pomocy trojany

[Gość: reno]

MKS wykrył trojan.wintrim.magen w c:\windows\mslagent\2_mslagent.dll i w
c:\windows\mslagent\42_1,0,2,6mslagent.dll oraz trojanstartpage.yudf w
c:\windows\system\hie.dll
Logfile of HijackThis v1.98.0
Scan saved at 12:21:22, on 2004-07-09
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\mslagent\mslagent.exe
C:\Program Files\ScannerU\AM32.exe
C:\Program Files\ScannerU\TBridge\Ereg\REMIND32.EXE
C:\WINDOWS\system32\rundll32.exe
E:\Tlen_pliki\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = nkvd.us
(obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
solongas.com/sp.htm?id=632
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = nkvd.us
(obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
nkvd.us (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
nkvd.us (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
file://C:\DOCUME~1\a\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
file://C:\DOCUME~1\a\USTAWI~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
file://C:\DOCUME~1\a\USTAWI~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
file://C:\DOCUME~1\a\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOCUME~1\a\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
nkvd.us (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOCUME~1\a\USTAWI~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
find4u.net/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =
c:\searchpage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} -
C:\WINDOWS\System32\5rr4kg5yf4c.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [InstantAccess] C:\Program
Files\ScannerP\TBRIDGE\BIN\InstantAccess.exe /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\Program
Files\ScannerP\TBRIDGE\BIN\RegisterDropHandler.exe
O4 - HKLM\..\Run: [Iesearch.exe] C:\Program Files\Internet
Explorer\Iesearch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Program
Files\ScannerP\TBRIDGE\BIN\RegisterDropHandler.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Program
Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [x-access] C:\Program Files\X-Access\x-access.001.exe s
O4 - HKCU\..\Run: [Instant Access] rundll32.exe
p2esocks_1017.dll,InstantAccess
O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe
O4 - Startup: Power Project.lnk = C:\Program Files\Gadu-Gadu\PowerGG.exe
O4 - Startup: reminder-ScanSoft Product Registration.lnk = C:\Program
Files\ScannerU\TBridge\Ereg\REMIND32.EXE
O4 - Global Startup: Action Manager 32.lnk = C:\Program
Files\ScannerU\AM32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program
Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a -
C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O13 - DefaultPrefix: %6E%6B%76%64%2E%75%73/
O13 - WWW Prefix: %6E%6B%76%64%2E%75%73/
O13 - Home Prefix: %6E%6B%76%64%2E%75%73/
O13 - Mosaic Prefix: %6E%6B%76%64%2E%75%73/
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) -
akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1017_EN_XP.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program
Files\Internet Explorer\hwuoripo.exe
O16 - DPF: {5F874A6F-8B34-433D-BA4B-47AC91C0567F} (MailCfg Control) -
poczta.wp.pl/autoryzacja/mailcfg2.ocx
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} -
www.netvenda.com/sites/games-intl/pl/games4.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -
www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9E1089BC-1AE8-4685-8D77-6721E5C318A8} -
217.73.66.16/comload.dll
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - www.mt-
download.com/MediaTicketsInstaller.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CFAF1C6-6BED-41CE-BB1A-
2496CF93C8EE}: NameServer = 193.121.171.135,193.74.208.135
O17 - HKLM\System\CS1\Services\Tcpip\..\{7CFAF1C6-6BED-41CE-BB1A-
2496CF93C8EE}: NameServer = 193.121.171.135,193.74.208.135
O17 - HKLM\System\CS2\Services\Tcpip\..\{7CFAF1C6-6BED-41CE-BB1A-
2496CF93C8EE}: NameServer = 193.121.171.135,193.74.208.135
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)
O18 - Filter: text/html - {B205835C-7050-448C-B67A-5CBFFCE22510} -
C:\WINDOWS\System32\hie.dll
O18 - Filter: text/plain - {B205835C-7050-448C-B67A-5CBFFCE22510} -
C:\WINDOWS\System32\hie.dll

[kalinowski11]

Witam , najpierw zajrzyj tutaj :

www.windowsupdate.com/
Póżniej spróbuj tego :

Program do likwidowania wrednych stron startowych IE .

www.spychecker.com/program/coolwebshredder.html
dobreprogramy.pl/index.php?dz=2&t=55&id=657&t=55
1. Ściągnij , zainstaluj , uruchom .
2. Kliknij "Fix"
3. Program spyta czy masz zamknięte przeglądarki , kliknij ok.
4. Na ewentualne następne pytania zawsze ok.
5. Jeżeli nie masz aktualnej wersji przed "Fix" kliknij "Check for
update"
6. Kliknij "Download and open the update"
7. Uruchom ściągniętą wersję.
8. Dalej punkty 2,3,4

------------------------------------------------------------------

Ad-aware , znajduje i likwiduje różne paskudztwa .

download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=buton
dobreprogramy.pl/index.php?dz=2&t=39&id=151&t=39
Przed pierwszym użyciem ustaw Ad-aware w sposób pokazany tutaj :

ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
1. Ściągnij , zainstaluj , uruchom .
2. "sprawdż uaktualnienie"
3. "połącz"
4. po wczytaniu ewentualnych aktualizacji "zakończ"
5. "uruchom"
6. "dalej"
7. po skanowaniu "zakończ" , lub "dalej" jeżeli program coś
znajdzie .
8. zaznacz znalezione "pozycje"
9. "dalej"
10.program spyta , czy usunąć zaznaczone obiekty - "tak" .

------------------------------------------------------------------

Spy-bot , jak wyżej .

download.com.com/3000-8022-10194058.html?tag=lst-0-2
dobreprogramy.pl/index.php?dz=2&t=55&id=188&t=55
1. Ściągnij , zainstaluj , uruchom .
2. "Aktualizacja" .
3. "Znajdż i zniszcz" .
4. Pewnie sporo znajdzie .
5. "Znalezione" program odznaczy na zielono i czerwono . Czerwone
to "szpicle" , wywalamy . Zielone mogą zostać .
6. Czerwone zaznaczamy i klikamy "Napraw znalezione problemy" .

[kalinowski11]

Do usunięcia :

> R1 - HKCU\Software\Microsoft\Internet Explorer,Search = nkvd.us
> (obfuscated)
> R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
> solongas.com/sp.htm?id=632
> R1 - HKLM\Software\Microsoft\Internet Explorer,Search = nkvd.us
> (obfuscated)
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
> nkvd.us (obfuscated)
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
> nkvd.us (obfuscated)
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
> file://C:\DOCUME~1\a\USTAWI~1\Temp\sp.html
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
> file://C:\DOCUME~1\a\USTAWI~1\Temp\sp.html
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
> file://C:\DOCUME~1\a\USTAWI~1\Temp\sp.html
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
> file://C:\DOCUME~1\a\USTAWI~1\Temp\sp.html
> R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
> file://C:\DOCUME~1\a\USTAWI~1\Temp\sp.html
> R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
> nkvd.us (obfuscated)
> R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
> file://C:\DOCUME~1\a\USTAWI~1\Temp\sp.html
> R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
> find4u.net/index.htm
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =
> c:\searchpage.html
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
> R3 - Default URLSearchHook is missing
> O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} -
> C:\WINDOWS\System32\5rr4kg5yf4c.dll
> O13 - DefaultPrefix: %6E%6B%76%64%2E%75%73/
> O13 - WWW Prefix: %6E%6B%76%64%2E%75%73/
> O13 - Home Prefix: %6E%6B%76%64%2E%75%73/
> O13 - Mosaic Prefix: %6E%6B%76%64%2E%75%73/
> O15 - Trusted Zone: *.greg-search.com
> O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program
> Files\Internet Explorer\hwuoripo.exe
> O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
> O4 - HKCU\..\Run: [Instant Access] rundll32.exe
> p2esocks_1017.dll,InstantAccess
> O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe

Ja znalazłem tyle , netsec pewnikiem jeszcze coś wynajdzie :)

Pozdrawiam .

[netsec]

Gość portalu: reno napisał(a):

> MKS wykrył trojan.wintrim.magen w c:\windows\mslagent\2_mslagent.dll i w
> c:\windows\mslagent\42_1,0,2,6mslagent.dll oraz trojanstartpage.yudf w
> c:\windows\system\hie.dll
> Logfile of HijackThis v1.98.0
> Scan saved at 12:21:22, on 2004-07-09
> Platform: Windows XP (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Prócz tego co podał Kalinowski wykonaj to:

Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
połączenia do Internetu. Tu jest opis jak to wykonać
www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
Wyłącz przywracanie systemu (tylko XP i Me)
support.microsoft.com/default.aspx?scid=kb;pl;310405
Wersja dla blondynek
vil.nai.com/vil/SystemHelpDocs/DisableSysRestore.htm
Uruchom komputer

Zamknij wszystkie okna Internet Explorera.
Uruchom ponownie HijackTHis, wykonaj SCAN i zaznacz dokładnie te pozycje:

O4 - HKLM\..\Run: [InstantAccess] C:\Program
Files\ScannerP\TBRIDGE\BIN\InstantAccess.exe /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\Program
Files\ScannerP\TBRIDGE\BIN\RegisterDropHandler.exe
O4 - HKLM\..\Run: [Iesearch.exe] C:\Program Files\Internet
Explorer\Iesearch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\Program
Files\ScannerP\TBRIDGE\BIN\RegisterDropHandler.exe
O4 - HKCU\..\Run: [SpyKiller] C:\Program
Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [x-access] C:\Program Files\X-Access\x-access.001.exe s
O4 - HKCU\..\Run: [Instant Access] rundll32.exe
p2esocks_1017.dll,InstantAccess
O4 - Startup: reminder-ScanSoft Product Registration.lnk = C:\Program
Files\ScannerU\TBridge\Ereg\REMIND32.EXE
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) -
akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1017_EN_XP.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -
www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9E1089BC-1AE8-4685-8D77-6721E5C318A8} -
217.73.66.16/comload.dll
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - www.mt-
download.com/MediaTicketsInstaller.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)
O18 - Filter: text/html - {B205835C-7050-448C-B67A-5CBFFCE22510} -
C:\WINDOWS\System32\hie.dll
O18 - Filter: text/plain - {B205835C-7050-448C-B67A-5CBFFCE22510} -
C:\WINDOWS\System32\hie.dll

Uruchom komputer ponownie.

Znajdź plik w C:\WINDOWS\System32\ hie.dll i usuń.

W Panelu Sterowania => Opcje Internetowe => Tymczasowe pliki Internetowe
Usuń pliki(zaznacz całość off line) i Usuń pliki cooki.

Ściągnij ten wpis do rejestru
209.133.47.12/downloads/tools/IEFIX.reg
Uruchom klikając,i zaakceptuj wpis.

Ściągnij najnowszy CwShedder 209.133.47.12/~merijn/files/CWShredder.exe
Zamknij wszystkie okna Internet Explorer'a uruchom CWShredder i Wykonaj FIX.

Dodatkowo przeskanuj system Ad-aware 6.181
z ustawieniami opisanymi tu
ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
Zainstaluj program antywirusowy do domowego użytku AVAST4 Home.
Jest to bezpłatny program antywirusowy po polsku.

Wersję polską możesz ściągnąć stąd:
www.avast.com/i_idt_1016.html
Przed instalacją zarejestruj się tu:
www.avast.com/i_kat_207.php?lang=ENG
Dzięki rejestracji otrzymasz mailem klucz rejestracyjny,
który umożliwi przez rok bezpłatną aktualizacje bazy wirusów.

Przeskanuj AVAST'em wszystkie dyski.
Przed tym uruchom komputer w trybie awaryjnym
Opis jak to zrobić support.microsoft.com/default.aspx?scid=KB;PL;315222

Po przeskanowaniu uruchom komputer w normalny sposób.

Zainstaluj Service pack 1 dla Windows XP
www.microsoft.com/windowsxp/shared/results.aspx?s=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2F8%2F1%2F4%2F814a9d5f-54e0-43ee-b1b5-
5509101f3e7b%2Fxpsp1a_pl_x86.exe

i Internet Explorer 6.0 SP1
www.microsoft.com/downloads/details.aspx?displaylang=pl&FamilyID=1e1550cb-5e5d-48f5-b02b-20b602228de6

Po tym połącz się www.windowsupdate.com i zaktualizuj system o wszystkie
krytyczne poprawki.Tutaj masz więcej na ten temat
www.microsoft.com/poland/security/protect/windowsxp/updates.aspx