trojanproxy.raznew.gen i trojan.startpage.yudf

[Gość: maro]

MKS wykrył trojan.trojanproxy.raznew.gen w c:\windows\wininet32.exe i
trojan.startpage.yudf w c:\windows\system32\chp.dll . z góry dziękuję za
pomoc
Logfile of HijackThis v1.97.7
Scan saved at 09:58:43, on 2004-07-09
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\wininet32.exe
C:\Program Files\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\sciagniete\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = easy-
search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = easy-
search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = easy-
search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOCUME~1\Mareczek\USTAWI~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = easy-
search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = easy-
search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = easy-
search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = local
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {948DB353-7D51-4EF3-BF16-BB641F51A06F} -
C:\WINDOWS\System32\chp.dll
O2 - BHO: (no name) - {BA6E39F5-CCF1-4ABF-B623-845CA3F7E275} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002
\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002
\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002
\Pop3trap.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRA~1\GADU-G~1\gg.exe" /tray
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab

[waldiwtorek]

Prawdę mówiąc ten startpage yudf i mnie narobił strasznego bałaganu
i w zasadzie przez niego do dziś system nie działa mi tak jak dawniej

[Gość: maro]

czy jest ktoś kto uchroni mnie przed format c.

[netsec]

Gość portalu: maro napisał(a):

> MKS wykrył trojan.trojanproxy.raznew.gen w c:\windows\wininet32.exe i
> trojan.startpage.yudf w c:\windows\system32\chp.dll . z góry dziękuję za
> pomoc
> Logfile of HijackThis v1.97.7
> Scan saved at 09:58:43, on 2004-07-09
> Platform: Windows XP (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
połączenia do Internetu. Tu jest opis jak to wykonać
www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
Wyłącz przywracanie systemu (tylko XP i Me)
support.microsoft.com/default.aspx?scid=kb;pl;310405
W Panelu Sterowania => Opcje Internetowe => Tymczasowe pliki Internetowe
Usuń pliki(zaznacz całość off line) i Usuń pliki cooki.

Zamknij wszystkie okna przeglądarki Internet Exploreri Uruchom ponownie HijackTHis.Wykonaj SCAN i zaznacz dokładnie te pozycje:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = easy-
search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = easy-
search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = easy-
search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOCUME~1\Mareczek\USTAWI~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = easy-
search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = easy-
search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = easy-
search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = local
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {948DB353-7D51-4EF3-BF16-BB641F51A06F} -
C:\WINDOWS\System32\chp.dll
O2 - BHO: (no name) - {BA6E39F5-CCF1-4ABF-B623-845CA3F7E275} - (no file)
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe


Po zaznaczeniu wykonaj FIX CHECKED i OK.

Uruchom komputer ponownie.

Ściągnij ten wpis do rejestru
209.133.47.12/downloads/tools/IEFIX.reg
Uruchom klikając i zaakceptuj wpis.

Ściągnij najnowszy CwShedder 209.133.47.12/~merijn/files/CWShredder.exe
Zamknij wszystkie okna Internet Explorer'a.
Uruchom CWShredder i wykonaj FIX.

Z menu START wybierz Uruchom wpisz %TEMP% i kliknij OK.
W oknie które się pojawi skasuj wszystkie pliki które można skasować.
Upewnij się przed tym, że masz w Panelu Sterownia => Opcje folderów
zakładka Widok zaznaczone Pokaż ukryte pliki i foldery.

Przeskanuj system Ad-aware z opcjami opisanymi tu
ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
Odinstaluj PC-cillin 2002 i zainstaluj program antywirusowy do domowego użytku.
AVAST4 Home.Jest to bezpłatny program antywirusowy po polsku.
Wersję polską możesz ściągnąć stąd www.avast.com/i_idt_1016.html

Przed instalacją AVAST'a zarejestruj się tu
www.avast.com/i_kat_207.php?lang=ENG
Dzięki rejestracji, otrzymasz mailem klucz rejestracyjny, umożliwiający
przez rok bezpłatną aktualizacje bazy wirusów.

Po instalacji AVAST'a przeskanuj wszystkie dyski.

Przed samym skanowaniem AVAST'em należy uruchomić komputer w trybie
awaryjnym support.microsoft.com/default.aspx?scid=kb;PL;315222

Zainstaluj Service pack 1 dla Windows XP
www.microsoft.com/windowsxp/shared/results.aspx?s=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2F8%2F1%2F4%2F814a9d5f-54e0-43ee-b1b5-5509101f3e7b%2Fxpsp1a_pl_x86.exe
i Internet Explorer 6.0 SP1
www.microsoft.com/downloads/details.aspx?displaylang=pl&FamilyID=1e1550cb-5e5d-48f5-b02b-20b602228de6
Po tym połącz się www.windowsupdate.com i zaktualizuj system o wszystkie krytyczne poprawki.Tutaj masz więcej na ten temat
www.microsoft.com/poland/security/protect/windowsxp/updates.aspx
Po wszystkim wklej nowego loga z HiJack, ale wykonany najnowaszą wersją HiJack 1.98 209.133.47.200/~merijn/files/HijackThis.exe