Niechciana tapeta sama się ustawia

IP: *.tel167.petrotel.pl 27.12.04, 21:27
Mam następujacą sprawę: Miałem w kompie trojana Timesys, który siedział
katalogu C:\Windows\system32\systime.exe
Powodował on samoczynną zmianę strony startowej z www.wp.pl na
http:\\213.159.117.134 - to jest jakaś wyszukiwarka. Do tego skrót w
ulubionych oraz w Starcie. Dodatkowo zamiast normalnej tapety pojawiła się
inna czarna z napisem na środku ekranu w stylu Warning don't change i dalej
bla bla

Skaner Mks-a usunął tego wirusa po kilku próbach.
Obecnie po ponownym włączeniu nie wykrywa tego wirusa a ja kasując w
rejestrze dwie ścieżki pozbyłem się niechcianej strony startowej. Pozostał
problem tapety na pulpicie. Jeśli kliknę na tapetę prawym przyciskiem myszy i
wybiorę menu właściwości to zamiast standardowej opcji i zakładek na górze
takich jak ekran, monitor, wygaszacz itp. mam informację, że jest to protokół
html:

Protokół: File protocol
Typ: HTML Document
Transmisja: Nie zaszyfrowano
Adres URL: file://C:\WINDOWS\desktop.html
Rozmiar: Brak
Utworzony: Brak
Zmodyfikowany: Brak

Odnalazłem plik desktop na dysku i go usunąłem i tapeta zrobiła się z czarnej
biała z tym, że bez napisu. Jak klikam prawym przyciskiem myszy a potem menu
właściwości to jest to samo co wcześciej tzn. pokazuje się, że jest to
dokument html.

Jak próbuję ustawić własną tapetę to ona jakgdyby miga ale ciagle jest ta
biała strona. I jeszcze na koniec jak włączam lub wyłączam system to przez
chwilę pokazuje się ustawiona moja tapeta potem powitanie windows
("zapraszamy") i jak komp jest uruchomiony to jest ta biała strona. Co zatem
robić aby mieć przez siebie ustawioną tapetę. Wydaje mi sie, że moja tapeta
jest jakgdyby przykrywana przez ta białą html-ową. Dodam, że ad aware i
shredder nie wykrywają żadnych nieprawidłowości i wyswietlają komunikat ok,
skaner mks tez pokazuje, ze jest czysto. Wkleje loga z hijacka - może coś
poradzicie



Logfile of HijackThis v1.97.7
Scan saved at 21:10:59, on 2004-12-27
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\MKS\Bin\mks_mail.exe
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\xxx\Dane aplikacji\snts.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.wp.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog
Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog
Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program
Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MailScanner] C:\Program Files\MKS\Bin\mks_mail.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "d:\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [pcby1se46e] C:\WINDOWS\793hp200rr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01
\bin\jusched.exe
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Abst] C:\Documents and Settings\xxx\Dane aplikacji\snts.exe
O4 - Global Startup: Menu mks_vir.lnk = C:\Program Files\MKS\Bin\mks_menu.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1
\NTXcontext.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: komentator - http://sport.onet.pl/komentator.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -
http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX
Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) -
http://poczta.wp.pl/autoryzacja/mailcfg.ocx
O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) -
http://67.15.101.3/g_bin/pl/navy_2_0_0_17.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility
Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) -
http://iframedollars.biz/tb/loader2.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?
38083.0789699074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540001} -
http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
http://skaner.mks.com.pl/SkanerOnline.cab

czy wywalić trzeba te dwa wpisy z tym nieszczęsnym IP 213.159.117.134 ?
    • netsec Re: Niechciana tapeta sama się ustawia 28.12.04, 10:33
      Ściągnij nowy CWShredder 2.12 cwshredder.net/bin/CWShredder.exe
      Zamknij wszystkie okna Internet Explorer'a
      Uruchom CWShredder i wykonaj FIX.
      Po tym wklej log wykonany nowszym HJ:
      forum.gazeta.pl/forum/72,2.html?f=23618&w=16131117&wv.x=2&a=18632867
      • Gość: darr Re: Niechciana tapeta sama się ustawia IP: *.tel167.petrotel.pl 28.12.04, 15:36
        Ściągnąłem nowego Shreddera i wynik był następujący:

        Restoring IE Pages 0 Restored
        Restoring hidden IE Options tabs Done
        Removing hosts file redirections None Infected

        wszędzie powyżej - Not Present


        Natomiast z nowym hijackiem jest problem bo w trakcie skanowania wyskakuje
        komunikat " Wystąpił problem z aplikacją Hijacks i zostanie ona zamknięta.
        Przepraszamy za kłopoty". Ściągałem parę razy, robiłem restart kompa i nadal
        jest to samo.

        Dlatego zrobiłem log tą starszą wersją Hijacka ( tzn. 1.97.7 ) i oto wynik:


        Logfile of HijackThis v1.97.7
        Scan saved at 15:22:35, on 2004-12-28
        Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\WINDOWS\System32\Ati2evxx.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\MKS\Bin\mksmonsv.exe
        C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
        C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
        C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
        C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
        C:\Program Files\Logitech\iTouch\iTouch.exe
        C:\Program Files\MKS\Bin\mks_mail.exe
        C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\Documents and Settings\xxx\Dane aplikacji\snts.exe
        C:\WINDOWS\System32\?srss.exe
        C:\Program Files\MKS\Bin\mks_menu.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\MKS\Bin\mks_scan.exe
        C:\WINDOWS\System32\wuauclt.exe
        C:\Program Files\Hijackthis\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.wp.pl/
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
        O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
        Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
        O2 - BHO: (no name) - {2D2DA533-4BFE-1276-A2DD-30C68B63C69D} -
        C:\WINDOWS\System32\vbaw.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\System32\msdxm.ocx
        O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog
        Devices\SoundMAX\SMax4PNP.exe
        O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog
        Devices\SoundMAX\Smax4.exe" /tray
        O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
        Panel\atiptaxx.exe
        O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program
        Files\Logitech\iTouch\iTouch.exe
        O4 - HKLM\..\Run: [MailScanner] C:\Program Files\MKS\Bin\mks_mail.exe
        O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
        O4 - HKLM\..\Run: [WinampAgent] "d:\Winamp3\winampa.exe"
        O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
        atboottime
        O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
        O4 - HKLM\..\Run: [pcby1se46e] C:\WINDOWS\793hp200rr.exe
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01
        \bin\jusched.exe
        O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\breg.exe"
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
        O4 - HKCU\..\Run: [Abst] C:\Documents and Settings\xxx\Dane aplikacji\snts.exe
        O4 - HKCU\..\Run: [Dmq] C:\WINDOWS\System32\?srss.exe
        O4 - Global Startup: Menu mks_vir.lnk = C:\Program Files\MKS\Bin\mks_menu.exe
        O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office\OSA9.EXE
        O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1
        \NTXcontext.htm
        O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
        O9 - Extra button: NeoTrace It! (HKCU)
        O16 - DPF: komentator - sport.onet.pl/komentator.cab
        O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) -
        www.apple.com/qtactivex/qtplugin.cab
        O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) -
        download.macromedia.com/pub/shockwave/cabs/director/sw.cab
        O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) -
        poczta.wp.pl/autoryzacja/mailcfg.ocx
        O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) -
        67.15.101.3/g_bin/pl/navy_2_0_0_17.cab
        O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility
        Class) - security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
        O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) -
        iframedollars.biz/tb/loader2.ocx
        O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
        v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38083.0789699074
        O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
        fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
        O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540001} -
        fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        skaner.mks.com.pl/SkanerOnline.cab
        Jak skanowałem nowszą wersją to zanim wyskoczył ten wspomniany wcześniej
        komunikat zdążyłem zauważyć, że też nie było na początku tych numerów IP co
        wcześniej.
        • Gość: darr Re: Niechciana tapeta sama się ustawia IP: *.tel167.petrotel.pl 28.12.04, 16:01
          Jest jeszcze taka sprawa. Czasem jak otworzę IE to wyskakuje okienko, w którym
          pisze:
          Czy chcesz uruchomić obiekt Virus Free click on yes podpisany przez firmę Phon
          Com s.r.l.
          Autentyczność wydawcy zweryfikowana przez Thawte Code Signing CA.

          Uwaga: Phon Com zapewnia, że zawartość jest bezpieczna, zainstaluj, przeglądaj
          tylko wtedy jeśli ufasz zapewnieniu Phon Com s.r.l. I na dole kratka do
          zaznaczenia "ptaszka" : Zawsze ufaj zawartości Phon Com

          Dodatkowo gdy to okienko jest wyswietlone to na pasku zadań pojawia się
          najpierw www.advnt01.com a po chwili Sfondi Desktop.
          • Gość: chicarica Re: Niechciana tapeta sama się ustawia IP: *.softlab.gda.pl 16.01.05, 09:21
            Ratunku! Mam ten sam problem, adaware i spybot tego nie wykrywają. Czy ktoś
            mógłby mi pomóc?
    • Gość: ja Re: Niechciana tapeta sama się ustawia IP: *.neonet.slask.pl / *.neonet.slask.pl 16.01.05, 12:20
      ja też mam identyczny problem.
      Skąd to się wzięło.
      Biała strona startowa.
      Gdzie to szukać.
      Szukam też System Volume Iformation.

    • Gość: darr Re: Niechciana tapeta sama się ustawia IP: *.tel167.petrotel.pl 16.01.05, 17:15
      Ja juz mam czysto. Usuńcie najpierw wszystkie trojany i wirusy. Mi udało sie to
      za pomocą mks online i avasta. A tą niechcianą tapetę usunąłem tak:
      Najedźcie myszą na brzeg ekranu tam gdzie nie sięga ta niechciana tapeta
      kliknijcie prawy przycisk myszy, właściwości, zakładka pulpit, dostosuj pulpit,
      zakładka sieć web i odznaczcie Security. U mnie zadziałało.
      • Gość: Veller Re: Niechciana tapeta sama się ustawia IP: *.244.159.46.mielec159.tnp.pl 01.02.05, 20:38
        Dzięki bardzo ! Miałem ten sam problem i zadziałało ! :) Tylko najpierw usuńcie
        wszystkie wirusy a potem to .. ;)
      • Gość: Bartek Re: Niechciana tapeta sama się ustawia IP: *.neoplus.adsl.tpnet.pl 04.02.05, 21:11
        Dzięki darr - jesteś wielki!!
Pełna wersja