cd-rom
7 Sierpień 2006 14:47
#1
Witam!
Złapałem wrednego trojana " Ggdoor.22 " ten drań resetuje mi komputer gdy jestem na gadu-gadu ( nieiwem czemu ale wtedy najczęściej ) Mam mks_vir 2006 demo ale zawsze da sie nim go usunąc znaczy sie wysakajue powiadomienie z taką opcja ale gdy klikam skasuj on resetuje komputer. Więc ani na gg wejśc ani go skasowac a przez to strasznei komp mi muli się.
Klikam kwarantana ale po paru sekundach znowu wyskauje okienko tego samego.
Nieiwme co już zrobic
Chcial bym uniknąc wgrywania nowego windowsa i zakupu jakiś anty virów
BARDZO PROSZE O PILNĄ POMOC I NIELEKCEWAŻENIE PROBLEMU I KAZANIE SZUKANIA OPCJA SZUKAJ
Bo tak muli że to niema sensu
adam9870
7 Sierpień 2006 14:49
#2
Gdzie jest on wykrywany? (podaj ścieżkę!)
Daj na forum zestaw logów czyli z HijackThis oraz SilentRunners :
http://forum.dobreprogramy.pl/viewtopic.php?t=36654
Jeżeli podczas uruchomienia silenta pokaże się błąd to proszę podać jego dokładną treść.
Póki co to przed daniem logów możesz przeskanować komputer programem Ewido po zrobieniu update bazy szkodników jego. On może sobie z nim poradzić.
MarS
7 Sierpień 2006 15:38
#3
spróbuj uzyć The Cleanera http://www.moosoft.com
cd-rom
7 Sierpień 2006 15:45
#4
Logi mam z mks tylko że zmieniłem nazwe plików z trojanami i juz sie log nie wyświetla
adam9870
7 Sierpień 2006 16:13
#5
Żadne logi z MKS’a nie są potrzebne. Wszystkie informacje tj. pliki systemowe i z wirusami, wpisy, rzeczy uruchamiające się przy starcie, usługi będzie widać w logach i po nich będzie można stwierdzić dokładnie gdzie jest wirus i poda się sposób jak go usunąć. Więc proszę dać logi i się nie wykręcać jeżeli chcesz się rzeczywiście pozbyć tego wirusa…
Dodatkowo pozamykaj porty robakom, zmiejszysz tym szanse na złapanie kolejnych. Aby to zrobić proszę użyć Windows Worms Doors Cleanera zmienić znaczki z disable na enable (wszystkie znaczki maja być na zielono, jezeli któryś z nich bedzie na żółto to go zostaw).
cd-rom
7 Sierpień 2006 16:25
#6
yyyyyyyyyyy zmeiniłem posta i sie neizaksiegował z wszystkimi logami z hijackthis i mks
podam jeszcze raz
Logfile of HijackThis v1.99.1 Scan saved at 18:25:52, on 2006-08-07 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\Microsoft.NET \Framework\v2.0.50727\mscorsvw.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI HydraVision\HydraDM.exe C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\System32\alg.exe C:\Program Files\The Cleaner\cleaner.exe C:\Program Files\The Cleaner\tca.exe C:\Program Files\The Cleaner\tcm.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Program Files\MKS_VIR_2006\mks2006.exe C:\Program Files\MKS_VIR_2006\mksmonsv.exe C:\Program Files\MKS_VIR_2006\mks_mail.exe C:\Program Files\MKS_VIR_2006\mks_scan.exe D:\PIOTR\Sciągane\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O1 - Hosts: localhost 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PIOTR\DOKUME~1\programy\SPYBOT~1\SDHelper.dll O2 - BHO: Zango Search Assistant Helper /fleok=1D8A83A5C5E315789FA575760EA83FA5EF80752B94E3D8795C7D46283BC7 - {56F1D444-11BF-4879-A12B-79CF0177F038} - c:\program files\zango\zangohook.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKLM…\Run: [HydraVisionDesktopManager] C:\Program Files\ATI Technologies\ATI HydraVision\HydraDM.exe O4 - HKLM…\Run: [VGAUtil] C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [WinInitDll] SysSupport.exe O4 - HKLM…\Run: [borlandg] stuffmon.exe O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [zango] “c:\program files\zango\zango.exe” O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [1qaw3edr5] C:\WINDOWS\system32\userinit.exe O4 - HKLM…\Run: [MKS_VIR_2006] C:\Program Files\MKS_VIR_2006\mks2006.exe O4 - HKLM…\Run: [tcactive] C:\Program Files\The Cleaner\tca.exe O4 - HKLM…\Run: [tcmonitor] C:\Program Files\The Cleaner\tcm.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKCU…\Run: [WengoPhoneNG] C:\Program Files\WengoPhone\qtwengophone.exe -b O4 - HKCU…\Run: [VoipDiscount] “C:\Program Files\VoipDiscount.com \VoipDiscount\VoipDiscount.exe” -nosplash -minimized O4 - HKCU…\Run: [1qaw3edr5] C:\WINDOWS\system32\userinit.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [MailScanner] C:\Program Files\MKS_VIR_2006\Mks_mail.exe O4 - Global Startup: ATI CATALYST – pasek zadań.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: BlueSoleil.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\program files\mks_vir_2006\mksfirewall.dll O10 - Unknown file in Winsock LSP: c:\program files\mks_vir_2006\mksfirewall.dll O10 - Unknown file in Winsock LSP: c:\program files\mks_vir_2006\mksfirewall.dll O10 - Unknown file in Winsock LSP: c:\program files\mks_vir_2006\mksfirewall.dll O10 - Unknown file in Winsock LSP: c:\program files\mks_vir_2006\mksfirewall.dll O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packa … anager.cab O17 - HKLM\System\CCS\Services\Tcpip…{2468230B-3E0D-4939-BAD5-73A15E133376}: NameServer = 85.255.114.13,85.255.112.78 O17 - HKLM\System\CS1\Services\Tcpip…{2468230B-3E0D-4939-BAD5-73A15E133376}: NameServer = 85.255.114.13,85.255.112.78 O17 - HKLM\System\CS2\Services\Tcpip…{2468230B-3E0D-4939-BAD5-73A15E133376}: NameServer = 85.255.114.13,85.255.112.78 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program Files\MKS_VIR_2006\mksmonsv.exe O23 - Service: MkS_Scan - Unknown owner - C:\Program Files\MKS_VIR_2006\mks_scan.exe
kuz5
8 Sierpień 2006 16:09
#7
Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE
Proponuje poczytać TEN
Wojtas_16:
Wstaw loga w tagach.
Nie baw się w moderatora :?
OT kosz
Pliki i foldery na czerwono usuń ręcznie z dysku a wpisy w HijackThis (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
To tylko ciachnij Hijackiem i daj mi loga SilentRunners
O17 - HKLM\System\CCS\Services\Tcpip…{2468230B-3E0D-4939-BAD5-73A15E133376}: NameServer = 85.255.114.13,85.255.112.78 O17 - HKLM\System\CS1\Services\Tcpip…{2468230B-3E0D-4939-BAD5-73A15E133376}: NameServer = 85.255.114.13,85.255.112.78 O17 - HKLM\System\CS2\Services\Tcpip…{2468230B-3E0D-4939-BAD5-73A15E133376}: NameServer = 85.255.114.13,85.255.112.78
Ukraińskie DNSy, skoś je
Kosmetyka:
Start=>Uruchom=>Wpisz polecenie msconfig=>Zakładka Uruchamianie i odhacz:
Panel sterowania => Java Plug-in => Update => odptaszkuj Check for updates automatically
Jeżeli nie używasz Windows Messenger to go usuń:
Start=>Uruchom=>Wpisz polecenie
RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove
Lub programem Xp-AntiSpy PL
cd-rom
8 Sierpień 2006 16:56
#8
Ale mnie nei obchodzą szpiegi tylko trojany bo mi sie komp resetuje
skasowalem kilkanaście ale wciaż zostaje jeden i się przenosi i zaraza
Jego próba skasowanai równa sie resetem
Jak juz wcześneij pisałem komp tak wolno dizła prze to i sie resetuje że niemoge oglądac tematów dla wyglądu ja musze to naprawic
kuz5
8 Sierpień 2006 18:21
#9
Ty chyba kolego nie wiesz co siedzi ci na kompie, druga sprawa zrób to o co cie poprosiłem
Trzecia sprawa pisz konkretniej bo opis twojego problemu jest blee, nic z niego nie wynika tylko to że masz trojana i nic wiecej
Podaj jego lokalizację, nazwę zainfekowanego pliku itp.
Nikt tu nie jest wróżką :?
cd-rom
8 Sierpień 2006 20:52
#10
Trojan GGDOOR
siedzi w C:\Windows\system32\ pod jakąś nazwą
i w C:\documents and settings\piotrek\ustawienia lokalne\ temp\ i tu była nazwa ale wziołem i go wywaliłem na pulpit zmeiniłem format na TXT i wsadziełem w folder mając nadzieje ze go otworze i porobie tam zmiany ale nie da sie go zapisac po zmianie treści
Ja se windows po prostu sformatuje bo widze ze nic z tego nei będzie
a pozatym niemoge nic ściągac
Bo też mi sie resetuje
i ogólnie odcina internet
Dzieki koledzy za pomoc sformatuje i zobaczymy
Nic w nim nie zmieniaj!! Tylko mozesz pogorszyc sytuacje!! Spruboj uzyc programu TrojanRemover.Mam jeszcze jedno pytanie jakiego masz AntiVirusa??
Złączono Posta : 08.08.2006 (Wto) 22:57
Sorki nie przeczytalem
cd-rom
8 Sierpień 2006 20:59
#12
Nic sie niezmienilo w pliku zawirusowanym oprócz nazyw ale to nei pierwszy raz bo mks vir też go zmieniał
Więc mam MKSa the cleanera hijackthis i chyba tyle
Ale mks to ja tylko moge pare skasowac a niektóre jak chce to resetują komputer reszta tak samo
Hmmm pomyslmy.Chyba niema wyboru tylko format
cd-rom
8 Sierpień 2006 21:03
#14
Już straciłęm zapal i nie próbowałem
Już mi sie nawet kompa neichce wlączyc bo tyle musze sie z nim bawic żeby na gg chociarz wejśc
narazie tak jakby zasneły i nei działają te wirusy bo są pokasowane i poddane kwarantanie oprócz jednego bo resetuje
i jak nic go niemoże usunąc to niemam wyjścia tylko format
Rada na przyszlosc. Po restarcie kompa zalatw sobie nowego AntiVistusa np. na rok z mozliwoscia aktualizacji i Firewall polecam SygatePersonalFirewall jest swietny.Zrob ten format bo nic z tego nie bedzie, ale najpierw zalatw jakiegos AntiVirusa bo wedlug mnie MKS jest badziewny chyba ze bedziesz mial MKS 2006 Full na rok to wtedy OK.
cd-rom
8 Sierpień 2006 21:08
#16
To sformatuje i będe coś mial napewno gdzies da sieściagnąc bo neistac mnie na nowego
Złączono Posta : 09.08.2006 (Sro) 13:41
Zmieniala sie sprawa narazie neizrobiłem formatu c ale zrobie
Juz wiem co resetuje komputer a raczej kto
Ktoś do mnie napisał z mojego komputera pojawiło m isie czarne okienko i rozmawialem z kimś po angielsku
Żąda zaplaty za to że przestanie oczywiście go wyśmiałem a on sie pożegnał i wyłączył mi komputer
I tu moje pytanie czy format pomoze
Ja narazie wyłancczam kabelek od internetu by do kont bankowych sie niedobrał i nieiwem co robic dalej
ale znajde i podam
A prubowales go w Trybie Awaryjnym wykasowac???