Gość: darr
IP: *.tel167.petrotel.pl
27.12.04, 21:27
Mam następujacą sprawę: Miałem w kompie trojana Timesys, który siedział
katalogu C:\Windows\system32\systime.exe
Powodował on samoczynną zmianę strony startowej z www.wp.pl na
http:\\213.159.117.134 - to jest jakaś wyszukiwarka. Do tego skrót w
ulubionych oraz w Starcie. Dodatkowo zamiast normalnej tapety pojawiła się
inna czarna z napisem na środku ekranu w stylu Warning don't change i dalej
bla bla
Skaner Mks-a usunął tego wirusa po kilku próbach.
Obecnie po ponownym włączeniu nie wykrywa tego wirusa a ja kasując w
rejestrze dwie ścieżki pozbyłem się niechcianej strony startowej. Pozostał
problem tapety na pulpicie. Jeśli kliknę na tapetę prawym przyciskiem myszy i
wybiorę menu właściwości to zamiast standardowej opcji i zakładek na górze
takich jak ekran, monitor, wygaszacz itp. mam informację, że jest to protokół
html:
Protokół: File protocol
Typ: HTML Document
Transmisja: Nie zaszyfrowano
Adres URL: file://C:\WINDOWS\desktop.html
Rozmiar: Brak
Utworzony: Brak
Zmodyfikowany: Brak
Odnalazłem plik desktop na dysku i go usunąłem i tapeta zrobiła się z czarnej
biała z tym, że bez napisu. Jak klikam prawym przyciskiem myszy a potem menu
właściwości to jest to samo co wcześciej tzn. pokazuje się, że jest to
dokument html.
Jak próbuję ustawić własną tapetę to ona jakgdyby miga ale ciagle jest ta
biała strona. I jeszcze na koniec jak włączam lub wyłączam system to przez
chwilę pokazuje się ustawiona moja tapeta potem powitanie windows
("zapraszamy") i jak komp jest uruchomiony to jest ta biała strona. Co zatem
robić aby mieć przez siebie ustawioną tapetę. Wydaje mi sie, że moja tapeta
jest jakgdyby przykrywana przez ta białą html-ową. Dodam, że ad aware i
shredder nie wykrywają żadnych nieprawidłowości i wyswietlają komunikat ok,
skaner mks tez pokazuje, ze jest czysto. Wkleje loga z hijacka - może coś
poradzicie
Logfile of HijackThis v1.97.7
Scan saved at 21:10:59, on 2004-12-27
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\MKS\Bin\mks_mail.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\xxx\Dane aplikacji\snts.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.wp.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog
Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog
Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program
Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MailScanner] C:\Program Files\MKS\Bin\mks_mail.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "d:\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [pcby1se46e] C:\WINDOWS\793hp200rr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01
\bin\jusched.exe
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Abst] C:\Documents and Settings\xxx\Dane aplikacji\snts.exe
O4 - Global Startup: Menu mks_vir.lnk = C:\Program Files\MKS\Bin\mks_menu.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1
\NTXcontext.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: komentator - http://sport.onet.pl/komentator.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -
http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX
Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) -
http://poczta.wp.pl/autoryzacja/mailcfg.ocx
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) -
http://67.15.101.3/g_bin/pl/navy_2_0_0_17.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility
Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) -
http://iframedollars.biz/tb/loader2.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?
38083.0789699074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540001} -
http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
http://skaner.mks.com.pl/SkanerOnline.cab
czy wywalić trzeba te dwa wpisy z tym nieszczęsnym IP 213.159.117.134 ?