Gdy kliknąłem link wwiadomosci GG...

IP: *.neoplus.adsl.tpnet.pl 27.02.06, 22:21
Przez przypadek kliknąłem na link, zawarty w wiadonosci GaduGadu. I mój system
został bardzo szybko zawirusowany. Jako programu antywirusowego używam
"avast!", i usunał on wirusy i trojany. Jednak ciągle (co 20 sek) otrzymuje
wiadomosci mniej wiecej takiej tresci:

PoDEJRZANA WIADMOSC
Zbyt dużo identycznych wiadomości w wyznaczonym czasie
Nadawca: "Horace Nelson" <nzpqkyjmsjm@republika.pl>
Odbiorca: <subway@aramark.com>
Temat: Fw: Wall Street Micro News Report

Nizebyt to rozumiem, ta wiadmomsc nie jest przeciez do mnie!?
Jak moge sie pozbyc tych "podejrzanych wiadomosci"? Czy napewno usunałem
wszystkie wirusy i trojany?

Bardzo prosze o rady...
    • kolobos Re: Gdy kliknąłem link wwiadomosci GG... 27.02.06, 22:56
      Trojan wysyla spam z Twojego komputera, zapewne ten:
      www.searchengines.pl/phpbb203/index.php?showtopic=12510&pid=227017&st=45&#entry227017

      Jak juz usuniesz to wklej log z hijackthis.
      • Gość: Wolf1234 Re: Gdy kliknąłem link wwiadomosci GG... IP: *.neoplus.adsl.tpnet.pl 28.02.06, 10:05
        Zainstalowałem konsole odzyskiwania. Po ponownym uruchomieniu komputera wszedłem
        do niej (jak przy wyborze systemu operacyjnego).
        Niestety, polecania:
        "

        DISABLE RpcxSs
        DEL C:\WINDOWS\system32\rpcxss.dll
        EXIT
        "
        Nie działaja... prawdopodobnie dlatego, że nie mam pliku rpcxss.dll... Z drugiej
        strony opis trojana zgadza się...

        Log uzyskany za pomoca programy HijackThis wygląda tak:

        Logfile of HijackThis v1.99.1
        Scan saved at 10:04:07, on 2006-02-28
        Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS.0\System32\smss.exe
        C:\WINDOWS.0\system32\winlogon.exe
        C:\WINDOWS.0\system32\services.exe
        C:\WINDOWS.0\system32\lsass.exe
        C:\WINDOWS.0\system32\svchost.exe
        C:\WINDOWS.0\System32\svchost.exe
        C:\WINDOWS.0\Explorer.EXE
        C:\WINDOWS.0\system32\spoolsv.exe
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        C:\Program Files\Alwil Software\Avast4\ashServ.exe
        C:\WINDOWS.0\system32\slserv.exe
        C:\WINDOWS.0\System32\svchost.exe
        C:\WINDOWS.0\System32\hkcmd.exe
        C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
        C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
        C:\PROGRA~1\NEOSTR~1\CnxMon.exe
        C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
        C:\Program Files\Winamp\winampa.exe
        C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
        C:\WINDOWS.0\System32\ctfmon.exe
        C:\Program Files\Gadu-Gadu\gg.exe
        C:\Program Files\Skype\Phone\Skype.exe
        C:\WINDOWS.0\System32\taskdir.exe
        C:\Program Files\SpySheriff\SpySheriff.exe
        C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
        C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
        C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
        C:\Program Files\Neostrada TP\NeostradaTP.exe
        C:\Program Files\Neostrada TP\ComComp.exe
        C:\Program Files\Neostrada TP\Watch.exe
        C:\Program Files\Mozilla Firefox\firefox.exe
        C:\Documents and Settings\Rafał\Ustawienia lokalne\Temp\Katalog tymczasowy 2 dla
        hijackthis.zip\HijackThis.exe

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.neostrada.pl
        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
        C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
        O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
        Files\Java\jre1.5.0_06\bin\ssv.dll
        O2 - BHO: IExplorerHelper Class - {BA12780E-B91E-41A7-A51A-528CBD64284E} -
        C:\WINDOWS.0\System32\IeHelperEx.dll (file missing)
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS.0\System32\msdxm.ocx
        O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS.0\System32\hkcmd.exe
        O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
        O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
        O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
        O4 - HKLM\..\Run: [autoclk] autoclk.exe
        O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
        O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
        O4 - HKLM\..\Run: [adiras] adiras.exe
        O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS.0\System32\\NeroCheck.exe
        O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
        O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
        O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
        Files\Java\jre1.5.0_06\bin\jusched.exe
        O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
        O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
        O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
        /minimized
        O4 - HKCU\..\Run: [taskdir] C:\WINDOWS.0\System32\taskdir.exe
        O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
        O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program
        Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
        O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
        800-840\dslmon.exe
        O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
        C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
        O9 - Extra 'Tools' menuitem: Sun Java Console -
        {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
        Files\Java\jre1.5.0_06\bin\ssv.dll
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        C:\WINDOWS.0\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links -
        {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
        O17 - HKLM\System\CCS\Services\Tcpip\..\{A4F69E87-F587-4EAE-94B6-D86E82A7ACFD}:
        NameServer = 194.204.152.34 217.98.63.164
        O20 - Winlogon Notify: igfxcui - C:\WINDOWS.0\SYSTEM32\igfxsrvc.dll
        O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
        O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
        C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
        O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashServ.exe
        O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashMaiSv.exe" /service (file missing)
        O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
        Software\Avast4\ashWebSv.exe" /service (file missing)
        O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS.0\SYSTEM32\slserv.exe





        • kolobos Re: Gdy kliknąłem link wwiadomosci GG... 28.02.06, 10:47
          W menadzerze zadan zakoncz:
          C:\WINDOWS.0\System32\taskdir.exe
          C:\Program Files\SpySheriff\SpySheriff.exe

          W hijckthis:
          O2 - BHO: IExplorerHelper Class - {BA12780E-B91E-41A7-A51A-528CBD64284E} -
          C:\WINDOWS.0\System32\IeHelperEx.dll (file missing)
          O4 - HKCU\..\Run: [taskdir] C:\WINDOWS.0\System32\taskdir.exe <- usun plik
          O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe <-
          odinstaluj i usun katalog SpySheriff
          O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
          C:\WINDOWS.0\web\related.htm
          O9 - Extra 'Tools' menuitem: Show &Related Links -
          {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
          O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)

          Zrob skan:
          linorg.ciagri.usp.br/ftp/pub/windows/anti-spyware/ssfsetup1_0.exe
          download.ewido.net/ewido-setup.exe
          Przed skanowaniem zrob update definicji, po przeskanowaniu odinstaluj oba
          programy.

          Wklej tez to co Ci zwraca polecenie:
          tasklist /svc
          • Gość: wolf1234 Re: Gdy kliknąłem link wwiadomosci GG... IP: *.neoplus.adsl.tpnet.pl 01.03.06, 17:30
            Wykonałem wszystko tak jak Pan polecił.
            Programy znalazły 60 "śladów" wirusa.
            Niesety polecenie "tasklist /svc" nie działa - chyba został usuniety ten plik.
            Nie weim czy z powodu braku tego pliku, ale czasem gasnie ekran mojego
            komputera (ten kompter to laptop).

            Poki co nie otrzymuje wiadomosci o "podejrzanych wiadomosciach"

            HijackThis wyglada teraz w ten sposób:

            Logfile of HijackThis v1.99.1
            Scan saved at 17:27:23, on 2006-03-01
            Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

            Running processes:
            C:\WINDOWS.0\System32\smss.exe
            C:\WINDOWS.0\system32\winlogon.exe
            C:\WINDOWS.0\system32\services.exe
            C:\WINDOWS.0\system32\lsass.exe
            C:\WINDOWS.0\system32\svchost.exe
            C:\WINDOWS.0\System32\svchost.exe
            C:\WINDOWS.0\Explorer.EXE
            C:\WINDOWS.0\system32\spoolsv.exe
            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            C:\Program Files\Alwil Software\Avast4\ashServ.exe
            C:\WINDOWS.0\system32\slserv.exe
            C:\WINDOWS.0\System32\svchost.exe
            C:\WINDOWS.0\System32\hkcmd.exe
            C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
            C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
            C:\PROGRA~1\NEOSTR~1\CnxMon.exe
            C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
            C:\Program Files\Winamp\winampa.exe
            C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
            C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
            C:\WINDOWS.0\System32\ctfmon.exe
            C:\Program Files\Gadu-Gadu\gg.exe
            C:\Program Files\Skype\Phone\Skype.exe
            C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
            C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
            C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
            C:\Program Files\Neostrada TP\NeostradaTP.exe
            C:\Program Files\Neostrada TP\ComComp.exe
            C:\Program Files\Neostrada TP\Watch.exe
            C:\Program Files\Mozilla Firefox\firefox.exe
            C:\Documents and Settings\Rafał\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla
            hijackthis-2.zip\HijackThis.exe

            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = szukaj.wp.pl
            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
            www.neostrada.pl
            R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
            C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
            C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
            O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
            Files\Java\jre1.5.0_06\bin\ssv.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINDOWS.0\System32\msdxm.ocx
            O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS.0\System32\hkcmd.exe
            O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
            O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
            O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
            O4 - HKLM\..\Run: [autoclk] autoclk.exe
            O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
            O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
            O4 - HKLM\..\Run: [adiras] adiras.exe
            O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS.0\System32\\NeroCheck.exe
            O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
            O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
            O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
            Files\Java\jre1.5.0_06\bin\jusched.exe
            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
            O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
            O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
            /minimized
            O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program
            Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
            O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
            800-840\dslmon.exe
            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
            C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
            O9 - Extra 'Tools' menuitem: Sun Java Console -
            {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program
            Files\Java\jre1.5.0_06\bin\ssv.dll
            O17 - HKLM\System\CCS\Services\Tcpip\..\{A4F69E87-F587-4EAE-94B6-D86E82A7ACFD}:
            NameServer = 194.204.152.34 217.98.63.164
            O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashServ.exe
            O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashMaiSv.exe" /service (file missing)
            O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
            Software\Avast4\ashWebSv.exe" /service (file missing)
            O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS.0\SYSTEM32\slserv.exe

            • kolobos Re: Gdy kliknąłem link wwiadomosci GG... 01.03.06, 19:11
              Sprobuj wyszukac plik tasklist.exe w wyszukiwarce plikow pod windowsem.
              Jezeli go nie bedzie to wypakuj go z plyty instalacyjnej XP o tak:
              Start->Uruchom->expand X:\i386\tasklist.ex_ C:\WINDOWS.0\system32\tasklist.exe
              Za X wstaw swoja litere cdromu.

              > Nie weim czy z powodu braku tego pliku, ale czasem gasnie ekran mojego
              > komputera (ten kompter to laptop).

              Podczas pracy? Czy moze jak nic nie robisz przez chwile?
              • Gość: Wolf1234 Re: Gdy kliknąłem link wwiadomosci GG... IP: *.neoplus.adsl.tpnet.pl 01.03.06, 21:11
                Niestety, powyższe polecenie nie działa - prawdopodobnie dlatego, że na moim
                dysku WIN XP Home Edition brak takiego pliku.

                Problemy z ekranem były jednorazowe i prwdopodobnie nie związane z tym wirusem.

                Informacje o wirusach juz sie nie powtarzają... :-)
    • Gość: Wolf1234 Re: Gdy kliknąłem link wwiadomosci GG... IP: *.neoplus.adsl.tpnet.pl 05.03.06, 14:58
      Chciałem jeszcze tylko PODZIEKOWAC ZA POMOC! Teraz juz wszystko jest OK...
Pełna wersja