Trojan


(Gutar) #1

Szukałem na google ale nic o tym trojanie nie znalazłem. Zdziwiłem sie gd y mks go znalazłm, bo odwiedzam stale tą samą grupę stron www i nigdy nie miałem problemu. Pomyslalem ze moglem go zlapac na mircu. No ale mirca nie właczałem ponad miesiąc !!

jak zły dział, to prosze o przeniesienie


(Krzysieknd2) #2

daj loga z hijacka


(Gutar) #3

Trojan był jeszcze w 2 innych plikach,

Logfile of HijackThis v1.99.0

Scan saved at 16:37:36, on 2005-07-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ACD Systems\ACDSee\ACDSee.exe

C:\Documents and Settings\Michał\Pulpit\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [Steam] "e:\cs\steam.exe" -silent

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O16 - DPF: {112857FE-03FF-11D5-9A3F-0080C8D85044} (GameDesire Solitaires) - http://67.15.101.3/g_bin/pl/solitaire_2_0_0_18.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104072705312

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_32.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_36.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4417/mcfscan.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_22.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GINBILLARD9 Class) - http://gryonline.wp.pl/files/billard9_2_0_0_6.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C3} (GameDesire Pool 14) - http://67.15.101.2/g_bin/pl/billard14_2_0_0_20.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C6} (GINBILLARD8UK Class) - http://gryonline.wp.pl/files/billard8UK_2_0_0_6.cab

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

(Czornyaa) #4

sprawdz tym

http://amnezja.org/modules.php?name=New ... e&sid=4208

oraz

--F-Secure--

http://support.f-secure.com/enu/home/ols.shtml

do wyboru

--GeCAD (RAV)--

http://www.ravantivirus.com/scan/

--Softwin (BitDefender)--

http://www.bitdefender.com/scan/licence.php

--Trend Micro (PC-cillin)--

http://housecall.trendmicro.com/houseca ... t_corp.asp

jak bedzie czysto znaczy ze falszywka mks_vir


(boczi) #5

A co tu da log...

Nie masz innego wyjścia, niż usuwać te pliki.

Dodatkowo skan skanerami online.


(Gutar) #6

no pousuwałem, ale jak on sie dostał do kompa ?? :expressionless: można gdzieś znaleźć jakies info o tym trojanie ?? Trojan.Door.Mirc-based


(El Presidento) #7

Niestety nic gogle nie mowia wpisales poprawna nazwe :?


(boczi) #8

Czego?


(El Presidento) #9

Nazwy trojana :smiley:


(boczi) #10

Ale przecież to program wygenerował ten komunikat.


(El Presidento) #11

No niestety w googlach nie znalazlem nie ma zadnych wynikow a w bazie wirusow Kaspra tez nic nie ma :frowning:


(Musg) #12

bo to lipa i sciema mks-a ,nie trzeba było tego usuwac(wiele mowi tez o tym log wlasnie)

szukac,szukac a znajdziecie

mks doszedł do wniosku,ze bedzie najlepszy i na podstawie prawidlowego wpisu(irc) wymyslił wirusa(dopisując m),a zrobił to tylko dlatego,ze dodał pierwsza litere wlasnie M do irc --sciema

:smiley: :smiley:


(Gutar) #13

log jest po usunieciu trojana


(boczi) #14

W logu tak czy siak nic nie zobaczymy. Nie jest to głównym zastosowaniem programu Hijackthis.


(Musg) #15

to nie jest zaden trojan i nigdy nie był

:slight_smile:

a jesli log jest po usunieciu trojana ,to szkoda ,ze nie masz loga przed usunieciem--bardzo sie roznił? :slight_smile:

ps

zanim bedziesz chciał cos usunać,sprawdz czy to jest do usuniecia--z doswiadczenia napisze ,ze numery robily mi:

panda,mks,nod32,rav :slight_smile:


(Gutar) #16

he nie mam pojęcia nie skanuje często hijackthisem, tylko jak trzeba


(Musg) #17

szkoda bo to bardzo pomocna rzecz i warto robic sobie logi co jakis czas i wrzucac je np.do folderu z logami --bedziesz miał mozliwosc porownania logow w okresach i zobaczysz jakie zachodzą zmiany w twoim systemie.

Wiesz na tym forum ciagle log z hijacka jest traktowany odmiennie i odbierany tylko jako panaceum na całe zło.A to bład :slight_smile: