Trojan Ratunku!


(Astra 1994) #1

https://www.google.com/accounts/Login?c ... .pl/&hl=pl - to link ktury pokazuje mi się na gmail.com usłyszałem w telewizji że jest trojan ktury dorabia koncówke https i zauwazylem to po zalogowanie , jak usunąć tego trojana ? na gg pokazuje mi się oknu żeby sie zalogować a mi się wydaje że po zalogowaniu wyśle wiadomość z numerem i chasłem do właściciela wira czy coś , Jak usunąć wirusa ? Ratunku prosze o pomoc jestem uziemiony przepraszam za błędy ale boje się o PC

to https://www.mbank.com.pl/ tak jak mówili w wiadomościach , jak usunąć wira nie fofmatując dysku ?


(Olixxx94) #2

Astra_1994 , daj logi z HijackThis i Combofix.


(Astra 1994) #3

Jak dawać te logi ??? i z kąd sciągnonć bezpiecznie HijackThis


(In2dex) #4

Tonie żaden wirus gg ci się coś przestawiło wpisz tam co każą a zobaczysz że będzie wszystko ok


(Astra 1994) #5
StartupList report, 2008-08-24, 22:02:56

StartupList version: 1.52.2

Started from : C:\Program Files\Trend Micro\HijackThis\HijackThis.EXE

Detected: Windows XP Dodatek SP2 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)

* Using default options

==================================================


Running processes:


C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Security\Panda Antivirus 2008\pavsrv51.exe

C:\Program Files\Panda Security\Panda Antivirus 2008\AVENGINE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\tsnp325.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

C:\WINDOWS\vsnp325.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\USB Disk Win98 Driver\Res.EXE

C:\WINDOWS\system32\PnkBstrB.exe

C:\Program Files\Panda Security\Panda Antivirus 2008\PsImSvc.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE

C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe

C:\WINDOWS\isass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Security\Panda Antivirus 2008\PsCtrls.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Panda Security\Panda Antivirus 2008\WebProxy.exe

D:\Gadu-Gadu\gg.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


--------------------------------------------------


Listing of startup folders:


Shell folders Common Startup:

[C]

InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe


--------------------------------------------------


Checking Windows NT UserInit:


[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,


--------------------------------------------------


Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run


tsnp325 = C:\WINDOWS\tsnp325.exe

snp325 = C:\WINDOWS\vsnp325.exe

SunJavaUpdateSched = "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

USB Storage Toolbox = C:\Program Files\USB Disk Win98 Driver\Res.EXE

QuickTime Task = "C:\Program Files\QuickTime\qttask.exe" -atboottime

WinampAgent = "C:\Program Files\Winamp\winampa.exe"

WinDVR SchSvr = "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe"

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

nwiz = nwiz.exe /install

NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

Adobe Reader Speed Launcher = "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

APVXDWIN = "C:\Program Files\Panda Security\Panda Antivirus 2008\APVXDWIN.EXE" /s

Microsoft Shell Execute = C:\WINDOWS\isass.exe

Onet.pl AutoUpdate = "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr


--------------------------------------------------


Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run


Gadu-Gadu = "D:\Gadu-Gadu\gg.exe" /tray

SpybotSD TeaTimer = C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background

AdobeUpdater = C:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe

BitTorrent = "C:\Program Files\BitTorrent\bittorrent.exe"

DAEMON Tools Lite = "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun


--------------------------------------------------


Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run


[OptionalComponents]

 = 


--------------------------------------------------


Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:


Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*


Shell & screensaver key from Registry:


Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

drivers=*Registry value not found*


Policies Shell key:


HKCU\..\Policies: Shell=*Registry value not found*

HKLM\..\Policies: Shell=*Registry value not found*


--------------------------------------------------



Enumerating Browser Helper Objects:


(no name) - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

(no name) - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}


--------------------------------------------------


Enumerating Task Scheduler jobs:


AppleSoftwareUpdate.job


--------------------------------------------------


Enumerating Download Program Files:


[MksSkanerOnline Class]

InProcServer32 = C:\WINDOWS\system32\SkanerOnline.dll

CODEBASE = http://www.mks.com.pl/skaner/SkanerOnline.cab


[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9f.ocx

CODEBASE = http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab


--------------------------------------------------


Enumerating ShellServiceObjectDelayLoad items:


PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\system32\webcheck.dll

SysTray: C:\WINDOWS\system32\stobject.dll

(Morphdreamer) #6

Astra_1994 poczytaj sobie o HTTPS na wikipedii: http://pl.wikipedia.org/wiki/Https

W jakiej telewizji usłyszałeś o tym "trojanie"?


(Astra 1994) #7

W tvn24 mówili że gg sie wylogowywuje a na stronach www pojawia się dopiska https


(Olixxx94) #8

Coś mi nie pasują te wpisy:

Może ktoś rozwieje moje wątpliwości??

Przy okazji to przy Gmailu podczas logowania jest https, bo jest to połączenie bezpieczne, czyli osoby trzecie nie widzą tego, co wpisujesz...


(Morphdreamer) #9

HTTPS pojawia się w przypadku szyfrowanych stron, m.in. przy logowaniu do banku i nie ma to nic wspólnego z wirusami. Ta strona mbanku dodatkowo jest wyposażona w certyfikat EV, który zapewnia, że nie jest to żadna podróba.

Co do tych plików to nie jest to żaden syf.


(huber2t) #10

Podaj log z Combofix i Hijackthis