Ratunku!!! Dzieci mnie oskalpują!

04.12.04, 12:42
Szukałam w googlach i otwarła mi sie stronka podejrzana, która zmieniła
stronę startową i wprowadziła konie trojańskie. Nie mogę tego usunąć zadnym
sposbem. Próbowałam programami antywirusowymi, ale niec nie daje. Potem w
trybie awaryjnym usunęłam pliki i oprózniłam kosz. Po włączeniu znowu były.
Jeden cały czas zmienia nazwę. Wszystkie zagnieździły się w systemie windows.
Chyba tylko format został?
A co ja się biedna nasłucham, to możecie współczuć.
    • Gość: zawor Re: Ratunku!!! Dzieci mnie oskalpują! IP: *.neoplus.adsl.tpnet.pl 04.12.04, 12:50
      a kosz ci działa ,tzn. opróżnia się ?
      • alka44 Re: Ratunku!!! Dzieci mnie oskalpują! 04.12.04, 12:51
        Kosz działa. Ale to wraca i komp wariuje.
    • alka44 Re: Ratunku!!! Dzieci mnie oskalpują! 04.12.04, 12:50
      Wirusy:
      Trojan. Startpage.Ix C: Windows/SYSTEM/......
      Trojan. Downloader.Small.Vn. "
      Trojan. Clicker.Small.Bt "
      Trojan. Dropper. Small.Hx "
      • m.gregor Zestaw ratunkowy dla mam (c) Kalinowski11 04.12.04, 13:31
        forum.gazeta.pl/forum/72,2.html?f=430&w=14530041&v=2&s=0
      • alka44 Re: Ratunku!!! Dzieci mnie oskalpują! 04.12.04, 13:39
        A może to coś pomoże:
        Logfile of HijackThis v1.98.2
        Scan saved at 13:39:12, on 04-12-04
        Platform: Windows 98 Gold (Win9x 4.10.1998)
        MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

        Running processes:
        C:\WINDOWS\SYSTEM\KERNEL32.DLL
        C:\WINDOWS\SYSTEM\MSGSRV32.EXE
        C:\WINDOWS\SYSTEM\MPREXE.EXE
        C:\WINDOWS\SYSTEM\mmtask.tsk
        C:\WINDOWS\SYSTEM\MSTASK.EXE
        C:\WINDOWS\EXPLORER.EXE
        C:\WINDOWS\RUNDLL32.EXE
        C:\WINDOWS\SYSTEM\RPCSS.EXE
        C:\WINDOWS\TASKMON.EXE
        C:\WINDOWS\SYSTEM\SYSTRAY.EXE
        C:\WINDOWS\SYSTEM\SYSTRAY.EXE
        C:\WINDOWS\SYSTEM\ATICWD32.EXE
        C:\SBPCI\CTMIX32.EXE
        C:\WINDOWS\SYSTEM\INTERNAT.EXE
        C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
        C:\WINDOWS\SYSTEM\SPOOL32.EXE
        C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
        C:\PROGRAM FILES\BULLSEYE NETWORK\BIN\BARGAINS.EXE
        C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
        C:\WINDOWS\SYSTEM\DDHELP.EXE
        C:\PROGRAM FILES\GADU-GADU\GADU-GADU\GG.EXE
        C:\WINDOWS\Pulpit\Freecll.exe
        C:\WINDOWS\TEMP\RAR$EX03.731\HIJACKTHIS.EXE

        R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
        http://www.searchalot.com/search.htm
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        http://www.searchalot.com
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
        http://www.searchalot.com/search.htm
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
        file://C:\WINDOWS\TEMP\sp.html
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
        file://C:\WINDOWS\TEMP\sp.html
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        http://www.onet.pl/
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        http://www.searchalot.com
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
        http://www.searchalot.com/search.htm
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
        file://C:\WINDOWS\TEMP\sp.html
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
        file://C:\WINDOWS\TEMP\sp.html
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        file://C:\WINDOWS\TEMP\sp.html
        R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
        http://www.searchalot.com/search.htm
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        file://C:\WINDOWS\TEMP\sp.html
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina =
        file:///C:/Program%20Files/MStartEnter/Portal/portal.html
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
        http://www.searchalot.com
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
        http://www.searchalot.com
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = www.onet.pl
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O1 - Hosts: 69.20.16.183 auto.search.msn.com
        O1 - Hosts: 69.20.16.183 search.netscape.com
        O1 - Hosts: 69.20.16.183 ieautosearch
        O1 - Hosts: 69.20.16.183 ieautosearch
        O1 - Hosts: 69.20.16.183 ieautosearch
        O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-
        00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
        O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
        files\google\googletoolbar2.dll
        O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
        O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
        O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
        O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
        O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
        O4 - HKLM\..\Run: [NOD32POP3] "C:\Program Files\Eset\pop3scan.exe" /uninstall
        O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp3\winampa.exe"
        O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
        O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
        O4 - HKLM\..\Run: [VideoAction_nl] c:\program
        files\comsoft\dialers\videoaction_nl\videoaction_nl.exe /noconnect
        O4 - HKLM\..\Run: [internat.exe] internat.exe
        O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
        Files\Real\Update_OB\realsched.exe" -osboot
        O4 - HKLM\..\Run: [STOPzilla] "C:\Program Files\STOPzilla!
        \Stopzilla.exe" /autorun
        O4 - HKLM\..\Run: [CMESys] "C:\PROGRAM FILES\COMMON FILES\CMEII\CMESYS.EXE"
        O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
        powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\Run: [Classes] C:\WINDOWS\SYSTEM\MSTAR2.EXE
        O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe
        internat.dll,LoadKeyboardProfile
        O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
        O4 - HKLM\..\Run: [MKS_MON] C:\Program Files\MKS\Bin\mks_mon.exe
        O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
        O4 - HKLM\..\Run: [CashBack] C:\Program Files\CashBack\bin\cashback.exe
        O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye
        Network\bin\bargains.exe
        O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
        powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
        O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4
        \ashServ.exe
        O4 - HKCU\..\Run: [Komunikator] C:\PROGRAM FILES\TLEN.PL\TLEN.EXE
        O4 - HKCU\..\Run: [Spyware Begone] C:\FREESCAN\FREESCAN.EXE -FastScan
        O4 - Startup: Uruchamianie pakietu Office.lnk = C:\Program Files\Microsoft
        Office\Office\OSA.EXE
        O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft
        Office\Office\FINDFAST.EXE
        O4 - Startup: GStartup.lnk = C:\WINDOWS\SCANREGW.EXE
        O8 - Extra context menu item: &Google Search - res://C:\PROGRAM
        FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
        O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAM
        FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
        O8 - Extra context menu item: Similar Pages - res://C:\PROGRAM
        FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
        O8 - Extra context menu item: Backward Links - res://C:\PROGRAM
        FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
        O8 - Extra context menu item: Translate into English - res://C:\PROGRAM
        FILES\GOOGLE\GOOGLETOOLBAR2.DLL/cmtrans.html
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        C:\WINDOWS\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
        00aa003c157a} - C:\WINDOWS\web\related.htm
        O9 - Extra button: (no name) - {C21AE3DD-2E97-406B-8C87-A9AD5BBD49D1} -
        http://www.downloadalot.com (file missing)
        O9 - Extra 'Tools' menuitem: Free Software Downloads - {C21AE3DD-2E97-406B-8C87-
        A9AD5BBD49D1} - http://www.downloadalot.com (file missing)
        O9 - Extra button: (no name) - {307D80B7-6553-42FB-9C99-19841353B4F0} -
        http://www.searchalot.com (file missing)
        O9 - Extra 'Tools' menuitem: Search the Internet - {307D80B7-6553-42FB-9C99-
        19841353B4F0} - http://www.searchalot.com (file missing)
        O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} -
        C:\WINDOWS\SYSTEM\Shdocvw.dll
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        C:\WINDOWS\SYSTEM\MSJAVA.DLL
        O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
        00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
        O15 - Trusted Zone: *.blazefind.com
        O15 - Trusted Zone: *.slotch.com
        O15 - Trusted Zone: *.searchmiracle.com
        O15 - Trusted Zone: *.mt-download.com
        O15 - Trusted Zone: *.skoobidoo.com
        O15 - Trusted Zone: *.searchbarcash.com
        O15 - Trusted Zone: *.xxxtoolbar.com
        O15 - Trusted Zone: *.windupdates.com
        O15 - Trusted Zone: *.my-internet.info
        O15 - Trusted Zone: *.flingstone.com
        O15 - Trusted Zone: *.clickspring.net
        O15 - Trusted Zone: *.topconverting.com
        O15 - Trusted Zone: *.crazywinnings.com
        O15 - Trusted Zone: *.ysbweb.com
        O15 - Trusted Zone: *.slotchbar.com
        O16 - DPF: {70AA7362-0A16-11D4-877B-008048C4AC6F} (MainControl Class) -
        http://download.mks.com.pl/files/webscan/WebScan.cab
        O16 - DPF: {E8EDB60C-951E
        • m.gregor Re: Ratunku!!! Dzieci mnie oskalpują! 04.12.04, 13:47
          Zaczalem wypisywac co do wywalenia ale nałapałas tego za duzo. Uzyj jakiegos
          automatu (np. SpyBot Search & Destroy - link w poscie powyzej) i wywal wszystko
          co znajdzie i dopiero pozniej wklej loga z HiJack This!. Bedzie latwiej.
          • Gość: zawor Re: Ratunku!!! Dzieci mnie oskalpują! IP: *.neoplus.adsl.tpnet.pl 04.12.04, 13:57
            McGregor ,a mogłbyś rzucić okiem na mojego loga jest chyba 2 posty
            wcześniej .Prosze
          • netsec Re: Ratunku!!! Dzieci mnie oskalpują! 06.12.04, 13:03
            Problem w tym, że ostatnie Trojany modyfikują ZoneMap w rejestrze.
            Wszystkie strony są traktowane jako zaufane i o instalacje ponowną syfu nie jest
            trudno. Proponuje do momentu odsyfienia kompa posługiwać się alternatywną
            przeglądarką np. Firefox www.firefox.pl
    • Gość: dora5 Re: taaa, mnie dzieci słowka nie powiedzialy IP: *.internetdsl.tpnet.pl 06.12.04, 12:29
      > Szukałam w googlach i otwarła mi sie stronka podejrzana, która zmieniła
      > stronę startową i wprowadziła konie trojańskie.

      Dokładnie! ja szukalam info o kremie Vichy. Wieczorem bedziemy dalej próbowac
      usuwać.


      Dzieki za informacje! :-)
Pełna wersja