Ostatno mój bardzo dowcipny kolega podesłał mi pewiem pliczek który potem okazał się trojanem. Jeszcze nie usuwałem tego czegoś nigdy więc dam loga (będe musiał jeszcze sprawdzić ad-aware i avastem).
Logfile of HijackThis v1.99.1 Scan saved at 17:36:05, on 2005-12-06 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\csrss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Ahead\InCD\InCDsrv.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\spoolsv.exe e:\Program Files\Alwil Software\Avast4\aswUpdSv.exe e:\Program Files\Alwil Software\Avast4\ashServ.exe E:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe E:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\UAService7.exe e:\Program Files\Alwil Software\Avast4\ashMaiSv.exe e:\Program Files\Alwil Software\Avast4\ashWebSv.exe D:\WINDOWS\System32\alg.exe E:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe D:\Program Files\Gadu-Gadu\gg.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\WINDOWS\system32\ctfmon.exe D:\Documents and Settings\Krystian\Pulpit\Gry i programy\programy\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM…\Run: [TkBellExe] “D:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [1qaw3edr5] D:\WINDOWS\system32\userinit.exe O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [1qaw3edr5] D:\WINDOWS\system32\userinit.exe O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - HKCU…\Run: [shost32.exe] D:\WINDOWS\shost32.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - e:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - e:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - e:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - e:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - E:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - D:\WINDOWS\system32\UAService7.exe
Z tego co wiem to ten trojan się nazywa G@du-Ghost. Mam podejrzenia co do pliku shost32.exe i userinit.exe. Teraz je wyłączam menedzerem zadań, bo wcześniej ich nie było.
Gutek
(Gutek)
6 Grudzień 2005 16:43
#2
tryb awaryjny i usuwasz wpisy hijackeim a pliki ręcznie
Ale problem z plikiem userinit.exe musisz podmienić
Start do trybu awaryjnego i usunięcie tej linijki przez HijackThis.
Następnie - UWAGA! - reset kompa do Konsoli Odzyskiwania z CD XP wg TEJ instrukcji i resauracja pliku Windows komendą:
EXPAND X:\i386\USERINIT.EX_ C:\WINDOWS\system32\userinit.exe
X - tu wpisujesz swoją literkę CD-ROMu.
Jak mam włożoną płytkę z windowsen Xp podczas uruchamiania to nie pokazuje się nic. Normalnie się windows ładuje.
Gutek
(Gutek)
6 Grudzień 2005 17:25
#4
reset kompa do Konsoli Odzyskiwania z CD XP wg TEJ instrukcji masz screeny jak to zrobić czyli Start do Konsoli!
Ok sory, nie denerwuj się tak …
już sam doszedłem że musze wcisnąć F8 i wybrać napęd CD.
Ale pojawił się problem podczas jak musze wpisać hasło administratora (żeby wejść do D:\windows).
I w tym problem że nie znam hasła do konta Administrator. Wpisywałem hasło do mojego konta ale nic. Gdzie moge sprawdzićjakie jest hasło Asministratora. Prubowałem też bez hasła ale jednak jest.
Gutek
(Gutek)
6 Grudzień 2005 17:49
#6
Ja sie nie denerwuję, ale ogólnie nie czytacie
Start>>uruchom>>control userpasswords2 i resetuj hasło
Aha dzięki.
Złączono Posta : 06.12.2005 (Wto) 19:04
OK Wszystko jest teraz dobrze. Dzięki jeszcze raz.
I takie małe pytanie - podczas rozpakowywania tego pliku (jak wpisywałem expand …) to wpisałem najpierw żeby rozpakowało do folderu Windows ale potem Windows\system32. Czy usunąć ten z windows, bo on chyba nie potrzebny nie.