Ostatno mój bardzo dowcipny kolega podesłał mi pewiem pliczek który potem okazał się trojanem. Jeszcze nie usuwałem tego czegoś nigdy więc dam loga (będe musiał jeszcze sprawdzić ad-aware i avastem).
Logfile of HijackThis v1.99.1 Scan saved at 17:36:05, on 2005-12-06 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\csrss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Ahead\InCD\InCDsrv.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\system32\spoolsv.exe e:\Program Files\Alwil Software\Avast4\aswUpdSv.exe e:\Program Files\Alwil Software\Avast4\ashServ.exe E:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe E:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\UAService7.exe e:\Program Files\Alwil Software\Avast4\ashMaiSv.exe e:\Program Files\Alwil Software\Avast4\ashWebSv.exe D:\WINDOWS\System32\alg.exe E:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe D:\Program Files\Gadu-Gadu\gg.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\WINDOWS\system32\ctfmon.exe D:\Documents and Settings\Krystian\Pulpit\Gry i programy\programy\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM…\Run: [TkBellExe] “D:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [1qaw3edr5] D:\WINDOWS\system32\userinit.exe O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [1qaw3edr5] D:\WINDOWS\system32\userinit.exe O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - HKCU…\Run: [shost32.exe] D:\WINDOWS\shost32.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - e:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - e:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - e:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - e:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - E:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - D:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - D:\WINDOWS\system32\UAService7.exe
Z tego co wiem to ten trojan się nazywa G@du-Ghost. Mam podejrzenia co do pliku shost32.exe i userinit.exe. Teraz je wyłączam menedzerem zadań, bo wcześniej ich nie było.
Gutek
6 Grudzień 2005 16:43
#2
tryb awaryjny i usuwasz wpisy hijackeim a pliki ręcznie
Ale problem z plikiem userinit.exe musisz podmienić
Start do trybu awaryjnego i usunięcie tej linijki przez HijackThis.
Następnie - UWAGA! - reset kompa do Konsoli Odzyskiwania z CD XP wg TEJ
EXPAND X:\i386\USERINIT.EX_ C:\WINDOWS\system32\userinit.exe
X - tu wpisujesz swoją literkę CD-ROMu.
Jak mam włożoną płytkę z windowsen Xp podczas uruchamiania to nie pokazuje się nic. Normalnie się windows ładuje.
Gutek
6 Grudzień 2005 17:25
#4
reset kompa do Konsoli Odzyskiwania z CD XP wg TEJ instrukcji masz screeny jak to zrobić czyli Start do Konsoli!
Ok sory, nie denerwuj się tak …
już sam doszedłem że musze wcisnąć F8 i wybrać napęd CD.
Ale pojawił się problem podczas jak musze wpisać hasło administratora (żeby wejść do D:\windows).
I w tym problem że nie znam hasła do konta Administrator. Wpisywałem hasło do mojego konta ale nic. Gdzie moge sprawdzićjakie jest hasło Asministratora. Prubowałem też bez hasła ale jednak jest.
Gutek
6 Grudzień 2005 17:49
#6
Ja sie nie denerwuję, ale ogólnie nie czytacie
Start>>uruchom>>control userpasswords2 i resetuj hasło
Aha dzięki.
Złączono Posta : 06.12.2005 (Wto) 19:04
OK Wszystko jest teraz dobrze. Dzięki jeszcze raz.
I takie małe pytanie - podczas rozpakowywania tego pliku (jak wpisywałem expand …) to wpisałem najpierw żeby rozpakowało do folderu Windows ale potem Windows\system32. Czy usunąć ten z windows, bo on chyba nie potrzebny nie.
