problem z rundll + IE [ Trojan horse Startpage.19.J ]
proszę opomoc w takim problemie :
wlazł mi pewien – trojan horse Startpage.19.J
– przy uruchomieniu IE6 oraz nawet przy otwieraniu folderu Mój komputer pojawia się komunikat antywira
o wykryciu tego trojana
oraz błąd Win :
RUNDLL – wystąpił błąd podczas ładowania – pliku
z c:\Documents..\...\Moje Ustawienia\Temp\de.dll
oczywiście usuwam go wtedy moim antywirem AVG
przeszukiwałem SpyBootem , Ad–Awarem nawet teraz
Hijackiem – niestety – wraca !
na dodatek w IE pokazuje się jakaś nowa strona startowa [ zamiast Google ] + about blank i startuje w nowy okienku jakieś zawiadomienie o zainfekowaniu mego komputera przez szpiega itp
podaję to co pokazuje Hijack
Logfile of HijackThis v1.99.1
Scan saved at 11:28, on 2005–08–21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\DOCUME~1\Wojtek\USTAWI~1\Temp\Rar$EX00.657\AnyDVD.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Anti Trojan Elite\TJEnder.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Wojtek\USTAWI~1\Temp\Rar$EX02.625\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Wojtek\USTAWI~1\Temp\se.dll/space.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Wojtek\USTAWI~1\Temp\se.dll/space.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: Shell=explorer.exe
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Acrobat Reader 6.0 CE pl\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {0B50DF4E–1428–4DC2–8FD7–B975175B6D05} – C:\WINDOWS\system32\jehg.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 – HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 – HKLM\..\Run: [AnyDVD] C:\DOCUME~1\Wojtek\USTAWI~1\Temp\Rar$EX00.657\AnyDVD.exe
O4 – HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 – HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O17 – HKLM\System\CCS\Services\Tcpip\..\{674883CE–DA57–4B0F–ADF2–54CEAE0A0F8B}: NameServer = 172.16.1.1,172.16.2.1
O18 – Filter: text/html – {E7A1A98D–0990–4473–8EE2–38BD346DEBE5} – C:\WINDOWS\system32\jehg.dll
O18 – Filter: text/plain – {E7A1A98D–0990–4473–8EE2–38BD346DEBE5} – C:\WINDOWS\system32\jehg.dll
O23 – Service: Ati HotKey Poller – ATI Technologies Inc. – C:\WINDOWS\system32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: AVG7 Alert Manager Server (Avg7Alrt) – GRISOFT, s.r.o. – C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 – Service: AVG7 Update Service (Avg7UpdSvc) – GRISOFT, s.r.o. – C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
bardzo proszę o pomoc ?
wlazł mi pewien – trojan horse Startpage.19.J
– przy uruchomieniu IE6 oraz nawet przy otwieraniu folderu Mój komputer pojawia się komunikat antywira
o wykryciu tego trojana
oraz błąd Win :
RUNDLL – wystąpił błąd podczas ładowania – pliku
z c:\Documents..\...\Moje Ustawienia\Temp\de.dll
oczywiście usuwam go wtedy moim antywirem AVG
przeszukiwałem SpyBootem , Ad–Awarem nawet teraz
Hijackiem – niestety – wraca !
na dodatek w IE pokazuje się jakaś nowa strona startowa [ zamiast Google ] + about blank i startuje w nowy okienku jakieś zawiadomienie o zainfekowaniu mego komputera przez szpiega itp
podaję to co pokazuje Hijack
Logfile of HijackThis v1.99.1
Scan saved at 11:28, on 2005–08–21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\DOCUME~1\Wojtek\USTAWI~1\Temp\Rar$EX00.657\AnyDVD.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Anti Trojan Elite\TJEnder.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Wojtek\USTAWI~1\Temp\Rar$EX02.625\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Wojtek\USTAWI~1\Temp\se.dll/space.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Wojtek\USTAWI~1\Temp\se.dll/space.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: Shell=explorer.exe
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Acrobat Reader 6.0 CE pl\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: (no name) – {0B50DF4E–1428–4DC2–8FD7–B975175B6D05} – C:\WINDOWS\system32\jehg.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 – HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 – HKLM\..\Run: [AnyDVD] C:\DOCUME~1\Wojtek\USTAWI~1\Temp\Rar$EX00.657\AnyDVD.exe
O4 – HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program Files\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O4 – HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 – HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O17 – HKLM\System\CCS\Services\Tcpip\..\{674883CE–DA57–4B0F–ADF2–54CEAE0A0F8B}: NameServer = 172.16.1.1,172.16.2.1
O18 – Filter: text/html – {E7A1A98D–0990–4473–8EE2–38BD346DEBE5} – C:\WINDOWS\system32\jehg.dll
O18 – Filter: text/plain – {E7A1A98D–0990–4473–8EE2–38BD346DEBE5} – C:\WINDOWS\system32\jehg.dll
O23 – Service: Ati HotKey Poller – ATI Technologies Inc. – C:\WINDOWS\system32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: AVG7 Alert Manager Server (Avg7Alrt) – GRISOFT, s.r.o. – C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 – Service: AVG7 Update Service (Avg7UpdSvc) – GRISOFT, s.r.o. – C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
bardzo proszę o pomoc ?
Odpowiedzi: 2
Zeby formalności dopełnić to sciagnij i zapodaj SpSeHjfix112 i CWShredder
Opróznij Tempa i usuń:
Opróznij Tempa i usuń:
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Wojtek\USTAWI~1\Temp\se.dll/space.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\Wojtek\USTAWI~1\Temp\se.dll/space.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 – REG:system.ini: Shell=explorer.exe
O2 – BHO: (no name) – {0B50DF4E–1428–4DC2–8FD7–B975175B6D05} – C:\WINDOWS\system32\jehg.dll
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 –k
O18 – Filter: text/html – {E7A1A98D–0990–4473–8EE2–38BD346DEBE5} – C:\WINDOWS\system32\jehg.dll
O18 – Filter: text/plain – {E7A1A98D–0990–4473–8EE2–38BD346DEBE5} – C:\WINDOWS\system32\jehg.dll
ja w listopadzie zeszlego roku zlapalm cos podobnego ( wedy to kazalo sie w IE 6.0 sa jakies dwie dziury niegrozne osobno ale jak sie je razem wykorzysta to mozna podrzucic trojana ) ––potem ten trojan sciagnol sobie kilkunastu kolegow .
jeden z nich zainstalowal sie Exploratorze windows ( jako tak zwany plugin ) –– i za kazdym razem jak uruchamiale Expolortora to on tez sie uruchamial i nie dwalo sie go wyrzucic ( wlasciwie mozna bylo wyrzucic ale wtedy windows przestawal dzialac wogole ) .
reinstalacjia nie pomoagala i muialem sformatowac dysk i zianstlaowac win xp ( mialem win me )
zaobacz czy czasem nie masz dwuch programow
C:\WINDOWS\Explorer.EXE i
C:\WINDOWS\Explorer.exe .
–––
postaraj sie skasowac w trybie awaryjnym z rejstru te wpisy
R1 – HKCU\Software\Microsoft\Internet
Explorer\Main,Search Bar = res://C:\DOCUME~1\Wojtek\USTAWI~1\Temp\se.dll/space.html
i wszystkie dotyczace pliku se.dll ( mozliwe ze windows tak jai i mi tez calkowicie padnie ) .
nie wierz w to co pisze na tej stronie startowej –– a juz w szczegolnosci nie pobieraj z niej zadnego softu , bo dopiero potem bedziesz mial klopoty .
mks_vir dobrze sobie radzi z trojami –– nie usunie ale napisze tobie co masz robic zeby usunac ( muisz zapisac na kartce nazwe trojana i potem w opise wiruca sprawdzic co dokladnie robic zeby go usunac )
skaner.mks_vir.com.pl
mozesz tez isc na latwizne i sprobowac przywrocic sytem do punktu sprzed infekcji ( jak wiesz kiedy nastapila to nie bedzie problemu ) –– amnadzieje ze regularnie tworzyles punkt przywracania systemu .
jeden z nich zainstalowal sie Exploratorze windows ( jako tak zwany plugin ) –– i za kazdym razem jak uruchamiale Expolortora to on tez sie uruchamial i nie dwalo sie go wyrzucic ( wlasciwie mozna bylo wyrzucic ale wtedy windows przestawal dzialac wogole ) .
reinstalacjia nie pomoagala i muialem sformatowac dysk i zianstlaowac win xp ( mialem win me )
zaobacz czy czasem nie masz dwuch programow
C:\WINDOWS\Explorer.EXE i
C:\WINDOWS\Explorer.exe .
–––
postaraj sie skasowac w trybie awaryjnym z rejstru te wpisy
R1 – HKCU\Software\Microsoft\Internet
Explorer\Main,Search Bar = res://C:\DOCUME~1\Wojtek\USTAWI~1\Temp\se.dll/space.html
i wszystkie dotyczace pliku se.dll ( mozliwe ze windows tak jai i mi tez calkowicie padnie ) .
nie wierz w to co pisze na tej stronie startowej –– a juz w szczegolnosci nie pobieraj z niej zadnego softu , bo dopiero potem bedziesz mial klopoty .
mks_vir dobrze sobie radzi z trojami –– nie usunie ale napisze tobie co masz robic zeby usunac ( muisz zapisac na kartce nazwe trojana i potem w opise wiruca sprawdzic co dokladnie robic zeby go usunac )
skaner.mks_vir.com.pl
mozesz tez isc na latwizne i sprobowac przywrocic sytem do punktu sprzed infekcji ( jak wiesz kiedy nastapila to nie bedzie problemu ) –– amnadzieje ze regularnie tworzyles punkt przywracania systemu .
Strona 1 / 1