gutar
(Gutar)
6 Lipiec 2005 14:33
#1
Szukałem na google ale nic o tym trojanie nie znalazłem. Zdziwiłem sie gd y mks go znalazłm, bo odwiedzam stale tą samą grupę stron www i nigdy nie miałem problemu. Pomyslalem ze moglem go zlapac na mircu. No ale mirca nie właczałem ponad miesiąc
http://img199.imageshack.us/my.php?image=troj5br.jpg
jak zły dział, to prosze o przeniesienie
gutar
(Gutar)
6 Lipiec 2005 14:37
#3
Trojan był jeszcze w 2 innych plikach,
Logfile of HijackThis v1.99.0
Scan saved at 16:37:36, on 2005-07-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ACD Systems\ACDSee\ACDSee.exe
C:\Documents and Settings\Michał\Pulpit\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Steam] "e:\cs\steam.exe" -silent
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {112857FE-03FF-11D5-9A3F-0080C8D85044} (GameDesire Solitaires) - http://67.15.101.3/g_bin/pl/solitaire_2_0_0_18.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104072705312
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_32.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_36.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4417/mcfscan.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_22.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GINBILLARD9 Class) - http://gryonline.wp.pl/files/billard9_2_0_0_6.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C3} (GameDesire Pool 14) - http://67.15.101.2/g_bin/pl/billard14_2_0_0_20.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C6} (GINBILLARD8UK Class) - http://gryonline.wp.pl/files/billard8UK_2_0_0_6.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
greghS
(Czornyaa)
6 Lipiec 2005 14:38
#4
boczi
(boczi)
6 Lipiec 2005 14:39
#5
A co tu da log…
Nie masz innego wyjścia, niż usuwać te pliki.
Dodatkowo skan skanerami online.
gutar
(Gutar)
6 Lipiec 2005 14:39
#6
no pousuwałem, ale jak on sie dostał do kompa ?? można gdzieś znaleźć jakies info o tym trojanie ?? Trojan.Door.Mirc-based
Niestety nic gogle nie mowia wpisales poprawna nazwe :?
boczi
(boczi)
6 Lipiec 2005 16:53
#10
DziaDu:
Nazwy trojana
Ale przecież to program wygenerował ten komunikat.
No niestety w googlach nie znalazlem nie ma zadnych wynikow a w bazie wirusow Kaspra tez nic nie ma
musg
(Musg)
6 Lipiec 2005 17:12
#12
bo to lipa i sciema mks-a ,nie trzeba było tego usuwac(wiele mowi tez o tym log wlasnie)
szukac,szukac a znajdziecie
mks doszedł do wniosku,ze bedzie najlepszy i na podstawie prawidlowego wpisu(irc) wymyslił wirusa(dopisując m),a zrobił to tylko dlatego,ze dodał pierwsza litere wlasnie M do irc --sciema
gutar
(Gutar)
6 Lipiec 2005 17:22
#13
log jest po usunieciu trojana
boczi
(boczi)
6 Lipiec 2005 17:23
#14
W logu tak czy siak nic nie zobaczymy. Nie jest to głównym zastosowaniem programu Hijackthis.
musg
(Musg)
6 Lipiec 2005 17:26
#15
gutar:
Trojan.Door.Mirc-based
to nie jest zaden trojan i nigdy nie był
a jesli log jest po usunieciu trojana ,to szkoda ,ze nie masz loga przed usunieciem–bardzo sie roznił?
ps
zanim bedziesz chciał cos usunać,sprawdz czy to jest do usuniecia–z doswiadczenia napisze ,ze numery robily mi:
panda,mks,nod32,rav
gutar
(Gutar)
6 Lipiec 2005 17:28
#16
he nie mam pojęcia nie skanuje często hijackthisem, tylko jak trzeba
musg
(Musg)
6 Lipiec 2005 17:36
#17
szkoda bo to bardzo pomocna rzecz i warto robic sobie logi co jakis czas i wrzucac je np.do folderu z logami --bedziesz miał mozliwosc porownania logow w okresach i zobaczysz jakie zachodzą zmiany w twoim systemie.
Wiesz na tym forum ciagle log z hijacka jest traktowany odmiennie i odbierany tylko jako panaceum na całe zło.A to bład