CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo co mam naprawić? :)

co mam naprawić? :)

kolega ma problem z trojanami i podmianą strony startowej – staram się mu pomóc "zdalnie"... Poniźej log z hijacka:

Proszę o analizę i porady :) Z góry dzięki!!


Logfile of HijackThis v1.97.7
Scan saved at 14:50:06, on 04–11–05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSAGRSMMSG.EXE
C:WINDOWSSYSTEMMSTASK.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSEXPLORER.EXE
C:YDPDICTWATCH.EXE
C:WINDOWSSOUNDMAN.EXE
C:PROGRAM FILESWANADOOTASKBARICON.EXE
C:WINDOWSSVCHOSTR.EXE
C:PROGRAM FILESWINZIPWZQKPICK.EXE
C:PROGRAM FILESBANKRUTBANKRUT.EXE
C:PROGRAM FILESSAGEMSAGEM F@ST 800–840DSLMON.EXE
C:PROGRAM FILESWANADOOESPACEWANADOO.EXE
C:PROGRAM FILESWANADOOCOMCOMP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:PROGRAM FILESWANADOOWATCH.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:WINDOWSSYSTEMPSTORES.EXE
C:WINDOWSPULPITHIJACKTHIS.EXE

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wazzupnet.com
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada Plus wita Cie w Internecie
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
F1 – win.ini: load=C:YDPDictwatch.exe
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:PROGRAM FILESADOBEACROBAT 5.0 CEREADERACTIVEXACROIEHELPER.OCX
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSYSTEMMSDXM.OCX
O4 – HKLM..Run: [SoundMan] soundman.exe
O4 – HKLM..Run: [agrsmMSG] agrsmMSG.exe
O4 – HKLM..Run: [autoclk] autoclk.exe
O4 – HKLM..Run: [WOOWATCH] C:PROGRA~1WANADOOWatch.exe
O4 – HKLM..Run: [WOOTASKBARICON] C:PROGRA~1WANADOOTaskbarIcon.exe
O4 – HKLM..Run: [svchostr] C:WINDOWSsvchostr.exe
O4 – HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 – HKCU..Run: [Gadu–Gadu] "C:PROGRAM FILESGADU–GADUGG.EXE" /tray
O4 – Startup: WinZip Quick Pick.lnk = C:Program FilesWinZipWZQKPICK.EXE
O4 – Startup: Bankrut.lnk = C:Program FilesBankrutankrut.exe
O4 – Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 800–840dslmon.exe
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O12 – Plugin for .html: C:PROGRA~1INTERN~1PLUGINS ppdf32.dll
O12 – Plugin for .mov: C:PROGRA~1INTERN~1PLUGINS pqtplugin.dll
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O16 – DPF: {5F874A6F–8B34–433D–BA4B–47AC91C0567F} (MailCfg Control) – https://poczta.wp.pl/autoryzacja/mailcfg2.ocx
O16 – DPF: {37A49D66–2735–4BB9–8503–82BA5E2333D0} (MailCfg Control) – http://www.poczta.wp.pl/autoryzacja/mailcfg.ocx
O16 – DPF: {5AE70FF8–20A7–4FC4–B896–404196B8B04C} (Smtpauth Control) – http://i.wp.pl/a/i/poczta_xl/smtpauth.ocx

Odpowiedzi: 12

fajno_bedzie:
W system 32 tego nie znalazlem.
Kazales systemowi pokazac pliki ukryte i systemowe ? Szukales w innym miejscu ? Co usuwales z rejestru ? Wpisy z eplrr9.dll ? Jesli tak, to on gdzies jest.

Szukaj rowniez plikow eplrr?.dll, gdzie zamiast "9" moze byc inna cyfra.
EL NINO
Dodano
09.11.2004 20:53:11
W system 32 tego nie znalazlem.Z rejestru usunalem i chyba az za duzo,ale nie pomoglo
fajno_bedzie
Dodano
09.11.2004 17:55:16
Odszukaj na dysku i usun C:WINDOWSSystem32eplrr9.dll, przeszukaj rejestr i usun wpisy z eplrr9.dll, wylacz i zalacz przywracanie systemu, jesli masz zalaczone oczywiscie.
EL NINO
Dodano
08.11.2004 11:25:06
http://try–this–search.biz/?said=heaven to ta strona.A skanowanie nie pomoglo.Zmiany w ustawieniach rowniez.
fajno_bedzie
Dodano
07.11.2004 22:25:51
Wiec o jaka strone chodzi bo w logu masz www.onet.pl ??

Przeskanuj system pod obecnosc wszelkiej masci ...ware >> Ad–awere, SpyBot
+ AntiWirus i CWShredder
(wszystko z aktalna sygnatura)

Sprawdz czy wystarcz zmienic w ustawieniach IE strone startowa i czy nie bedzie wracac oraz poczytaj o sofcie do ochrony strony startowej w przyklejonym temacie z tego działu
Bobi
Dodano
07.11.2004 12:29:15
http://www.tsi.tychy.pl/proxy.pac to skrypt automatycznej konfiguracji i to nie jest ta strona. Niestety:(
fajno_bedzie
Dodano
07.11.2004 10:41:48
fajno_bedzie:
Dzieki ale nadal nie rozwiazalo to mojego problemu ze strona startowa.O co Ci chodzi z tym IMO??

IMO (skrót) >> In My Opinion >> Moim zdaniem

O ta strone chodzi >> http://www.tsi.tychy.pl/ ??
Wywal jeszcze:
R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,AutoConfigURL = http://www.tsi.tychy.pl/proxy.pac
Bobi
Dodano
07.11.2004 10:03:43
Dzieki ale nadal nie rozwiazalo to mojego problemu ze strona startowa.O co Ci chodzi z tym IMO??
fajno_bedzie
Dodano
07.11.2004 01:45:30
fajno_bedzie:
A co da sie wyczytac z mojego:)?

Ciekawe rzeczy mozna znalezc
np. Trojana Backdoor.Sdbot :P

Wylacz przywracanie
Zakoncz w tasku
system32.exe

FIX:
O4 – HKLM..Run: [system32.exe] C:WINDOWSSystem32system32.exe

Włacz Przywracanie

Mam watpliwosci co do tego:
R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,AutoConfigURL = http://www.tsi.tychy.pl/proxy.pac
IMO do wywalenia
Bobi
Dodano
06.11.2004 17:48:49
A co da sie wyczytac z mojego:)?

Logfile of HijackThis v1.97.7
Scan saved at 16:34:19, on 2004–11–06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32RUNDLL32.EXE
C:PROGRA~1DrWebspidernt.exe
C:Program FilesDrWebDRWEBSCD.EXE
C:Program FilesDrWebspiderml.exe
C:WINDOWSSystem32system32.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesGadu–Gadugg.exe
C:WINDOWSSystem32 vsvc32.exe
C:Program FilesDrWebSpiderNT.exe
C:WINDOWSSystem32wuauclt.exe
c:Program FilesinterMuteSpySubtractSpySub.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsSławekPulpithijackthis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.onet.pl/
R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,AutoConfigURL = http://www.tsi.tychy.pl/proxy.pac
O4 – HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit
O4 – HKLM..Run: [SpIDerNT] C:PROGRA~1DrWebspidernt.exe /agent
O4 – HKLM..Run: [DrWebScheduler] "C:Program FilesDrWebDRWEBSCD.EXE"
O4 – HKLM..Run: [SpIDerMail] "C:Program FilesDrWebspiderml.exe"
O4 – HKLM..Run: [system32.exe] C:WINDOWSSystem32system32.exe
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE
O4 – Global Startup: SpySubtract.lnk = C:Program FilesInterMuteSpySubtractSpySub.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 – Unknown file in Winsock LSP: c:windowssystem32drwebsp.dll
O10 – Unknown file in Winsock LSP: c:windowssystem32drwebsp.dll
O10 – Unknown file in Winsock LSP: c:windowssystem32drwebsp.dll
O10 – Unknown file in Winsock LSP: c:windowssystem32drwebsp.dll
O12 – Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 – HKLMSystemCCSServicesTcpip..{5FF04E2C–0F3A–438A–88F3–1630E2FD0C2F}: NameServer = 80.51.68.242
fajno_bedzie
Dodano
06.11.2004 17:37:36
Dzięki!!!
mikee
Dodano
06.11.2004 12:18:18
Usun z loga i dysku:

C:WINDOWSSVCHOSTR.EXE
O4 – HKLM..Run: [svchostr] C:WINDOWSsvchostr.exe

Natomiast jesli wlasnorecznie ustawil taka strone startowa, to niech zostanie:
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wazzupnet.com
EL NINO
Dodano
05.11.2004 20:10:33
mikee
Dodano:
05.11.2004 16:12:15
Komentarzy:
12
Strona 1 / 1