Gość: Mariusz IP: *.olsztyn.mm.pl 06.06.04, 14:47 Proszę o pomoc w usunieciu 4 trojanów: Trojan.Dropper.Small.Gf, Trojan.Trojandownloader.Wintrim.Be, Trojan.Downloader.Winshow.Shp, Trojan.Starpage.Itho Odpowiedz Link Zgłoś czytaj wygodnie posty
netsec Re: Problem z usunięciem trojanów 06.06.04, 15:16 Gość portalu: Mariusz napisał(a): > Proszę o pomoc w usunieciu 4 trojanów: Trojan.Dropper.Small.Gf, > Trojan.Trojandownloader.Wintrim.Be, Trojan.Downloader.Winshow.Shp, > Trojan.Starpage.Itho MKS? Odpowiedz Link Zgłoś
Gość: Mariusz Re: Problem z usunięciem trojanów IP: *.olsztyn.mm.pl 06.06.04, 19:03 W tym problem, że mks ich nie usuwa Odpowiedz Link Zgłoś
netsec Re: Problem z usunięciem trojanów 06.06.04, 20:33 Gość portalu: Mariusz napisał(a): > W tym problem, że mks ich nie usuwa Zmień ustawiania IE na opisane tu forum.gazeta.pl/forum/72,2.html?f=430&w=13121305 Otwórz Internet Explorer a po tym zamknij i uruchom komputer ponownie. Po tym sprawdź czy trojany "zniknęły". Jeśli to nie pomoże to Ściągnij HijackThis 209.133.47.12/~merijn/files/HijackThis.exe Wykonaj Scan i po tym Save Log. Zawartość pliku z save log wklej na forum, zobaczymy co się tam dzieje. Odpowiedz Link Zgłoś
Gość: Mariusz Re: Problem z usunięciem trojanów IP: *.olsztyn.mm.pl 06.06.04, 22:30 Niestety nic z tego. W załączeniu raport ze scana. Logfile of HijackThis v1.97.7 Scan saved at 22:11:24, on 2004-06-06 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\Mariusz\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = c:\searchpage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = 69.50.191.52/3535/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = 69.50.191.52/3535/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\searchpage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = c:\searchpage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = c:\searchpage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = c:\searchpage.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 69.50.191.52/3535/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = c:\searchpage.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 69.50.191.52/3535/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = bestsearch.cc/3535/search.php?qq= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = riviera.cc (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R1 - HKCU\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html R1 - HKLM\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\Documents and Settings\Mariusz\Dane aplikacji\iefeatsl\iefeatsl.dll O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Documents and Settings\Mariusz\Dane aplikacji\iefeatsl\mssearch.dll O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Documents and Settings\Mariusz\Dane aplikacji\iefeatsl\msiesh.dll O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - C:\WINDOWS\System32\mshelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32 \NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [sys] regedit -s sysdllwm.reg O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O12 - Plugin for .mov: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O13 - DefaultPrefix: c:\searchpage.html?page= O13 - WWW Prefix: c:\searchpage.html?page= O13 - Home Prefix: c:\searchpage.html?page= O13 - Mosaic Prefix: c:\searchpage.html?page= O16 - DPF: BSK Online - ssl.bsk.com.pl/component/BSKOnl.cab O16 - DPF: {11111111-1111-1111-1111-112001276296} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe O16 - DPF: {11111111-1111-1111-1111-115859695328} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f10213.exe O16 - DPF: {11111111-1111-1111-1111-116005774593} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe O16 - DPF: {11111111-1111-1111-1111-117260345713} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe O16 - DPF: {11111111-1111-1111-1111-118747617882} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe O16 - DPF: {11111111-1111-1111-1111-119477402574} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - www.bph.pl/pi/components/SignActivX.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - www.pandasoftware.es/activescan/as/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37971.3912152778 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab O19 - User stylesheet: C:\WINDOWS\Web\tips.ini O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM) Odpowiedz Link Zgłoś
netsec Re: Problem z usunięciem trojanów 06.06.04, 22:44 Włącz zaporę Internetową http://www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx Uruchom komputer ponownie. Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = c:\searchpage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = 69.50.191.52/3535/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = 69.50.191.52/3535/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\searchpage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = c:\searchpage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = c:\searchpage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = c:\searchpage.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 69.50.191.52/3535/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = c:\searchpage.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 69.50.191.52/3535/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = bestsearch.cc/3535/search.php?qq= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = riviera.cc (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html R1 - HKLM\Software\Microsoft\Internet Explorer,Search = c:\searchpage.html O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\Documents and Settings\Mariusz\Dane aplikacji\iefeatsl\iefeatsl.dll O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Documents and Settings\Mariusz\Dane aplikacji\iefeatsl\mssearch.dll O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Documents and Settings\Mariusz\Dane aplikacji\iefeatsl\msiesh.dll O2 - BHO: OsbornTech Popup Blocker - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - C:\WINDOWS\System32\mshelper.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [sys] regedit -s sysdllwm.reg O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\image.dll,Install O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\image.dll,Install O13 - DefaultPrefix: c:\searchpage.html?page= O13 - WWW Prefix: c:\searchpage.html?page= O13 - Home Prefix: c:\searchpage.html?page= O13 - Mosaic Prefix: c:\searchpage.html?page= O16 - DPF: BSK Online - ssl.bsk.com.pl/component/BSKOnl.cab O16 - DPF: {11111111-1111-1111-1111-112001276296} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe O16 - DPF: {11111111-1111-1111-1111-115859695328} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f10213.exe O16 - DPF: {11111111-1111-1111-1111-116005774593} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe O16 - DPF: {11111111-1111-1111-1111-117260345713} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe O16 - DPF: {11111111-1111-1111-1111-118747617882} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe O16 - DPF: {11111111-1111-1111-1111-119477402574} - mhtml:file://C:NO_SUCH_MHT.MHT!http://www.008k.com/partner/inst/f22776.exe O19 - User stylesheet: C:\WINDOWS\Web\tips.ini O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM) Po zaznaczeniu wykonaj FIX CHECKED i OK. W Opcjach Internetowych usuń Tymczasowe pliki Internetowe (Wszystkie) i Cooki. Ściągnij ten wpis do rejestru http://www.spywareinfo.com/downloads/tools/IEFIX.reg Uruchom klikając,i zaakceptuj wpis. Ściągnij CWShredder http://209.133.47.12/~merijn/files/CWShredder.exe Uruchom i wykonaj Fix. Przed wykonaniem FIX zamknij wszystkie okna Internet Explorera, a w trakcie FIX zawsze odpowiadaj OK. Z menu START wybierz Uruchom wpisz %TEMP% i wykasuj wszystkie pliki które można skasować. Upewnij się przed tym, że masz w Opcjach folderów zakładka Widok zaznaczone Pokaż ukryte pliki i foldery. Uruchom komputer ponownie Skasuj plik C:\searchpage.html Zainstaluj te poprawki: http://download.microsoft.com/download/3/b/0/3b0062ab-3627-498d-b05e- 04a5b56eaf82/WindowsXP-KB835732-x86-PLK.EXE http://download.microsoft.com/download/4/8/0/4801e427-5d62-4bbb-9d94- d4c80fbca744/WindowsXP-KB828741-x86-PLK.EXE http://download.microsoft.com/download/f/f/3/ff39c62a-6903-4393-baa5- ce95f6ee846f/OE6.0sp1-KB837009-x86-PLK.exe http://download.microsoft.com/download/6/a/3/6a370b8e-1d81-4b7c-a666- 7e0c85d2cc1a/WindowsXP-KB837001-x86-PLK.EXE http://download.microsoft.com/download/c/d/3/cd37ab56-fde6-4f25-ac22- 02329044acee/WindowsXP-KB840374-x86-PLK.EXE Odinstaluj w Panelu sterowania Dodaj/Usuń programy wszystkie programy, co do których nie masz pewności, że Ci są potrzebne. Uruchom komputer ponownie Zainstaluj program antywirusowy AVAST4 Home. Jest to bezpłatny program antywirusowy po polsku. Wersję polską możesz ściągnąć stąd http://www.avast.com/i_idt_1016.html Przed instalacją zarejestruj się tu http://www.avast.com/i_kat_207.php?lang=ENG Dzięki rejestracji otrzymasz mailem klucz rejestracyjny, który umożliwi przez rok bezpłatną aktualizacje bazy wirusów. Przeskanuj Avastem wszystkie dyski. Dodatkowo przeskanuj system Ad-aware. Jeśli nie masz Ad-aware to jest tu http://download.com.com/3000-2144-10045910.html? part=69274&subj=dlpage&tag=button Przed skanowaniem Ad-aware zaktualizuj bazę (Check for updates now) i zmień ustawienia skanowania na opisane tu http://ralphcaddell.com/pchelp/Ad-aware%20instructions.htm Napisz jak poszło Odpowiedz Link Zgłoś
Gość: Mariusz Re: Problem z usunięciem trojanów IP: *.olsztyn.mm.pl 07.06.04, 21:50 Dzięki serdeczne za pomoc. Zrobiłem wszystko wg instrukcji i na razie jest ok.Jakby coś dam znać. Odpowiedz Link Zgłoś
Gość: Mariusz Re: Problem z usunięciem trojanów IP: *.olsztyn.mm.pl 07.06.04, 21:53 Aha.Pozdrowienia od małżonki. Odpowiedz Link Zgłoś