Win32 Cimruz - opcja mailowa

01.12.05, 20:21
Dostałem wersję z opcją mailową
tzn. prawdopodobnie z opcją kopiowania poczty do mnie przychodzącej i
wychodzącej no i wysyłania by smtp na serwer wysyłacza
całośc trojana wyczysciłem - tj. z startupu, plik główny, przetrwalnik z
systemu 32 i drugi z danych aplikacji, poczyściłem rejestr
ale...
część mailowa nadal została jak startuje Outlooocka załącza się (widać ikonkę
przez sekundę w Trayu) ni i robi swoje
pytanie jak to działa i gdzie się znajduje bo dojść nie mogę
domyslam się że musi byc zapis w rejestrze poczty ale nie bardzo wiem w którym
miejscu czy przy outlocku czy OExpressie, a nie chcę wyrzucać na chybił trafił:)
    • Gość: k Re: Win32 Cimruz - opcja mailowa IP: *.icm.edu.pl / *.icm.edu.pl 01.12.05, 21:08
      Nie wiem o co Ci chodzi ale ten trojan chyba ma troche inna nazwe.
      Wklej moze log z hijackthis.
      • samentu Re: Win32 Cimruz - opcja mailowa 01.12.05, 21:34
        Logfile of HijackThis v1.99.1
        Scan saved at 21:29:47, on 2005-12-01
        Platform: Windows XP (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 (6.00.2600.0000)

        Running processes:
        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\WINDOWS\explorer.exe
        C:\WINDOWS\System32\nvsvc32.exe
        C:\WINDOWS\System32\tcpsvcs.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\System32\MsPMSPSv.exe
        C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\Program Files\Common Files\Real\Update_OB\realsched.exe
        D:\Ebola\Stuff\ProPort.exe
        C:\WINDOWS\System32\ctfmon.exe
        C:\Program Files\Messenger\msmsgs.exe
        C:\WINDOWS\System32\RUNDLL32.EXE
        C:\Program Files\Java\jre1.5.0_01\bin\jucheck.exe
        C:\Program Files\Spyware Doctor\swdoctor.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\WINDOWS\System32\taskmgr.exe
        C:\Program Files\SlowView\Slowview.exe
        C:\Program Files\Firefox 1.0\firefox\firefox.exe
        C:\WINDOWS\system32\ntvdm.exe
        D:\Ebola\Stuff\HjThis\HijackThis.exe

        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

        C:\WINDOWS\SYSTEM\blank.htm
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

        = Łącza
        F2 - REG:system.ini: Shell=explorer.exe



        "C:\Program Files\Common Files\Microsoft Shared\Web

        Folders\ibm00001.exe"
        O1 - Hosts: 64.237.37.47 auto.search.msn.com
        O2 - BHO: PopThis BHO - {0549E6CB-9985-42F6-8FD6-4EC017E6AAE1} -

        C:\Program Files\Surfapps.com\PopThis! Free Version\PopThis.dll
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

        - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
        O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB}

        - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
        O2 - BHO: AcroIEToolbarHelper Class -

        {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program

        Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
        O2 - BHO: PCTools Browser Monitor -

        {B56A7D7D-6927-48C8-A975-17DF180C71AC} -

        C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

        C:\WINDOWS\System32\msdxm.ocx
        O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -

        C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
        O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
        O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
        O4 - HKLM\..\Run: [Jet Detection] "C:\Program

        Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
        O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash

        Screen\CTEaxSpl.EXE /run
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program

        Files\Java\jre1.5.0_01\bin\jusched.exe
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [ProPort StartUp] D:\Ebola\Stuff\ProPort.exe

        /StartUp
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
        O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"

        /background
        O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE

        C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
        O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware

        Doctor\swdoctor.exe" /Q
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe"

        /tray
        O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\System32\shellexp.exe en
        O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft

        Shared\Web Folders\ibm00001.exe"
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}

        - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console -

        {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

        Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
        O9 - Extra button: Spyware Doctor -

        {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -

        C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
        O9 - Extra button: (no name) - {91663649-416A-42A5-8E54-B63C1ECA0548}

        - C:\Program Files\Surfapps.com\PopThis! Free Version\PopThis.dll
        O9 - Extra 'Tools' menuitem: PopThis! Options... -

        {91663649-416A-42A5-8E54-B63C1ECA0548} - C:\Program

        Files\Surfapps.com\PopThis! Free Version\PopThis.dll
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -

        C:\WINDOWS\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links -

        {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
        O17 -

        HKLM\System\CCS\Services\Tcpip\..\{096F38D3-89A1-4C4E-B984-F6A1886346A

        5}: NameServer = 85.255.114.10,85.255.112.25
        O17 -

        HKLM\System\CCS\Services\Tcpip\..\{57E65C7A-1BE2-447A-925D-1A385077025

        5}: NameServer = 85.255.114.10,85.255.112.25
        O17 -

        HKLM\System\CS1\Services\Tcpip\..\{096F38D3-89A1-4C4E-B984-F6A1886346A

        5}: NameServer = 85.255.114.10,85.255.112.25
        O17 -

        HKLM\System\CS2\Services\Tcpip\..\{096F38D3-89A1-4C4E-B984-F6A1886346A

        5}: NameServer = 85.255.114.10,85.255.112.25
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner

        - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: avast! Antivirus - Unknown owner - C:\Program

        Files\Alwil Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program

        Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
        O23 - Service: avast! Web Scanner - Unknown owner - C:\Program

        Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
        O23 - Service: Creative Service for CDROM Access - Unknown owner -

        C:\WINDOWS\System32\CTsvcCDA.exe (file missing)
        O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA

        Corporation - C:\WINDOWS\System32\nvsvc32.exe
        O23 - Service: Pml Driver HPZ12 - HP -

        C:\WINDOWS\System32\HPZipm12.exe
        O23 - Service: Remote Packet Capture Protocol v.0 (experimental)

        (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f

        "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
        • Gość: k Re: Win32 Cimruz - opcja mailowa IP: *.icm.edu.pl / *.icm.edu.pl 01.12.05, 22:09
          Masz piracki windows bez aktualizaji, a log w tym stanie to sprawdzaj sama jak
          lubisz czytac cos takiego! Wszystko sie rozjechalo!
          • samentu Re: Win32 Cimruz - opcja mailowa 01.12.05, 22:12
            he he:)
            wszystko to wiem, log sprawdziłem i jest w porządku
            aktualizować Winzgrozy nie mam zamiaru
            natomiast cholerstwo kopiujace maile ciągle tkwi i jak widać nie jest w
            autostarcie i okolicach zlokalizowane
            • Gość: k Re: Win32 Cimruz - opcja mailowa IP: *.icm.edu.pl / *.icm.edu.pl 01.12.05, 22:18
              Log nie jest w porzadku wiec nie wiem jak to sprawdzales...
              • samentu Re: Win32 Cimruz - opcja mailowa 02.12.05, 00:27
                Rzeczywiście, teraz jak przeczytałem dokładnie zauważyłem
                zaraz poczyszczę
    • samentu Re: Win32 Cimruz - opcja mailowa 02.12.05, 01:36
      Komp poczyszczony - śmiga jak nowo narodzony:)
      ale nadal nie wiem jak opcja mailowa działa i gdzie jest/była ulokowana:(
Pełna wersja