstaluj program antywirusowy AVAST4 Home.
              Jest to bezpłatny program antywirusowy po polsku.
              Wersję polską możesz ściągnąć stąd http://www.avast.com/i_idt_1016.html
              Przed instalacją zarejestruj się tu http://www.avast.com/i_kat_207.php?lang=ENG
              Dzięki rejestracji otrzymasz mailem klucz rejestracyjny,
              który umożliwi przez rok bezpłatną aktualizacje bazy wirusów.

              Przeskanuj Avastem wszystkie dyski.

              Dodatkowo przeskanuj system Ad-aware.
              Jeśli nie masz Ad-aware to jest tu
              http://download.com.com/3000-2144-10045910.html?
              part=69274&subj=dlpage&tag=button
              Przed skanowaniem Ad-aware zaktualizuj bazę (Check for updates now)
              i zmień ustawienia skanowania na opisane tu
              http://ralphcaddell.com/pchelp/Ad-aware%20instructions.htm

              Napisz jak poszło

              --
              Nadmiar zaufania jest głupotą, nadmiar nieufności nieszczęściem.

              Net

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka