Trojan Vbs Manual

23.11.05, 17:58
Witajcie.
Mam taki mały problem. Program Mks_vir wykrył u mnie w komputerze trzy dni
temu trojan jak w temacie, powielony 524 razy. Usunął wszystkie zainfekowane
pliki. Ale problem nie minął. Na dole, w pasku zadań, po prawej stronie
pojawiają się po uruchomieniu komputera 3 małe, czerwone kółeczka, z białym
krzyżykiem w środku, informujące mnie iż mój komputer jest zainfekowany. Kiedy
wciskam Alt Ctrl Del zamykam podejrzane programy - w tym samym momencie
kółeczka znikają. Został zrobiony scan disk, ale w końcu nie doszło do
niczego, komputer ciągle prosi by wyłączyć wszystkie programy, ale są
wyłączone, więc nie chce nic zajść. Wczoraj od godz. 21 była robiona
defragmentacja dysku, dziś ok. godz. 10 rano komputer sam się zrestartował, i
chyba nic nie zaszło. Zainstalowałam również Ad-aware, ale również nic nie
chce robić, Avast również, dlaczego? Jak zakmnąć te programy?
    • neder Re: Trojan Vbs Manual 23.11.05, 18:14
      wklej log z HijackThis. poza tym jak zamykasz te procesy w menedżerze zadań to
      wiesz jak się nazywają i możesz plik usunąć?
      pzdr
      • issey_miyake Re: Trojan Vbs Manual 23.11.05, 18:32
        Logfile of HijackThis v1.99.1
        Scan saved at 18:29:18, on 05-11-23
        Platform: Windows 98 SE (Win9x 4.10.2222A)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\SYSTEM\KERNEL32.DLL
        C:\WINDOWS\SYSTEM\MSGSRV32.EXE
        C:\WINDOWS\SYSTEM\MPREXE.EXE
        C:\WINDOWS\SYSTEM\mmtask.tsk
        C:\WINDOWS\SYSTEM\MSTASK.EXE
        C:\WINDOWS\EXPLORER.EXE
        C:\WINDOWS\SYSTEM\INTERNAT.EXE
        C:\WINDOWS\TASKMON.EXE
        C:\WINDOWS\SYSTEM\PDESK\PDESK.EXE
        C:\WINDOWS\SYSTEM\PAYTIME.EXE
        C:\WINDOWS\SYSTEM\PAYTIME.EXE
        C:\WINDOWS\SYSTEM\DDHELP.EXE
        C:\WINDOWS\SYSTEM\WMIEXE.EXE
        C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
        C:\WINDOWS\SYSTEM\SPOOL32.EXE
        C:\WINDOWS\SYSTEM\MDMS.EXE
        C:\WINDOWS\PULPIT\HIJACKTHIS\HIJACKTHIS.EXE

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        c:\secure32.html
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
        searchbar.findthewebsiteyouneed.com
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
        searchbar.findthewebsiteyouneed.com
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
        searchbar.findthewebsiteyouneed.com
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        c:\secure32.html
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
        searchbar.findthewebsiteyouneed.com
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
        R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
        searchbar.findthewebsiteyouneed.com
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O1 - Hosts: 127.0.0.5 n-glx.s-redirect.com
        O1 - Hosts: 127.0.0.5 x.full-tgp.net
        O1 - Hosts: 127.0.0.5 counter.sexmaniack.com
        O1 - Hosts: 127.0.0.5 autoescrowpay.com
        O1 - Hosts: 127.0.0.5 www.autoescrowpay.com
        O1 - Hosts: 127.0.0.5 www.awmdabest.com
        O1 - Hosts: 127.0.0.5 www.sexfiles.nu
        O1 - Hosts: 127.0.0.5 awmdabest.com
        O1 - Hosts: 127.0.0.5 sexfiles.nu
        O1 - Hosts: 127.0.0.5 allforadult.com
        O1 - Hosts: 127.0.0.5 www.allforadult.com
        O1 - Hosts: 127.0.0.5 www.iframe.biz
        O1 - Hosts: 127.0.0.5 iframe.biz
        O1 - Hosts: 127.0.0.5 www.newiframe.biz
        O1 - Hosts: 127.0.0.5 newiframe.biz
        O1 - Hosts: 127.0.0.5 www.vesbiz.biz
        O1 - Hosts: 127.0.0.5 vesbiz.biz
        O1 - Hosts: 127.0.0.5 www.pi..to.biz
        O1 - Hosts: 127.0.0.5 pi..to.biz
        O1 - Hosts: 127.0.0.5 www.awmcash.biz
        O1 - Hosts: 127.0.0.5 awmcash.biz
        O1 - Hosts: 127.0.0.5 buldog-stats.com
        O1 - Hosts: 127.0.0.5 www.buldog-stats.com
        O1 - Hosts: 127.0.0.5 fregat.drocherway.com
        O1 - Hosts: 127.0.0.5 slutmania.biz
        O1 - Hosts: 127.0.0.5 www.slutmania.biz
        O1 - Hosts: 127.0.0.5 toolbarpartner.com
        O1 - Hosts: 127.0.0.5 www.toolbarpartner.com
        O1 - Hosts: 127.0.0.5 www.megapornix.com
        O1 - Hosts: 127.0.0.5 megapornix.com
        O1 - Hosts: 127.0.0.5 www.sp2fucked.biz
        O1 - Hosts: 127.0.0.5 sp2fucked.biz
        O1 - Hosts: 127.0.0.5 greg-tut.com
        O1 - Hosts: 127.0.0.5 www.greg-tut.com
        O1 - Hosts: 127.0.0.5 nylonsexy.com
        O1 - Hosts: 127.0.0.5 www.nylonsexy.com
        O1 - Hosts: 127.0.0.5 vparivalka.com
        O1 - Hosts: 127.0.0.5 www.vparivalka.com
        O1 - Hosts: 127.0.0.5 iframeprofit.com
        O1 - Hosts: 127.0.0.5 www.iframeprofit.com
        O1 - Hosts: 127.0.0.5 topsearch10.com
        O1 - Hosts: 127.0.0.5 www.topsearch10.com
        O1 - Hosts: 127.0.0.5 statscash.biz
        O1 - Hosts: 127.0.0.5 www.statscash.biz
        O1 - Hosts: 127.0.0.5 vxiframe.biz
        O1 - Hosts: 127.0.0.5 www.vxiframe.biz
        O1 - Hosts: 127.0.0.5 crazy-toolbar.com
        O1 - Hosts: 127.0.0.5 www.crazy-toolbar.com
        O1 - Hosts: 127.0.0.5 topcash.biz
        O1 - Hosts: 127.0.0.5 www.topcash.biz
        O1 - Hosts: 127.0.0.5 loadcash.biz
        O1 - Hosts: 127.0.0.5 www.loadcash.biz
        O1 - Hosts: 127.0.0.5 txiframe.biz
        O1 - Hosts: 127.0.0.5 www.txiframe.biz
        O1 - Hosts: 127.0.0.5 procounter.biz
        O1 - Hosts: 127.0.0.5 www.procounter.biz
        O1 - Hosts: 127.0.0.5 advadmin.biz
        O1 - Hosts: 127.0.0.5 www.advadmin.biz
        O1 - Hosts: 127.0.0.5 trafficbest.net
        O1 - Hosts: 127.0.0.5 www.trafficbest.net
        O1 - Hosts: 127.0.0.5 besthvac.com
        O1 - Hosts: 127.0.0.5 www.besthvac.com
        O1 - Hosts: 127.0.0.5 traff4.com
        O1 - Hosts: 127.0.0.5 www.traff4.com
        O1 - Hosts: 127.0.0.5 ambush-script.com
        O1 - Hosts: 127.0.0.5 www.ambush-script.com
        O1 - Hosts: 127.0.0.5 beehappyy.biz
        O1 - Hosts: 127.0.0.5 www.beehappyy.biz
        O1 - Hosts: 127.0.0.5 tracktraff.cc
        O1 - Hosts: 127.0.0.5 www.tracktraff.cc
        O1 - Hosts: 127.0.0.5 allcount.net
        O1 - Hosts: 127.0.0.5 www.allcount.net
        O1 - Hosts: 127.0.0.5 onedayoffer.biz
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\SYSTEM\MSDXM.OCX
        O4 - HKLM\..\Run: [internat.exe] internat.exe
        O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
        O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
        O4 - HKLM\..\Run: [SystemTray] systray.exe
        O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk\PDesk.exe /Autolaunch
        O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd
        O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb07.exe
        O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll
        O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system\mdms.exe
        O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\SYSTEM\paytime.exe
        O4 - HKLM\..\Run: [timessquare] C:\WINDOWS\TIMESSQUARE.exe
        O4 - HKLM\..\Run: [adtech2005] C:\WINDOWS\ADTECH2005.exe
        O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"
        -lang 1033
        O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
        powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\MOJE DOKUMENTY\GADU-GADU\GG.EXE" /tray
        O4 - HKCU\..\Run: [Active Desktop Calendar] C:\PROGRAM
        FILES\XEMICOMPUTERS\ACTIVE DESKTOP CALENDAR\ADC.EXE
        O4 - HKCU\..\Run: [Shell] "C:\WINDOWS\SYSTEM\ibm00001.exe"
        O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
        O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\SYSTEM\paytime.exe
        O4 - HKCU\..\Run: [WKMR] C:\PROGRAM FILES\COMMON FILES\WKMR\WKMRM.EXE
        O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office10\OSA.EXE
        O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
        res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        C:\WINDOWS\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links -
        {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console -
        {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
        Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
        O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        skaner.mks.com.pl/SkanerOnline.cab


        Wiem, jak się nazywają, klikam na poszczególne, zamykam zadanie i one się po
        prostu zamykają, ale przy ponownym uruchomieniu komputera pojawiają się
        spowrotem. A poza tym Internet działa na zasadzie co rusz otwieranych nowych
        stron reklamowych, amerykańskich.
        • issey_miyake Re: Trojan Vbs Manual 23.11.05, 18:37
          dodam iż zainstalował się Spy Shieriff - ale został usunięty.
          • issey_miyake Re: Trojan Vbs Manual 23.11.05, 18:49
            i jeszcze po uruchomieniu IE pojawiaj się "Detected SPYware! System error #384"
            z adresu "C:\secure32.html".
        • neder Re: Trojan Vbs Manual 23.11.05, 19:23
          > Wiem, jak się nazywają, klikam na poszczególne, zamykam zadanie i one się po
          prostu zamykają, ale przy ponownym uruchomieniu komputera pojawiają się
          spowrotem. A poza tym Internet działa na zasadzie co rusz otwieranych nowych
          stron reklamowych, amerykańskich.


          własnie o tym móie, pewnie siedzą w autostarcie dlatego pojawiaja się znowu. Ale
          skoro znasz nazwy to trzeba było je wyszukac i usunąć... ech...

          Zamykasz w menedżerze zadań i wywalasz p-liki:

          > C:\WINDOWS\SYSTEM\PAYTIME.EXE
          > C:\WINDOWS\SYSTEM\PAYTIME.EXE
          > C:\WINDOWS\SYSTEM\MDMS.EXE -> opis usuwania tu:
          www.searchengines.pl/phpbb203/index.php?showtopic=12510&pid=188758&mode=threaded&show=&st=30&#entry188758
          > C:\WINDOWS\SYSTEM\Kernel.dll -> naprawiasz i usuwasz
          www.pogotovie.pl/encyklopedia_details.php?wirus_id=128&page=pelnyopis
          > C:\WINDOWS\TIMESSQUARE.exe
          > C:\WINDOWS\ADTECH2005.exe
          > C:\winstall.exe


          w HJ wywalasz wpisy:

          > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          > c:\secure32.html
          > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
          > searchbar.findthewebsiteyouneed.com
          > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          > searchbar.findthewebsiteyouneed.com
          > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
          > searchbar.findthewebsiteyouneed.com
          > R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.ht
          > ml
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
          > c:\secure32.html
          > R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
          > searchbar.findthewebsiteyouneed.com
          > R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.ht
          > ml
          > R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
          > searchbar.findthewebsiteyouneed.com
          > R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.ht
          > ml
          > R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.ht
          > ml
          > wszystkie 01

          > O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll
          > O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system\mdms.exe
          > O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\SYSTEM\paytime.exe
          > O4 - HKLM\..\Run: [timessquare] C:\WINDOWS\TIMESSQUARE.exe
          > O4 - HKLM\..\Run: [adtech2005] C:\WINDOWS\ADTECH2005.exe
          > O4 - HKCU\..\Run: [Shell] "C:\WINDOWS\SYSTEM\ibm00001.exe"
          > O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
          > O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\SYSTEM\paytime.exe
          > O4 - HKCU\..\Run: [WKMR] C:\PROGRAM FILES\COMMON FILES\WKMR\WKMRM.EXE
          > O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
          > C:\WINDOWS\web\related.htm


          restart i nowy log

          PS. bez antywirusa i firewalla na 98 daleko nie pojedziesz. Jutro, pojutrze
          będzie to samo...
          pzdr
          > O9 - Extra 'Tools' menuitem: Show &Related Links -
          > {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Pełna wersja