Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    Wirus winSock.cfg

    IP: *.bajtnet.lca.pl / *.bajtnet.lca.pl 27.05.05, 18:18
    Witam

    Na komputerze u mnie pojawił wirus ( trojan ), który w okienku powiadamiania
    wyświetla czerwony przycisk z białym krzyżykiem, na pulpicie pojawiły się
    niechciane ikonki, strona przeglądarki startowa IE wyświetla strony
    pornograficzne.

    Mam pytanie, jak się tego pozbyć?

    Po sparwdzeniu programem HijackThis.exe zauważyłem wpis:

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    www.specialgoods.info/ad/ad0415/
    Po kliknięciu przycisku "Fix checked" i ponownym skanowaniem programem
    HijackThis.exe ten wpis dalej się znajduje w rejestrze. Próbowałem ręcznie z
    rejstru usówać i zmieniać wpis na inną stronę, ale bez skutecznie. Po
    włączeniu przegladarki IE zawsze się ładuje strona
    www.specialgoods.info/........... i aktywuje wirus. Próbowałem
    programami atywirusowymi, antydialerowymi i spybot usunąć wirusa winSock.cfg,
    niestety bez skuteku.

    Może komuś udało się usunąć tego wirusa skutecznie , był bym wdzięczyny za
    wskazówki.

    Pozdrwiam

    Poniżej log z programu HijackThis:

    Logfile of HijackThis v1.99.1
    Scan saved at 18:13:47, on 2005-05-28
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\system32\spoolsv.exe
    D:\WINDOWS\Explorer.EXE
    F:\programy\I\Zamiana XP na longorm\trójwymiarowe okna\madotate.exe
    D:\WINDOWS\System32\inetsrv\inetinfo.exe
    D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    D:\Program Files\Eset\nod32krn.exe
    D:\WINDOWS\System32\tcpsvcs.exe
    D:\WINDOWS\System32\snmp.exe
    D:\WINDOWS\System32\svchost.exe
    D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\Documents and Settings\jan kos\Pulpit\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    www.specialgoods.info/ad/ad0415/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} -
    D:\WINDOWS\System32\SEARCH~1.DLL (file missing)
    O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} -
    D:\Program Files\iMesh\iMesh5\iMeshBHO.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
    D:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Idea2 SidebarBrowserMonitor Class -
    {45AD732C-2CE2-4666-B366-B2214AD57A49} - D:\Program Files\Desktop
    Sidebar\sbhelp.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
    D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
    D:\PROGRA~1\FLASHGET\fgiebar.dll (file missing)
    O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
    D:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Program
    Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
    O4 - HKLM\..\Run: [tray.exe] "D:\Program Files\Paragon Software\Paragon CD-ROM
    Emulator\tray.exe"
    O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
    /auto
    O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - Global Startup: Kalendarz XP.lnk = D:\Program Files\Kalendarz
    XP\Kalendarz.exe
    O4 - Global Startup: Skrót do dsidebar.lnk = D:\Program Files\Desktop
    Sidebar\dsidebar.exe
    O4 - Global Startup: Skrót do madotate.lnk = ?
    O4 - Global Startup: Skrót do USUXP.BAT.lnk = D:\USUXP.BAT
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
    O8 - Extra context menu item: &Szukaj w NetSprint.pl - res://D:\Program
    Files\NetSprint Toolbar\toolbar.dll/SEARCH.HTML
    O8 - Extra context menu item: Download &all with DAP -
    D:\PROGRA~1\DAP\dapextie2.htm
    O8 - Extra context menu item: Download All by FlashGet - D:\Program
    Files\FlashGet\jc_all.htm
    O8 - Extra context menu item: Download using FlashGet - D:\Program
    Files\FlashGet\jc_link.htm
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
    res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://D:\Program
    Files\Desktop Sidebar\sbhelp.dll/menuhandler.html
    O9 - Extra button: Subscribe in Desktop Sidebar -
    {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Program Files\Desktop
    Sidebar\sbhelp.dll
    O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar -
    {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Program Files\Desktop
    Sidebar\sbhelp.dll
    O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
    D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Active Whois - {BAB9A4F4-C201-4fcf-A5D3-BA77BC9FBEB2} -
    D:\Program Files\Active Whois\ieshow.exe
    O9 - Extra 'Tools' menuitem: Active Whois -
    {BAB9A4F4-C201-4fcf-A5D3-BA77BC9FBEB2} - D:\Program Files\Active Whois\ieshow.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
    D:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links -
    {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
    D:\PROGRA~1\FLASHGET\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet -
    {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
    O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
    D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
    O9 - Extra 'Tools' menuitem: Yahoo! Messenger -
    {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Program
    Files\Common Files\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - D:\Program
    Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll
    O18 - Filter: text/html - (no CLSID) - (no file)
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Program
    Files\Eset\nod32krn.exe


    Obserwuj wątek
      • Gość: Kolobos Re: Wirus winSock.cfg IP: *.warszawa.sdi.tpnet.pl 27.05.05, 18:41
        Odwrotnie to trojan aktywuje strone startowa :-)

        W hijackthis usun te wpisy:

        Logfile of HijackThis v1.99.1
        Scan saved at 18:13:47, on 2005-05-28
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.specialgoods.info/ad/ad0415/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
        R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} -
        D:\WINDOWS\System32\SEARCH~1.DLL (file missing)
        O3 - Toolbar: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)
        O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
        D:\PROGRA~1\FLASHGET\fgiebar.dll (file missing)
        O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        D:\WINDOWS\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links -
        {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
        O18 - Filter: text/html - (no CLSID) - (no file)

        I Fix Checked, a nastepnie robisz to:
        forum.gazeta.pl/forum/72,2.html?f=430&w=23705306&a=23730181

        Co to jest:
        O4 - Global Startup: Skrót do USUXP.BAT.lnk = D:\USUXP.BAT

        ?


        Oczywiscie nie masz aktualizacji -> www.windowsupdate.com
        Uzyj tez tego:
        www.firewallleaktester.com/tools/wwdc.exe
        • Gość: Gość Re: Wirus winSock.cfg IP: *.bajtnet.lca.pl / *.bajtnet.lca.pl 28.05.05, 00:46
          Witam

          Dziekuję za wskazówki i pomoc w usunieciu trojana winSock.cfg. Pomoc okazana
          przez forumowicza Kolobosa okazała się w 100 % skuteczna :).

          Log z programu HijackThis po usunięciu troja wyglada tak:

          Logfile of HijackThis v1.99.1
          Scan saved at 23:58:03, on 2005-05-28
          Platform: Windows XP (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 (6.00.2600.0000)

          Running processes:
          D:\WINDOWS\System32\smss.exe
          D:\WINDOWS\system32\winlogon.exe
          D:\WINDOWS\system32\services.exe
          D:\WINDOWS\system32\lsass.exe
          D:\WINDOWS\system32\svchost.exe
          D:\WINDOWS\System32\svchost.exe
          D:\WINDOWS\system32\spoolsv.exe
          D:\WINDOWS\System32\inetsrv\inetinfo.exe
          D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
          D:\Program Files\Eset\nod32krn.exe
          D:\WINDOWS\System32\tcpsvcs.exe
          D:\WINDOWS\System32\snmp.exe
          D:\WINDOWS\System32\svchost.exe
          D:\WINDOWS\Explorer.EXE
          D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
          F:\programy\I\Zamiana XP na longorm\trójwymiarowe okna\madotate.exe
          D:\WINDOWS\system32\NOTEPAD.EXE
          D:\Program Files\Internet Explorer\IEXPLORE.EXE
          D:\Documents and Settings\jan kos\Pulpit\programy specjalistyczne\REJESTR\do
          usówania spyware\hijackthis\HijackThis.exe

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          www.gogle.pl
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          www.gogle.pl/
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
          O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} -
          D:\Program Files\iMesh\iMesh5\iMeshBHO.dll
          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
          D:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
          O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-
          B2214AD57A49} - D:\Program Files\Desktop Sidebar\sbhelp.dll
          O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1
          \SPYBOT~1\SDHelper.dll
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
          D:\WINDOWS\System32\msdxm.ocx
          O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Program
          Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
          O4 - HKLM\..\Run: [tray.exe] "D:\Program Files\Paragon Software\Paragon CD-ROM
          Emulator\tray.exe"
          O4 - HKLM\..\Run: [MSConfig]
          D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
          O4 - HKLM\..\Run: [nod32kui] "D:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
          O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search &
          Destroy\TeaTimer.exe
          O4 - Global Startup: Kalendarz XP.lnk = D:\Program Files\Kalendarz
          XP\Kalendarz.exe
          O4 - Global Startup: Skrót do dsidebar.lnk = D:\Program Files\Desktop
          Sidebar\dsidebar.exe
          O4 - Global Startup: Skrót do madotate.lnk = ?
          O4 - Global Startup: Skrót do USUXP.BAT.lnk = D:\USUXP.BAT
          O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
          O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
          O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
          O8 - Extra context menu item: &Szukaj w NetSprint.pl - res://D:\Program
          Files\NetSprint Toolbar\toolbar.dll/SEARCH.HTML
          O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1
          \DAP\dapextie2.htm
          O8 - Extra context menu item: Download All by FlashGet - D:\Program
          Files\FlashGet\jc_all.htm
          O8 - Extra context menu item: Download using FlashGet - D:\Program
          Files\FlashGet\jc_link.htm
          O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
          res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
          O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://D:\Program
          Files\Desktop Sidebar\sbhelp.dll/menuhandler.html
          O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-
          51FB2220DF80} - D:\Program Files\Desktop Sidebar\sbhelp.dll
          O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-
          9411-51FB2220DF80} - D:\Program Files\Desktop Sidebar\sbhelp.dll
          O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
          D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
          O9 - Extra button: Active Whois - {BAB9A4F4-C201-4fcf-A5D3-BA77BC9FBEB2} -
          D:\Program Files\Active Whois\ieshow.exe
          O9 - Extra 'Tools' menuitem: Active Whois - {BAB9A4F4-C201-4fcf-A5D3-
          BA77BC9FBEB2} - D:\Program Files\Active Whois\ieshow.exe
          O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
          D:\PROGRA~1\FLASHGET\flashget.exe
          O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-
          0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
          O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
          D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
          O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-
          0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
          O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - D:\Program
          Files\Common Files\Microsoft Shared\Help\hxds.dll
          O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - D:\Program
          Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll
          O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - D:\Program
          Files\Eset\nod32krn.exe


          > Co to jest:
          > O4 - Global Startup: Skrót do USUXP.BAT.lnk = D:\USUXP.BAT


          Jest to plik wsadowy DOS który usówa z katalogów np.: Temporary Internet Files,
          Cookies i inych programów niepotrzebne pliki.

          Dziekuję jeszcze raz za pomoc w unięciu trojana winSock.cfg

          Pozdrawiam

          Miłego dnia :)




          • Gość: Kolobos Re: Wirus winSock.cfg IP: *.warszawa.sdi.tpnet.pl 28.05.05, 01:07
            Zmien sobie strone startowa z www.gogle.pl na www.google.pl ta przez jedno to
            smiec, szuka tylko w PL + te reklamy na stronie.

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.