Problem z wirusem proszę o pomoc

Dla specjalistów Bezpieczeństwo
#1

witam

mam poważny problem z którym walczę od dwóch dni i niemogę sobie poradzić, a mianowicie podłapałem wirusa- konia trojana STARTPAGE podmieniającego stronę startową, ulokował się (tak podaje antyvirus AVG)

w C document - ustawienia, a plikk nazywa się se.dll, pozatym kiedy tylko otwieram internet explorer wyskakuje mi monit o braku dostępu RUNDL.

Plik można łatwo usunąć jednak za chwilę wraca, skanowałem i usuwałem

AVG, SEARCH&DESTROY, oraz ADAWARE PERSONAL i bez skutku, skanowałem MKS online i też bez rezultatu, po usunięciu wciąż powraca.

Mój system to XP SP1

Poniżej wklejam log

Proszę o pomoc, jak się tego pozbyć

Logfile of HijackThis v1.99.1

Scan saved at 06:08:29, on 2005-05-09

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINDOWS\System32\devldr32.exe

C:\Program Files\Grisoft\AVG7\avgcc.exe

C:\Program Files\AntyDialer TP\AntydialerTP.exe

C:\WINDOWS\sllights.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\mirage\USTAWI~1\Temp\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\mirage\USTAWI~1\Temp\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {893F9560-0851-4C4F-9AFF-B091C41AD603} - C:\WINDOWS\System32\ajhh.dll

O4 - HKLM…\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O17 - HKLM\System\CCS\Services\Tcpip…{A6C4B083-8910-4D7B-BFC4-6BB515EEE18E}: NameServer = 217.30.129.149 217.30.137.200

O18 - Filter: text/html - {CA4369F5-62DA-45E7-8EF5-93A20B684475} - C:\WINDOWS\System32\ajhh.dll

O18 - Filter: text/plain - {CA4369F5-62DA-45E7-8EF5-93A20B684475} - C:\WINDOWS\System32\ajhh.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

…dodano

usuwałem równięż ręcznie wpis z rejestru, i też powraca.

Połączono

Asterisk

#2

Tutaj masz wszystko ładnie opisane:

http://www.searchengines.pl/phpbb203/in … 4586&hl=se.dll

Po zabiegu wklej nowego loga.

#3

  1. Wyłączyć Przywracanie systemu w XP.

  2. Zastartować do trybu awaryjnego bez internetu.

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.

  4. Skasowanie z dysku plików, które podkreśliłem na czerwono

  5. Użyj zestawu FxAgentB.exe + CWShredder + Ad-aware + SpSeHjfix112.

  6. Dokończyć skanerami online - Scanery do wyboru

  7. Pokazać nowy log :stuck_out_tongue:

#4

dziękuje, teraz już jest o.k (tak mi się wydaje)

podaje do sprawdzenia logo, zerknijcie czy coś jeszcze

(5-9-05 07:41:55) SPSeHjFix started v1.1.2

(5-9-05 07:41:55) OS: WinXP Dodatek Service Pack. 1 (5.1.2600)

(5-9-05 07:41:55) Language: polski

(5-9-05 07:41:55) Win-Path: C:\WINDOWS

(5-9-05 07:41:55) System-Path: C:\WINDOWS\System32

(5-9-05 07:41:55) Temp-Path: C:\DOCUME~1\mirage\USTAWI~1\Temp\

(5-9-05 07:41:57) Disinfection started

(5-9-05 07:41:57) Bad-Dll(IEP): c:\docume~1\mirage\ustawi~1\temp\se.dll

(5-9-05 07:41:57) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\ajhh.dll

(5-9-05 07:41:57) Searchassistant Uninstaller - Keys Deleted

(5-9-05 07:41:57) UBF: 6 - UBB: 0 - UBR: 1

(5-9-05 07:41:57) FilterKey: HKCR\text/html (deleted)

(5-9-05 07:41:57) FilterKey: HKCR\CLSID{CA4369F5-62DA-45E7-8EF5-93A20B684475} (deleted)

(5-9-05 07:41:57) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting)

(5-9-05 07:41:57) FilterKey: HKCR\text/plain (deleted)

(5-9-05 07:41:57) FilterKey: HKCR\CLSID{CA4369F5-62DA-45E7-8EF5-93A20B684475} (error while deleting)

(5-9-05 07:41:57) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting)

(5-9-05 07:41:57) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{893F9560-0851-4C4F-9AFF-B091C41AD603} (deleted)

(5-9-05 07:41:57) BHO-Key: HKCR\CLSID{893F9560-0851-4C4F-9AFF-B091C41AD603} (deleted)

(5-9-05 07:41:57) UBF: 4 - UBB: 0 - UBR: 1

(5-9-05 07:41:57) Bad IE-pages:

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\docume~1\mirage\ustawi~1\temp\se.dll/spage.html

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank

deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\docume~1\mirage\ustawi~1\temp\se.dll/spage.html

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank

(5-9-05 07:41:57) Stealth-String not found

(5-9-05 07:41:57) File added to delete: c:\windows\system32\ajhh.dll

(5-9-05 07:41:57) Reboot

(5-9-05 07:42:54) SPSeHjFix started v1.1.2

(5-9-05 07:42:54) OS: WinXP Dodatek Service Pack. 1 (5.1.2600)

(5-9-05 07:42:54) Language: polski

(5-9-05 07:42:54) Win-Path: C:\WINDOWS

(5-9-05 07:42:54) System-Path: C:\WINDOWS\System32

(5-9-05 07:42:54) Temp-Path: C:\DOCUME~1\mirage\USTAWI~1\Temp\

(5-9-05 07:49:11) SPSeHjFix started v1.1.2

(5-9-05 07:49:11) OS: WinXP Dodatek Service Pack. 1 (5.1.2600)

(5-9-05 07:49:11) Language: polski

(5-9-05 07:49:11) Win-Path: C:\WINDOWS

(5-9-05 07:49:11) System-Path: C:\WINDOWS\System32

(5-9-05 07:49:11) Temp-Path: C:\DOCUME~1\mirage\USTAWI~1\Temp\

(5-9-05 07:49:13) Disinfection started

(5-9-05 07:49:13) Bad-Dll(IEP): (not found)

(5-9-05 07:49:13) Bad-Dll(IEP) in BHO: (not found)

(5-9-05 07:49:13) UBF: 4 - UBB: 0 - UBR: 1

(5-9-05 07:49:13) UBF: 4 - UBB: 0 - UBR: 1

(5-9-05 07:49:13) Bad IE-pages: (none)

(5-9-05 07:49:13) Stealth-String not found

(5-9-05 07:49:13) Not infected->END

(5-9-05 07:49:39) SPSeHjFix started v1.1.2

(5-9-05 07:49:39) OS: WinXP Dodatek Service Pack. 1 (5.1.2600)

(5-9-05 07:49:39) Language: polski

(5-9-05 07:49:39) Win-Path: C:\WINDOWS

(5-9-05 07:49:39) System-Path: C:\WINDOWS\System32

(5-9-05 07:49:39) Temp-Path: C:\DOCUME~1\mirage\USTAWI~1\Temp\

(5-9-05 07:49:40) Disinfection started

(5-9-05 07:49:40) Bad-Dll(IEP): (not found)

(5-9-05 07:49:40) Bad-Dll(IEP) in BHO: (not found)

(5-9-05 07:49:40) UBF: 4 - UBB: 0 - UBR: 1

(5-9-05 07:49:40) UBF: 4 - UBB: 0 - UBR: 1

(5-9-05 07:49:40) Bad IE-pages: (none)

(5-9-05 07:49:40) Stealth-String not found

(5-9-05 07:49:40) Not infected->END

(5-9-05 07:58:12) SPSeHjFix started v1.1.2

(5-9-05 07:58:12) OS: WinXP Dodatek Service Pack. 1 (5.1.2600)

(5-9-05 07:58:12) Language: polski

(5-9-05 07:58:12) Win-Path: C:\WINDOWS

(5-9-05 07:58:12) System-Path: C:\WINDOWS\System32

(5-9-05 07:58:12) Temp-Path: C:\DOCUME~1\mirage\USTAWI~1\Temp\

(5-9-05 07:58:13) Disinfection started

(5-9-05 07:58:13) Bad-Dll(IEP): (not found)

(5-9-05 07:58:13) Bad-Dll(IEP) in BHO: (not found)

(5-9-05 07:58:13) UBF: 4 - UBB: 0 - UBR: 2

(5-9-05 07:58:13) UBF: 4 - UBB: 0 - UBR: 2

(5-9-05 07:58:13) Bad IE-pages: (none)

(5-9-05 07:58:13) Stealth-String not found

(5-9-05 07:58:13) Not infected->END

#5

OK już dobrze :stuck_out_tongue: