Trojan Beastdoor 206.b i inne jego mutacje


(Ch4o5) #1

Na wstępie chciałem zaznaczyć, że przeskanowałem komputer wszystkimi skanerami on-line dostępnymi poprzez linka na portalu a także AntyVir, avast (żaden z tych darmowych go nie wykrył :frowning: ). Wiem nawet, które pliki są po częsci odpowiedzialne za mój kłopot. Nie da się ich usunąć w zwykły sposób. W trybie awaryjnym usuwałem wszystkie, lecz po restarcie kompa uworzyły się znowu. Są to C:\WINDOWS\msagent\mshchy.com (wykryła panda)

C:\WINDOWS\system32\dxdial.dll (wykryła panda,mks)

C:\WINDOWS\system32\msanly.com (wykryła panda)

C:\WINDOWS\msagent\mshchy.com (wykryła panda)

Usuwałem rózne "podejrzane" wpisy za pomocą programu HijackThis 1.97.7. Trojan remover, CWShredder 1.59.1, Ad-aware, Anti-trojan shield

go nie wykryły. Pisze to tylko dla ścisłości, żeby nikt nie pisał abym spróbował tych programów... ^^

I co tu zrobić żeby się pozbyc drania?


(Lackymen5) #2

na przyszłość : -> google -....... -> szukaj :slight_smile: ; http://www.emsisoft.com/en/support/malw ... re=updates

tam masz do pobrania darmowy skaner , możesz też stąd http://www.download.com/3000-2239-10262 ... tag=button ; ewentualnie jest o nim mowa tu http://www.pestpatrol.com/pestinfo/b/ba ... stdoor.asp


(Adarek) #3

Ja jednak sie uprę i poproszę o loga . Muszę zobaczyś to "namacalnie"

Jak ci sie chce oczywiście :smiley:

I jak Panda nazwała to to.


(Ch4o5) #4

...na pest patrol byłem, i według ich porad próbowałem usunąć to manualnie. Niestety owe zabiegi odwołują się do innych plików. Próbowałem także odnaleść wszystkie pliki związane według serwisu z tym trojanem i nic nie znalazłem.

Logfile of HijackThis v1.97.7

Scan saved at 18:34:06, on 2004-08-16

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\Grisoft\AVG6\avgserv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE

C:\Program Files\Internet Explorer\iexplore.exe

D:\CHaos\dokumenty\progz\eMule0.43b-sivka.v13b2-WinNT-bin\emule.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\CHaos\CHaosPrograms3.2\Programy\Diagnostyka\HijackThis 1.97.7.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP

O4 - Global Startup: QuickTV.lnk = C:\Program Files\AVERTV2K\QuickTV.exe

O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

w pandzie log po przeskanowaniu przedstawia się mniej więcej tak

Virus:Bck/Beastdoor.P Nie wyleczalny System operacyjny

Virus:Bck/Beastdoor.O Nie wyleczalny C:\WINDOWS\system32\msanly.com

Virus:Bck/Beastdoor.P Nie wyleczalny C:\WINDOWS\system32\dxdial.dll

Virus:Bck/Beastdoor.O Nie wyleczalny C:\WINDOWS\msagent\mshchy.com

Virus:Bck/Beastdoor.O Nie wyleczalny C:\Documents and Settings\ko\Ustawienia lokalne\Temp\~ZY9.tmp

PS: google używam :stuck_out_tongue:


(Adarek) #5

Wira nie widać >

Jeśli chcesz to tak :

Dezaktywacja z systemu

  • uruchom - wpisz- regsvr32 /u nazwa.dll - Enter

Szukaj w kluczach:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

Szukasz ręcznie plików ( w szukaj zaznacz pliki ukryte) i wszystkie lewe - na aut.

Programu do ubijania procesów .Jeśli tamte metody nic nie dały. (Ubij i usuwaj) Skojarz proces z programem i wszystko na aut.

CProcess.exe

http://freehost14.websamba.com/nirsoft/ ... ocess.html

procexp.exe

http://www.sysinternals.com/ntw2k/freew ... cexp.shtml

Gdy system będzie startował i w momencie gdy będzie się logował wciskasz lewy SHIFT - to zatrzyma start programów - wtedy próbujesz kasować plik

Program do kasownia - CopyLock

http://www.soft32.com/download_8644.html

Zaznaczasz plik do kasacji dajesz Add , potem Replace i restart - kasacja przed ładowaniem sys.

Wczesniej wyłanczasz przywracanie systemu ( W trybie awaryjnym może nie być widać wszystkich procesów więc sprawdzasz i normalnie)

Sp1 - poprawka sie kłania :!:

A tak to są jakieś objawy działanie tego niby wirka ? Coś mi sie wydaje że Panda dała tu du... :stuck_out_tongue:

Ps

Jak sie da to zmień im mazwy i rozszerzenie na .txt

Wtedy otwierasz je w notatniku i jak masz szczęscie to możesz poczytać co to jest. Po restarcie system już nie powinien widzieć tego pliku.


(Ch4o5) #6

No dzięki Phylby i to się nazywa porządną i rzetelną odpowiedzią. Dałeś mi linki do programów z których na pewno będę korzystał w przyszłości.

W czym mi ten trojan przeszkadza? A otóż jestem zapalonym graczem diablo 2 i trace dużo przez niego na pingu. Normalnie miałem ping 26-100 a po infekcji pink stał się dwa do trzech razy więlszy... Po prostu się grać tak nie da.

Jeszcze raz thx a lot.

Sprawdze później jak otrzymam kod rejestracyjny program a2, który polił lucky. BTW coś długo go wysyłają...


(Adarek) #7

Pomogło - ping lepszy? :smiley: Pewnie mulił łącze :smiley: