Help me - trojan !!!

[Gość: Jurand]

Prosze o pomoc w usunieciu wirusa. Trojan : Worm.Blaster.C zlokalizowany w :
C:\WINNT\system32\enbiei.exe wykryty mks online. Prosze o pomoc step by
step.

Logfile of HijackThis v1.98.0
Scan saved at 21:51:39, on 2004-08-15
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\eDonkey2000\eDonkey2000.exe
C:\WINNT\system32\enbiei.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\DC++\DCPlusPlus.exe
C:\Program Files\BcDc\DCPlusPlus.exe
C:\Program Files\wincmd\WINCMD32.EXE
C:\Program Files\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} -
C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} -
C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program
Files\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program
Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program
Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate
Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSSoundMan] C:\WINNT\System32\SoundMan.exe
O4 - HKLM\..\Run: [SiSSetCDfmt] C:\WINNT\System32\SetCDfmt.exe
O4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -
t
O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program
Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: Reboot.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1
O8 - Extra context menu item: &Pobierz przez ReGet Deluxe - C:\Program
Files\Common Files\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Pobierz &wszystko przez ReGet Deluxe -
C:\Program Files\Common Files\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program
Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a -
C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
C:\PROGRA~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
0050BA6940E3} - C:\PROGRA~1\FlashGet\JetCar.exe
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab

[xxxx44]

Dla samego W32.Blaster.Worm użyj tego poniżej, za friko >>
www.snapfiles.com/download/dlfixblast.html
o hijacku nie wypowiadam się, zbyt sibstelna temata.

[Gość: Ju]

[xxxx44]

tylko tyle masz do powiedzenia ?
niewiele
~ Może znajdziesz ~ nastepnego jak Ja chętnego pomóc
.

[netsec]

Gość portalu: Jurand napisał(a):

> Prosze o pomoc w usunieciu wirusa. Trojan : Worm.Blaster.C zlokalizowany w :
> C:\WINNT\system32\enbiei.exe wykryty mks online. Prosze o pomoc step by
> step.
>
> Logfile of HijackThis v1.98.0
> Scan saved at 21:51:39, on 2004-08-15
> Platform: Windows 2000 SP4 (WinNT 5.00.2195)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Zacznijmy od tego że Twój system nie jest w pełni zaktualizowany o
krytyczne poprawki wpływające na jego bezpieczeństwo.

Ściągnij i zainstaluj tę poprawkę
www.microsoft.com/downloads/details.aspx?displaylang=pl&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
Uruchom komputer w trybie awaryjnym
Tutaj masz opis jak to wykonać
support.microsoft.com/default.aspx?scid=kb;PL;202485
Po uruchomienie systemu w trybie awaryjnym uruchom HiJackThis. Wykonaj SCAN i zaznacz dokładnie te pozycje:

O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} -
C:\Program Files\Common Files\ReGet Shared\Catcher.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Program
Files\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [eDonkey2000] C:\Program Files\eDonkey2000\eDonkey2000.exe -
t
O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program
Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Reboot.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
00401C608501} - C:\WINNT\System32\msjava.dll
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab

Po zaznaczeniu wykonaj FIX CHECKED i OK.

Odszukaj pliki enbiei.exe i Reboot.exe i usuń.

Uruchom komputer ponownie w normalny sposób.

Po tym połącz się www.windowsupdate.com i zaktualizuj system o wszystkie krytyczne poprawki. Tutaj masz więcej na ten temat
www.microsoft.com/poland/security/protect/windowsxp/updates.aspx
Po zaktualizowaniu systemu, zainstaluj na stałe program antywirusowy AVAST.
Jest to bezpłatny program antywirusowy po polsku.
Wersję polską możesz ściągnąć stąd www.avast.com/i_idt_1016.html

Przed instalacją AVAST'a zarejestruj się tu
www.avast.com/i_kat_207.php?lang=ENG
Dzięki rejestracji, otrzymasz mailem klucz rejestracyjny, umożliwiający
przez rok bezpłatną aktualizacje bazy wirusów.
Po instalacji AVAST'a przeskanuj wszystkie dyski.

Na koniec po wszystkim wklej nowego loga z HiJackThis, zobaczymy czy nic nie wróciło.

No nie, po roku jeszcze lapia ludzie... czytaj:

[Gość: wojtzuch]

No wiec da sie recznie (wylaczyc proces, usunac wpisy w rejestrze i prefetch oraz pare plikow), ale lepiej uzyc narzedzia od jakiejs firmy antywirusowej.

Np.
www.pandasoftware.com
www.symantec.com

A poza tym przeczytaj na pszyszlosc: kilkanascie stron Wstepu do bezpieczenstwa domowego XP w Inernecie, raczej nic juz nie zlapiesz, chocbys nie wiem po czym chodzil, ja chodze takze testowo ;)

pcc.pl/modules.php?name=Content&pa=showpage&pid=40

[netsec]

Gość portalu: wojtzuch napisał(a):

> A poza tym przeczytaj na pszyszlosc: kilkanascie stron
>Wstepu do bezpieczenstwa domowego XP w Inernecie, raczej nic juz nie zlapiesz,

Platform: Windows 2000 SP4 (WinNT 5.00.2195) ???????