Blondynka i trojany:]

IP: *.neoplus.adsl.tpnet.pl 09.12.04, 01:05
Hm no jak wiekszosc piszacych mam trojana,jestem laikiem i się gubię w
połowie tego wszystkeigo co tu jest napisane.Jesli ktos bylby tak cierpliwy
zeby w sposob bardzo łopatologiczny poradzil co zrobić bylabym baardzo
wdzieczna(a jesli by mi sie udalo tego dokonac to na dodatek dumna;)
Jak komus tez turaj na forum rowniez niedostepny jest dla mnie
plik /DocAndSet/Admin/ustawieniaLok/itd juz nawet tam nei moge wejsc a niby
tam siedzi
Oto co mowi moj antywirus;
C:\DOCUMENTS AND SETTINGS\Administrator\Ustawienia lokalne\Temp
CliprexTTIL.exe
The file contains signature of the PMS/Adware.StatBlas program and was
suppressed by the user.
C:\DOCUMENTS AND SETTINGS\Administrator\Ustawienia lokalne\Temporary Internet
Files\Content.IE5\RXDD8SQ0

Network=ugo&size=728x90&adtype=over&affiliate=actressarchives&suba=actressarch
ives&channel=filmtv&subchannel=tic&category=tic&Pt=hp&CR=ti&pez=tic[1].htm
Access denied! Error during file opening!
Error code: 0x0002
WARNING! Access error/file locked!

Network=ugo&size=300x250&adtype=over&affiliate=actressarchives&suba=actressarc
hives&channel=filmtv&subchannel=tic&category=tic&PT=ct&CR=ti&pez=ti[1].htm
Access denied! Error during file opening!
Error code: 0x0002
WARNING! Access error/file locked!

Network=ugo&size=728x90&adtype=over&affiliate=actressarchives&suba=actressarch
ives&channel=filmtv&subchannel=tic&category=tic&PT=ct&CR=ti&pez=tic[2].htm
Access denied! Error during file opening!
Error code: 0x0002
WARNING! Access error/file locked!

Network=ugo&size=120x600&adtype=over&affiliate=actressarchives&suba=actressarc
hives&channel=filmtv&subchannel=tic&category=tic&PT=ct&CR=ti&pez=ti[1].htm
Access denied! Error during file opening!
Error code: 0x0002
WARNING! Access error/file locked!
C:\DOCUMENTS AND SETTINGS\Administrator\Ustawienia lokalne\Temporary Internet
Files\Content.IE5\I1QFWHER

Network=ugo&size=775x600&adtype=over&affiliate=actressarchives&suba=actressarc
hives&channel=filmtv&subchannel=tic&category=tic&PT=ct&CR=ti&pez=ti[1].htm
Access denied! Error during file opening!
Error code: 0x0002
WARNING! Access error/file locked!

Network=ugo&size=300x250&adtype=over&affiliate=actressarchives&suba=actressarc
hives&channel=filmtv&subchannel=tic&category=tic&Pt=hp&CR=ti&pez=ti[1].htm
Access denied! Error during file opening!
Error code: 0x0002
WARNING! Access error/file locked!
arc[1].zip
ArchiveType: ZIP
--> VerifierBug.class
[DETECTION] The Trojan horse TR/Femad.Java.3
--> Counter.class
[DETECTION] The Trojan horse TR/Femad.Java.2
--> Gummy.class
[DETECTION] Contains signature of the Java virus Java/ClassLdr.I.2
--> Beyond.class
[DETECTION] The Trojan horse TR/Femad.Java.1
--> Worker.class
[DETECTION] Contains signature of the Java script virus JS/Femad.B

    • netsec Re: Blondynka i trojany:] 09.12.04, 08:35
      Jaki masz windows?
      Najszybciej będzie jak wkleisz log z HiJackThis:
      forum.gazeta.pl/forum/72,2.html?f=23618&w=16131117&wv.x=2&a=17082886
      • Gość: Marta Re: Blondynka i trojany:] IP: *.neoplus.adsl.tpnet.pl 09.12.04, 12:19
        mam windowsa 2000 nt
    • Gość: Marta raport z hijacka IP: *.neoplus.adsl.tpnet.pl 09.12.04, 13:00
      Oto co otrzymalam;

      Logfile of HijackThis v1.98.2
      Scan saved at 12:58:44, on 2004-12-09
      Platform: Windows 2000 SP4 (WinNT 5.00.2195)
      MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

      Running processes:
      C:\WINNT\System32\smss.exe
      C:\WINNT\system32\winlogon.exe
      C:\WINNT\system32\services.exe
      C:\WINNT\system32\lsass.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\system32\spoolsv.exe
      C:\Program Files\AVPersonal\AVGUARD.EXE
      C:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\WINNT\System32\svchost.exe
      C:\WINNT\system32\nvsvc32.exe
      C:\Program Files\Kerio\Personal Firewall\persfw.exe
      C:\WINNT\system32\regsvc.exe
      C:\WINNT\system32\MSTask.exe
      C:\WINNT\system32\stisvc.exe
      C:\WINNT\System32\WBEM\WinMgmt.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\Explorer.EXE
      C:\WINNT\inet10055\winlogon.exe
      C:\Program Files\AVPersonal\AVSched32.EXE
      C:\Program Files\AVPersonal\AVGNT.EXE
      C:\Program Files\OpenOffice.org1.1.2\program\soffice.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\WINNT\system32\mmc.exe
      C:\Documents and Settings\Administrator\Pulpit\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      F3 - REG:win.ini: run=C:\WINNT\inet10055\winlogon.exe
      O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} -
      (no file)
      O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program
      Files\NewDotNet\newdotnet6_30.dll
      O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
      O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
      C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
      O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINNT\system32\msdxm.ocx
      O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32
      \NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
      O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet10055\winlogon.exe
      O4 - HKCU\..\Run: [xp_system] C:\WINNT\inet10055\winlogon.exe
      O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Program Files\OpenOffice.org1.1.2
      \program\quickstart.exe
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINNT\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
      00aa003c157a} - C:\WINNT\web\related.htm
      O10 - Hijacked Internet access by New.Net
      O10 - Hijacked Internet access by New.Net
      O10 - Hijacked Internet access by New.Net
      O10 - Hijacked Internet access by New.Net
      O10 - Hijacked Internet access by New.Net
      O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-
      its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
      O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -
      www.cult3d.com/download/cult.cab
      O16 - DPF: {5AE70FF8-20A7-4FC4-B896-404196B8B04C} (Smtpauth Control) -
      i.wp.pl/a/i/poczta_xl/smtpauth.ocx
      O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-
      4CBF72FAED87} - C:\WINNT\system32\textwareilluminatorbaseProtocol.dll

      • netsec Re: raport z hijacka 09.12.04, 15:23
        Po pierwsze odinstaluj koniecznie w Panelu sterowania New.Net.
        Ściągnij nowy CWShredder 2.1 cwshredder.net/bin/CWShredder.exe

        Zamknij wszystkie okna przeglądarki Internet Explorer.

        Uruchom ponownie HiJackThis wykonaj SCAN i zaznacz te pozycje:

        F3 - REG:win.ini: run=C:\WINNT\inet10055\winlogon.exe
        O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} -
        (no file)
        O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
        O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program
        Files\NewDotNet\newdotnet6_30.dll
        O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
        O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
        C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
        O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
        O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet10055\winlogon.exe
        O4 - HKCU\..\Run: [xp_system] C:\WINNT\inet10055\winlogon.exe
        O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-
        its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
        O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-
        4CBF72FAED87} - C:\WINNT\system32\textwareilluminatorbaseProtocol.dll

        Po zaznaczeniu wykonaj FIX CHECKED i potwierdź OK.

        Uruchom wcześniej ścignięty CwShredder i kliknij FIX.
        Pytania w trakcie działania programu, potwierdzaj TAK/OK.

        Po zakończeniu działania CWShredder, uruchom komputer w normalnym sposób.

        Ściągnij i zainstaluj Ad-Aware SE Personal Edition v1.05
        Pobieranie najnowszej wersji:
        www.download.com/3000-2144-10045910.html
        Przeskanuj Ad-Aware cały system.
        W celu zapewnienia maksymalnej skuteczności, należy
        przed skanowaniem wykonać aktualizacje bazy wykrywania.
        W trakcie uruchamiania skanowania, należy w zakładce
        "Preparing System Scan" wybrać "Perform full system scan".
        Po zakończeniu skanowania pojawi się lista obiektów do
        usunięcia. Każdą z pozycji należy zaznaczyć(haczykiem) lub prawym klawiszem
        myszki można wybrać z menu kontekstowego "Select All Objects".
        Po zaznaczeniu wszystkich pozycji należy kliknąć Next, w ten sposób
        zaznaczone obiekty zostaną usunięte. Po zakończeniu uruchom komputer ponownie.

        Po tym uruchom komputer ponownie i wklej nowy log z HiJack.
    • Gość: Marta zrobilam krok po kroku:) IP: *.neoplus.adsl.tpnet.pl 09.12.04, 18:35
      Zrobilam wszystko ale nadal chyba co nieco tam siedzi.Oto log z hiJacka
      Logfile of HijackThis v1.98.2
      Scan saved at 18:35:02, on 2004-12-09
      Platform: Windows 2000 SP4 (WinNT 5.00.2195)
      MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

      Running processes:
      C:\WINNT\System32\smss.exe
      C:\WINNT\system32\winlogon.exe
      C:\WINNT\system32\services.exe
      C:\WINNT\system32\lsass.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\system32\spoolsv.exe
      C:\WINNT\System32\svchost.exe
      C:\WINNT\system32\nvsvc32.exe
      C:\WINNT\system32\regsvc.exe
      C:\WINNT\system32\MSTask.exe
      C:\WINNT\system32\stisvc.exe
      C:\WINNT\System32\WBEM\WinMgmt.exe
      C:\WINNT\system32\svchost.exe
      C:\WINNT\Explorer.EXE
      C:\WINNT\inet10055\winlogon.exe
      C:\Program Files\OpenOffice.org1.1.2\program\soffice.exe
      D:\PROGRAMY\totalcmd\TOTALCMD.EXE
      E:\pili instalacyjne\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      www.searchportal.info/10055/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      F3 - REG:win.ini: run=C:\WINNT\inet10055\winlogon.exe
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
      O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINNT\system32\msdxm.ocx
      O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet10055\winlogon.exe
      O4 - HKCU\..\Run: [xp_system] C:\WINNT\inet10055\winlogon.exe
      O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Program
      Files\OpenOffice.org1.1.2\program\quickstart.exe
      O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -
      www.cult3d.com/download/cult.cab
      O16 - DPF: {5AE70FF8-20A7-4FC4-B896-404196B8B04C} (Smtpauth Control) -
      i.wp.pl/a/i/poczta_xl/smtpauth.ocx
      O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87}
      - C:\WINNT\system32\textwareilluminatorbaseProtocol.dll

    • Gość: Marta Ale to nie koniec.. IP: *.neoplus.adsl.tpnet.pl 09.12.04, 23:26
      • Gość: Marta Ale to nie koniec..cd IP: *.neoplus.adsl.tpnet.pl 09.12.04, 23:37
        [sory za poprzedni pusty post]Jak napisalam zrobialm wszystko wg
        instrukji(wielkie dzieki za przystepnosc!no i w ogole!),podany antywirus niczego
        nei wykrywa ale w exporerze samodzielnie ustawia sie strona domyslna, a
        firewall szaleje wiec go wylaczylam(chyba go zainstalowac ponownie?)Uczac sie na
        bledach i z lektury zainsatalowalam mozille i niby gra(troche wolno) z tymze
        explorera 'w razie czego ' sobie zostawilam.Chcialabym miec juz pelen porzadek
        a hiJack pokazuje nadal obecnosc czesci tych plikow,ktore mialam wyrzucic,czy
        procedure powtarzac do skutku?? Ra zjeszzce przesylam aktualnego loga;
        Logfile of HijackThis v1.98.2
        Scan saved at 23:39:29, on 2004-12-09
        Platform: Windows 2000 SP4 (WinNT 5.00.2195)
        MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\AVPersonal\AVGUARD.EXE
        C:\Program Files\AVPersonal\AVWUPSRV.EXE
        C:\WINNT\System32\svchost.exe
        C:\WINNT\system32\nvsvc32.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\system32\stisvc.exe
        C:\WINNT\System32\WBEM\WinMgmt.exe
        C:\WINNT\system32\svchost.exe
        C:\WINNT\Explorer.EXE
        C:\WINNT\inet10055\winlogon.exe
        C:\Program Files\AVPersonal\AVGNT.EXE
        C:\Program Files\OpenOffice.org1.1.2\program\soffice.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\Program Files\mozilla.org\Mozilla\mozilla.exe
        D:\PROGRAMY\totalcmd\TOTALCMD.EXE
        D:\pili instalacyjne\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.searchportal.info/10055/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        F3 - REG:win.ini: run=C:\WINNT\inet10055\winlogon.exe
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
        O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} -
        C:\WINNT\inet10055\1.02.05.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINNT\system32\msdxm.ocx
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet10055\winlogon.exe
        O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
        O4 - HKCU\..\Run: [xp_system] C:\WINNT\inet10055\winlogon.exe
        O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Program
        Files\OpenOffice.org1.1.2\program\quickstart.exe
        O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) -
        www.cult3d.com/download/cult.cab
        O16 - DPF: {5AE70FF8-20A7-4FC4-B896-404196B8B04C} (Smtpauth Control) -
        i.wp.pl/a/i/poczta_xl/smtpauth.ocx
        O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-4CBF72FAED87}
        - C:\WINNT\system32\textwareilluminatorbaseProtocol.dll

        • netsec Re: Ale to nie koniec..cd 16.12.04, 12:38
          Zamknij wszystkie okna Internet Explorera.
          i usuń w HJ te pozycje:
          F3 - REG:win.ini: run=C:\WINNT\inet10055\winlogon.exe
          O4 - HKLM\..\Run: [xp_system] C:\WINNT\inet10055\winlogon.exe
          O4 - HKCU\..\Run: [xp_system] C:\WINNT\inet10055\winlogon.exe

          Uruchom kompa ponownie i wklej nowy log.
Pełna wersja