Trojan

gutar · 6 Lipiec 2005 14:33

Szukałem na google ale nic o tym trojanie nie znalazłem. Zdziwiłem sie gd y mks go znalazłm, bo odwiedzam stale tą samą grupę stron www i nigdy nie miałem problemu. Pomyslalem ze moglem go zlapac na mircu. No ale mirca nie właczałem ponad miesiąc

http://img199.imageshack.us/my.php?image=troj5br.jpg

jak zły dział, to prosze o przeniesienie

Kyniu6 · 6 Lipiec 2005 14:35

daj loga z hijacka

gutar · 6 Lipiec 2005 14:37

Trojan był jeszcze w 2 innych plikach,

Logfile of HijackThis v1.99.0

Scan saved at 16:37:36, on 2005-07-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ACD Systems\ACDSee\ACDSee.exe

C:\Documents and Settings\Michał\Pulpit\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [Steam] "e:\cs\steam.exe" -silent

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {112857FE-03FF-11D5-9A3F-0080C8D85044} (GameDesire Solitaires) - http://67.15.101.3/g_bin/pl/solitaire_2_0_0_18.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104072705312

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_32.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_36.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4417/mcfscan.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_22.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GINBILLARD9 Class) - http://gryonline.wp.pl/files/billard9_2_0_0_6.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C3} (GameDesire Pool 14) - http://67.15.101.2/g_bin/pl/billard14_2_0_0_20.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C6} (GINBILLARD8UK Class) - http://gryonline.wp.pl/files/billard8UK_2_0_0_6.cab

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

greghS · 6 Lipiec 2005 14:38

sprawdz tym

http://amnezja.org/modules.php?name=New … e&sid=4208

oraz

–F-Secure–

http://support.f-secure.com/enu/home/ols.shtml

do wyboru

–GeCAD (RAV)–

http://www.ravantivirus.com/scan/

–Softwin (BitDefender)–

http://www.bitdefender.com/scan/licence.php

–Trend Micro (PC-cillin)–

http://housecall.trendmicro.com/houseca … t_corp.asp

jak bedzie czysto znaczy ze falszywka mks_vir

boczi · 6 Lipiec 2005 14:39

A co tu da log…

Nie masz innego wyjścia, niż usuwać te pliki.

Dodatkowo skan skanerami online.

gutar · 6 Lipiec 2005 14:39

no pousuwałem, ale jak on sie dostał do kompa ?? można gdzieś znaleźć jakies info o tym trojanie ?? Trojan.Door.Mirc-based

El_Presidento · 6 Lipiec 2005 16:46

Niestety nic gogle nie mowia wpisales poprawna nazwe :?

boczi · 6 Lipiec 2005 16:47

Czego?

El_Presidento · 6 Lipiec 2005 16:50

Nazwy trojana

boczi · 6 Lipiec 2005 16:53

Ale przecież to program wygenerował ten komunikat.

El_Presidento · 6 Lipiec 2005 16:54

No niestety w googlach nie znalazlem nie ma zadnych wynikow a w bazie wirusow Kaspra tez nic nie ma

musg · 6 Lipiec 2005 17:12

bo to lipa i sciema mks-a ,nie trzeba było tego usuwac(wiele mowi tez o tym log wlasnie)

szukac,szukac a znajdziecie

mks doszedł do wniosku,ze bedzie najlepszy i na podstawie prawidlowego wpisu(irc) wymyslił wirusa(dopisując m),a zrobił to tylko dlatego,ze dodał pierwsza litere wlasnie M do irc --sciema

gutar · 6 Lipiec 2005 17:22

log jest po usunieciu trojana

boczi · 6 Lipiec 2005 17:23

W logu tak czy siak nic nie zobaczymy. Nie jest to głównym zastosowaniem programu Hijackthis.

musg · 6 Lipiec 2005 17:26

to nie jest zaden trojan i nigdy nie był

a jesli log jest po usunieciu trojana ,to szkoda ,ze nie masz loga przed usunieciem–bardzo sie roznił?

ps

zanim bedziesz chciał cos usunać,sprawdz czy to jest do usuniecia–z doswiadczenia napisze ,ze numery robily mi:

panda,mks,nod32,rav

gutar · 6 Lipiec 2005 17:28

he nie mam pojęcia nie skanuje często hijackthisem, tylko jak trzeba

musg · 6 Lipiec 2005 17:36

szkoda bo to bardzo pomocna rzecz i warto robic sobie logi co jakis czas i wrzucac je np.do folderu z logami --bedziesz miał mozliwosc porownania logow w okresach i zobaczysz jakie zachodzą zmiany w twoim systemie.

Wiesz na tym forum ciagle log z hijacka jest traktowany odmiennie i odbierany tylko jako panaceum na całe zło.A to bład