Trojan na przeglądarce

[Gość: Magda]

Podłaczyłam się wczoraj do sieci, po kilku miesiącach i mam wstrętnego
wirusa. Nigdy wcześniej nie miałam wirusów, więc proszę o pomoc. Przeglądarkę
szlag trafił, uruchomiłam nową (MSN) ściągnęłam MKS ale nie potrafię wywalić
tego trojana. Proszę pomóżcie !!!!!

[amj77]

Gość portalu: Magda napisał(a):

> Podłaczyłam się wczoraj do sieci, po kilku miesiącach i mam wstrętnego
> wirusa. Nigdy wcześniej nie miałam wirusów, więc proszę o pomoc. Przeglądarkę
> szlag trafił, uruchomiłam nową (MSN) ściągnęłam MKS ale nie potrafię wywalić
> tego trojana. Proszę pomóżcie !!!!!


No więc tak. Analizują różne posty, radzę postąpić następująco:

1. Ściągnij Ad-Aware : www.download.com/3000-2144-10045910.html?
part=69274&subj=dlpage&tag=button

Ustaw program tak jak jest napisane tu:
ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
Przeskanuj system.

2. Ściągnij CwShedder 209.133.47.12/~merijn/files/CWShredder.exe
Uruchom go (zamknięte okna przeglądarki), wykonaj FIX

3. "Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
połączenia do Internetu. Tu jest opis jak to wykonać
www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
Wyłącz przywracanie systemu (tylko XP i Me)
support.microsoft.com/default.aspx?scid=kb;pl;310405
W Panelu Sterowania => Opcje Internetowe => Tymczasowe pliki Internetowe
Usuń pliki(zaznacz całość off line) i Usuń pliki cooki.

Z menu START wybierz Uruchom wpisz %TEMP% i kliknij OK.
W oknie które się pojawi skasuj wszystkie pliki które można skasować.
Upewnij się przed tym, że masz w Panelu Sterownia => Opcje folderów
zakładka Widok zaznaczone Pokaż ukryte pliki i foldery.

Uruchom komputer ponownie". (netsec)

4. Ściągnij darmowy program antywirusowy AVAST
www.avast.com/i_idt_1016.html
Musisz się najpierw zarejestrować tu:

www.avast.com/i_kat_207.php?lang=ENG
5. Przeskanuj system tym programem.

6. Zaktualizuj Windows!!!! Tu tkwi Twój problem!!!

7. Jak to WSZYSTKO zrobisz ściągnij najnowszą wersję HijackThis:
209.133.47.12/~merijn/files/HijackThis.exe
jeśli się nie otworzy to tu:
209.133.47.200/~merijn/files/HijackThis.exe
Zrób scan, save log i log wklej na forum - ktoś na niego popatrzy i powie co
dalej.

Ale najpierw wykonaj punkty 1-6!!!

Powodzenia :-)

[anka2413]

Ja ostatnio miałam trojan.spooner.f, który ewidentnie buszował w przeglądarce.
Ktoś mi go usuną, niestety nie wiem jak bo mnie przy tym nie byłam ale tu
podano mi pewien sposób - spróbuj może poskutkuje, ja nie miałam okazji
wypróbować. forum.gazeta.pl/forum/72,2.html?f=430&w=14061311&a=14082340

pozdrawiam

[Gość: Magda]

Trojan nazywa się : Win32:Blaster6-unp(wrn) lub Trojan.Downloader.Feat lub są
to dwa różne ; umiejscowiony jest w C:\WINDOWS\system32|tjd.dat, więc pewnie go
sama się nie pozbędę.( próbuję od trzech dni :( )

[amj77]

Gość portalu: Magda napisał(a):

> Trojan nazywa się : Win32:Blaster6-unp(wrn) lub Trojan.Downloader.Feat lub są
> to dwa różne ; umiejscowiony jest w C:\WINDOWS\system32|tjd.dat, więc pewnie
go
>
> sama się nie pozbędę.( próbuję od trzech dni :( )


czy wykonałaś punkty 1-6 powyżej???? Jeśli tego nie zrobisz, to nikt Ci inaczej
nie pomoże!! Potem wklej log Z HijackThis (punkt 7)!!!

[Gość: Magda]

Wykonałam 3 razy bardzo starannie. Skaner nie może usunąć tego wirusa.
Próbowałam nawet usunąć cały system 32 ale nie można

[Gość: Magda]

tzn nie wiem czy to zrobiłam, bo nie wiem jak :

"Ustaw program tak jak jest napisane tu:
ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
Przeskanuj system.

[amj77]

Gość portalu: Magda napisał(a):

> tzn nie wiem czy to zrobiłam, bo nie wiem jak :
>
> "Ustaw program tak jak jest napisane tu:
> ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
> Przeskanuj system.


ściągnij ten adaware i potem ustaw go tak jak jest napisane na tej stronie
ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
tam jest przecież krok po korku (z obrazkami :-) Wszystko jest wyjasnione...
Skanowanie zajmie ok 30 min. Potem ściagnij program HijackThis (punkt 7 -tam
masz linki), wykonaj scan, potem save log, skopiuj ten log i go wklej. Ale
dopiero po skanowaniu adaware.
Okej?

[Gość: Magda]

Dzięki bardzo próbuję jeszcze raz Poinformuję Cię o efektach Na razie

[amj77]

Gość portalu: Magda napisał(a):

> Dzięki bardzo próbuję jeszcze raz Poinformuję Cię o efektach Na razie


Słuchaj, jeśli rzeczywiście zrobiłas wszystko co napisałam powyżej (przede
wszystkim update windows!!!) i przeskanujesz tym adaware, to potem wklej ten
log z HijackThis. Wtedy sprawy w swoje ręce weźmie Netsec :-)

[Gość: Magda]

Nie bardzo zrozumiałam gdzie mam go wkleić ???

PS Już trochę pomogło pozbyłam jakiejś głupiej strony startowej :)

Logfile of HijackThis v1.98.0
Scan saved at 11:16:51, on 2004-07-15
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\MKS\Bin\NetMonSv.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\system32\syssl.exe
C:\WINDOWS\system32\winfw.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Documents and Settings\Dorota\Dane aplikacji\ilau.exe
C:\WINDOWS\System32\ycdcm.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\MSN\MSNCoreFiles\msn6.exe
C:\Documents and Settings\Dorota\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\upygy.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
res://upygy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
res://upygy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
res://C:\WINDOWS\upygy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\upygy.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
res://upygy.dll/index.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {4D9FC428-C242-144C-B27B-F27F0CC116BE} -
C:\WINDOWS\iete.dll
O4 - HKLM\..\Run: [winfw.exe] C:\WINDOWS\system32\winfw.exe
O4 - HKLM\..\RunOnce: [syssl.exe] C:\WINDOWS\system32\syssl.exe
O4 - HKLM\..\RunOnce: [ipza32.exe] C:\WINDOWS\ipza32.exe
O4 - HKLM\..\RunOnce: [addai32.exe] C:\WINDOWS\system32\addai32.exe
O4 - HKLM\..\RunOnce: [ietl32.exe] C:\WINDOWS\system32\ietl32.exe
O4 - HKLM\..\RunOnce: [addyv32.exe] C:\WINDOWS\addyv32.exe
O4 - HKLM\..\RunOnce: [ieov32.exe] C:\WINDOWS\system32\ieov32.exe
O4 - HKLM\..\RunOnce: [sysjm.exe] C:\WINDOWS\sysjm.exe
O4 - HKLM\..\RunOnce: [ieih32.exe] C:\WINDOWS\system32\ieih32.exe
O4 - HKLM\..\RunOnce: [crii32.exe] C:\WINDOWS\system32\crii32.exe
O4 - HKLM\..\RunOnce: [addoc32.exe] C:\WINDOWS\system32\addoc32.exe
O4 - HKLM\..\RunOnce: [appqo32.exe] C:\WINDOWS\appqo32.exe
O4 - HKLM\..\RunOnce: [cryu.exe] C:\WINDOWS\cryu.exe
O4 - HKLM\..\RunOnce: [netci32.exe] C:\WINDOWS\system32\netci32.exe
O4 - HKLM\..\RunOnce: [syslm32.exe] C:\WINDOWS\syslm32.exe
O4 - HKLM\..\RunOnce: [mfccz32.exe] C:\WINDOWS\mfccz32.exe
O4 - HKLM\..\RunOnce: [atlon32.exe] C:\WINDOWS\atlon32.exe
O4 - HKLM\..\RunOnce: [wintf.exe] C:\WINDOWS\system32\wintf.exe
O4 - HKLM\..\RunOnce: [appge.exe] C:\WINDOWS\system32\appge.exe
O4 - HKLM\..\RunOnce: [addlk32.exe] C:\WINDOWS\addlk32.exe
O4 - HKLM\..\RunOnce: [crdw32.exe] C:\WINDOWS\crdw32.exe
O4 - HKLM\..\RunOnce: [winxn.exe] C:\WINDOWS\system32\winxn.exe
O4 - HKLM\..\RunOnce: [apire32.exe] C:\WINDOWS\apire32.exe
O4 - HKLM\..\RunOnce: [javanl.exe] C:\WINDOWS\javanl.exe
O4 - HKLM\..\RunOnce: [ipea.exe] C:\WINDOWS\system32\ipea.exe
O4 - HKLM\..\RunOnce: [addkg.exe] C:\WINDOWS\addkg.exe
O4 - HKLM\..\RunOnce: [ipat.exe] C:\WINDOWS\system32\ipat.exe
O4 - HKLM\..\RunOnce: [ntnx.exe] C:\WINDOWS\system32\ntnx.exe
O4 - HKLM\..\RunOnce: [addwa32.exe] C:\WINDOWS\addwa32.exe
O4 - HKLM\..\RunOnce: [winmz32.exe] C:\WINDOWS\system32\winmz32.exe
O4 - HKLM\..\RunOnce: [d3st.exe] C:\WINDOWS\system32\d3st.exe
O4 - HKLM\..\RunOnce: [iplb32.exe] C:\WINDOWS\iplb32.exe
O4 - HKLM\..\RunOnce: [sysfj.exe] C:\WINDOWS\sysfj.exe
O4 - HKLM\..\RunOnce: [ietp.exe] C:\WINDOWS\ietp.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Tass] C:\Documents and Settings\Dorota\Dane
aplikacji\ilau.exe
O4 - HKCU\..\Run: [Hwytamwo] C:\WINDOWS\System32\ycdcm.exe
O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) -
poczta.wp.pl/autoryzacja/mailcfg.ocx
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) -
webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} -
akamai.downloadv3.com/binaries/LiveService/LiveService_5_EN_XP.cab
O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} (WebResponseAttachments
Control) - webresponse.one.microsoft.com/oas/ActiveX/FileXfer.cab
O16 - DPF: {D52D92F2-3650-439C-AA18-03EE4F6859DE} -
dialer.dialerxp.com/getdialer/144.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{18093BB3-89D4-4E1D-85DA-9E0AF2157CAA}:
NameServer = 217.8.168.244
O17 - HKLM\System\CS2\Services\Tcpip\..\{18093BB3-89D4-4E1D-85DA-9E0AF2157CAA}:
NameServer = 217.8.168.244
O17 - HKLM\System\CS3\Services\Tcpip\..\{18093BB3-89D4-4E1D-85DA-9E0AF2157CAA}:
NameServer = 217.8.168.244

[netsec]

Gość portalu: Magda napisał(a):

> Nie bardzo zrozumiałam gdzie mam go wkleić ???
>
> PS Już trochę pomogło pozbyłam jakiejś głupiej strony startowej :)
>
> Logfile of HijackThis v1.98.0
> Scan saved at 11:16:51, on 2004-07-15
> Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego połączenia do Internetu. Tu jest opis jak to wykonać
www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
Wyłącz przywracanie systemu (tylko XP i Me)
support.microsoft.com/default.aspx?scid=kb;pl;310405
W Panelu Sterowania => Opcje Internetowe => Tymczasowe pliki Internetowe
Usuń pliki(zaznacz całość off line) i Usuń pliki cooki.

Uruchom komputer ponownie.

Po tym zamknij wszystkie okna przeglądarki Internet Explorer.
Uruchom ponownie HijackTHis. Wykonaj SCAN i zaznacz dokładnie te pozycje:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\upygy.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
res://upygy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
res://upygy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
res://C:\WINDOWS\upygy.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
res://C:\WINDOWS\upygy.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
res://upygy.dll/index.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {4D9FC428-C242-144C-B27B-F27F0CC116BE} -
C:\WINDOWS\iete.dll
O4 - HKLM\..\Run: [winfw.exe] C:\WINDOWS\system32\winfw.exe
O4 - HKLM\..\RunOnce: [syssl.exe] C:\WINDOWS\system32\syssl.exe
O4 - HKLM\..\RunOnce: [ipza32.exe] C:\WINDOWS\ipza32.exe
O4 - HKLM\..\RunOnce: [addai32.exe] C:\WINDOWS\system32\addai32.exe
O4 - HKLM\..\RunOnce: [ietl32.exe] C:\WINDOWS\system32\ietl32.exe
O4 - HKLM\..\RunOnce: [addyv32.exe] C:\WINDOWS\addyv32.exe
O4 - HKLM\..\RunOnce: [ieov32.exe] C:\WINDOWS\system32\ieov32.exe
O4 - HKLM\..\RunOnce: [sysjm.exe] C:\WINDOWS\sysjm.exe
O4 - HKLM\..\RunOnce: [ieih32.exe] C:\WINDOWS\system32\ieih32.exe
O4 - HKLM\..\RunOnce: [crii32.exe] C:\WINDOWS\system32\crii32.exe
O4 - HKLM\..\RunOnce: [addoc32.exe] C:\WINDOWS\system32\addoc32.exe
O4 - HKLM\..\RunOnce: [appqo32.exe] C:\WINDOWS\appqo32.exe
O4 - HKLM\..\RunOnce: [cryu.exe] C:\WINDOWS\cryu.exe
O4 - HKLM\..\RunOnce: [netci32.exe] C:\WINDOWS\system32\netci32.exe
O4 - HKLM\..\RunOnce: [syslm32.exe] C:\WINDOWS\syslm32.exe
O4 - HKLM\..\RunOnce: [mfccz32.exe] C:\WINDOWS\mfccz32.exe
O4 - HKLM\..\RunOnce: [atlon32.exe] C:\WINDOWS\atlon32.exe
O4 - HKLM\..\RunOnce: [wintf.exe] C:\WINDOWS\system32\wintf.exe
O4 - HKLM\..\RunOnce: [appge.exe] C:\WINDOWS\system32\appge.exe
O4 - HKLM\..\RunOnce: [addlk32.exe] C:\WINDOWS\addlk32.exe
O4 - HKLM\..\RunOnce: [crdw32.exe] C:\WINDOWS\crdw32.exe
O4 - HKLM\..\RunOnce: [winxn.exe] C:\WINDOWS\system32\winxn.exe
O4 - HKLM\..\RunOnce: [apire32.exe] C:\WINDOWS\apire32.exe
O4 - HKLM\..\RunOnce: [javanl.exe] C:\WINDOWS\javanl.exe
O4 - HKLM\..\RunOnce: [ipea.exe] C:\WINDOWS\system32\ipea.exe
O4 - HKLM\..\RunOnce: [addkg.exe] C:\WINDOWS\addkg.exe
O4 - HKLM\..\RunOnce: [ipat.exe] C:\WINDOWS\system32\ipat.exe
O4 - HKLM\..\RunOnce: [ntnx.exe] C:\WINDOWS\system32\ntnx.exe
O4 - HKLM\..\RunOnce: [addwa32.exe] C:\WINDOWS\addwa32.exe
O4 - HKLM\..\RunOnce: [winmz32.exe] C:\WINDOWS\system32\winmz32.exe
O4 - HKLM\..\RunOnce: [d3st.exe] C:\WINDOWS\system32\d3st.exe
O4 - HKLM\..\RunOnce: [iplb32.exe] C:\WINDOWS\iplb32.exe
O4 - HKLM\..\RunOnce: [sysfj.exe] C:\WINDOWS\sysfj.exe
O4 - HKLM\..\RunOnce: [ietp.exe] C:\WINDOWS\ietp.exe
O4 - HKCU\..\Run: [Tass] C:\Documents and Settings\Dorota\Dane
aplikacji\ilau.exe
O4 - HKCU\..\Run: [Hwytamwo] C:\WINDOWS\System32\ycdcm.exe
O4 - HKCU\..\Run: [mslagent] C:\WINDOWS\mslagent\mslagent.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) -
webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} -
akamai.downloadv3.com/binaries/LiveService/LiveService_5_EN_XP.cab
O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} (WebResponseAttachments
Control) - webresponse.one.microsoft.com/oas/ActiveX/FileXfer.cab
O16 - DPF: {D52D92F2-3650-439C-AA18-03EE4F6859DE} -
dialer.dialerxp.com/getdialer/144.exe

Po zaznaczeniu wykonaj FIX CHECKED i OK.

Uruchom komputer ponownie.

Ściągnij ten wpis do rejestru
209.133.47.12/downloads/tools/IEFIX.reg
Uruchom klikając i zaakceptuj wpis.

Ściągnij najnowszy CwShedder 209.133.47.12/~merijn/files/CWShredder.exe
Zamknij wszystkie okna Internet Explorer'a. Uruchom CWShredder i wykonaj FIX.

Przeskanuj system Ad-aware z opcjami opisanymi tu
ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
Z menu START wybierz Uruchom wpisz %TEMP% i kliknij OK.
W oknie które się pojawi skasuj wszystkie pliki które można skasować.
Upewnij się przed tym, że masz w Panelu Sterownia => Opcje folderów
zakładka Widok zaznaczone Pokaż ukryte pliki i foldery.

Uruchom ponownie komputer.

Zaktualizuj AVAST i przeskanuj dyski.

Po tym połącz się www.windowsupdate.com i zaktualizuj system o wszystkie krytyczne poprawki. Tutaj masz więcej na ten temat
www.microsoft.com/poland/security/protect/windowsxp/updates.aspx
Po wszystkim wklej nowego loga z HiJackThis

[Gość: Magda]

ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
Taka strona ??

[amj77]

Gość portalu: Magda napisał(a):

> ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
> Taka strona ??


Dokładnie ta :-) i ustaw swój adware (mam nadzieję, że go ściągnęłaś :-) ak,
jak jest tu napisane... czyli trzeba wszystko zaznaczyć, jak jest na
obrazkach :)

[Gość: Wojtek]

Amj77 obiecał, że chcąc się pozbyć takich wrednych trojanów jak:
Trojan.Briss.H, Trojanclicker.Delf.R i Ncase180 wystarczy przejść opisane przez
niego 6 kroków...co wykonałem...i na koniec przesłać na forum log...bo ktoś na
niego popatrzy i powie co dalej...Tak i przesyłam...i co dalej...?

Logfile of HijackThis v1.98.0
Scan saved at 15:43:39, on 2004-07-29
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HPQ\One-Touch\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\COMMON~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\iotawd.exe
C:\Program Files\WindowsSA\omniscient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Widcomm\Bluetooth Software\BTTray.exe
C:\Program Files\Widcomm\Bluetooth Software\BTStackServer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Wojtek Zatorski\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = 192.168.2.2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
file)
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} -
C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program
Files\SideFind\sfbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe
c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook
Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\COMMON~1
\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [obigni] C:\WINDOWS\System32\iotawd.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [qnozajaz] C:\WINDOWS\qnozajaz.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} -
C:\Program Files\SideFind\sidefind.dll
O16 - DPF: BSK Online - ssl.bsk.com.pl/component/BSKOnl.cab
O16 - DPF: ING Bank Online - ssl.bsk.com.pl/bskonl/component/INGOnl.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab

[amj77]

Gość portalu: Wojtek napisał(a):

> Amj77 obiecał, że chcąc się pozbyć takich wrednych trojanów jak:
> Trojan.Briss.H, Trojanclicker.Delf.R i Ncase180 wystarczy przejść opisane
przez
>
> niego 6 kroków...co wykonałem...i na koniec przesłać na forum log...bo ktoś
na
> niego popatrzy i powie co dalej...Tak i przesyłam...i co dalej...?

amj77 obiecałA... :-)

A po przjściu 6 kroków jest źle?

Ja się na HiJacku nie znam. Poczekaj na piecyka albo sam pokombinuj. Link "jak
odczytywać logi" jest gdzieś na forum. Jeśli coś będziesz usuwał sam, to nie
kasuj pilków "backup", aby ewentualnie umożliwić ich przywrócenie.

[Gość: Wojtek]

Sorry...za obiecał zamiast obiecała... :-)

[kalinowski11]

Wyłącz przywracanie systemu :

support.microsoft.com/default.aspx?scid=kb;pl;310405
Otwórz "Panel Sterowania" i w "Opcjach Internetowych" "Usuń pliki cookie" oraz
"usuń pliki..." zaznaczając "Usuń całą zawartość offline" .

Przeskanuj system Avastem .

Usuń następujące pozycje za pomocą hijacka :

> R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no
> file)
> O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} -
> C:\WINDOWS\nem219.dll (file missing)
> O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
> O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} -
C:\Program
> Files\SideFind\sfbho.dll
> O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
> O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
> O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} -
> C:\Program Files\SideFind\sidefind.dll

To do wyrzucenia .

> O4 - HKLM\..\Run: [obigni] C:\WINDOWS\System32\iotawd.exe
> O4 - HKLM\..\Run: [qnozajaz] C:\WINDOWS\qnozajaz.exe
> O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe

To moim zdaniem też wygląda podejrzanie , nie mam pojęcia co to jest :(

Po usunięciu przeskanuj jeszcze system Ad-aware , który
znajduje i likwiduje różne "paskudztwa" .

download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=buton
dobreprogramy.pl/index.php?dz=2&t=39&id=151&t=39
Przed pierwszym użyciem ustaw Ad-aware w sposób pokazany tutaj :

ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
1. Ściągnij , zainstaluj , uruchom .
2. "sprawdż uaktualnienie"
3. "połącz"
4. po wczytaniu ewentualnych aktualizacji "zakończ"
5. "uruchom"
6. "dalej"
7. po skanowaniu "zakończ" , lub "dalej" jeżeli program coś
znajdzie .
8. zaznacz znalezione "pozycje"
9. "dalej"
10.program spyta , czy usunąć zaznaczone obiekty - "tak" .

Na zakończenie włącz przywracanie systemu .

Pozdrawiam .

[Gość: Wojtek]

Dzięki za pomoc...i ciągle jakiś szajs kręci się w moim koputrze...tworzy non
stop coś na poniższej ścieżce...

C:\DOCUME~1\WOJTEK~1\USTAWI~1\Temp\THI5F2C.tmp

Wirus: Win32:BiSpy[Trj]

A to najnowszy log...coś wywalić...?

Logfile of HijackThis v1.98.0
Scan saved at 08:39:10, on 2004-07-30
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\HPQ\One-Touch\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\COMMON~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\iotawd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Widcomm\Bluetooth Software\BTTray.exe
C:\Program Files\Widcomm\Bluetooth Software\BTStackServer.exe
C:\Documents and Settings\Wojtek Zatorski\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyServer = 192.168.2.2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe
c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook
Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\COMMON~1
\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [goaefdpaalli] C:\WINDOWS\System32\iotawd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: BSK Online - ssl.bsk.com.pl/component/BSKOnl.cab
O16 - DPF: ING Bank Online - ssl.bsk.com.pl/bskonl/component/INGOnl.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
Raaatuuuunkuuu...!

[kalinowski11]

Wyłącz przywracanie systemu .

Do wyrzucenia na 100 %

> F2 - REG:system.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
> O4 - Global Startup: BTTray.lnk = ?

To wygląda podejrzanie :

> O4 - HKLM\..\Run: [goaefdpaalli] C:\WINDOWS\System32\iotawd.exe

Pozdrawiam .

[Gość: Wojtek]

Nooo... Dzięki...! Wydaje mi się, że teraz już wzsystko jest w porządku... :-)

[kalinowski11]

Mam nadzieję . Może nieraz cywilowi bez "doktoratu" z informatyki też uda się
komuś pomóc :) Pozdrawiam .

forum.gazeta.pl/forum/72,2.html?f=430&w=14523004
Premier .