Szczyt chamstwa – Trojan–Dropper.Win32.Agent.lg
Witam drogich forumowiczów
wieć przed chwila zostałem zbulwersowany jakis sku*** kwawał gno** odezwał sie do mnie kulturalnie na gadu pod przykrywką 21 letniej marty :–)
rozmowa wygladała tak
i cały mankament tkwi tutaj
jest tam trojan (o ile sie nie myle) Trojan–Dropper.Win32.Agent.lg
nagle zmuliło mi kompa wiec ja w menadzer zadan patrze a tu jakies procesy więc staram sie cos z tym zorbic gdy sie zorientowałem o co chodzi kabel z ftyczki :P troche mojej w tym winy bo po cholere właziłem an ten link. Ciekawość pierwszy stopień do piekła.
Tak wiec poradzięłm sobie z combo.exe juz raczej nie ma zadnego trojanka
wklejam log
zapewne sa tu pozostałosci jakis syfów które kidys miałem wiec przy okazji prosze o rade co tutaj jest nie potrzebne.
Dochodządz do sedna czy
Jesli Tak to co zrobić aby ten ktos nie uprzykrzał zycia innym ?? przy okazji zemsta mi po głowie chodzi :D
czekam na odpowiedz specjalistów z góry dizekuje
pozdrawiam
wieć przed chwila zostałem zbulwersowany jakis sku*** kwawał gno** odezwał sie do mnie kulturalnie na gadu pod przykrywką 21 letniej marty :–)
rozmowa wygladała tak
23:11:29
siemka!
Ja 23:11:51
Hej
23:11:52
poznamy sie? mam na imie Marta
masz moze foto?
JA 23:12:15
Witam ciebie Martuś
23:12:16
moje jest tutaj http://traffsale.biz/marta.html
23:12:16
oj, sorki, musze leciec! pogadamy pozniej
Ja 23:12:26
a powiedz mi do czego ci moja fotkas
i cały mankament tkwi tutaj
http://traffsale.biz/marta.html
jest tam trojan (o ile sie nie myle) Trojan–Dropper.Win32.Agent.lg
nagle zmuliło mi kompa wiec ja w menadzer zadan patrze a tu jakies procesy więc staram sie cos z tym zorbic gdy sie zorientowałem o co chodzi kabel z ftyczki :P troche mojej w tym winy bo po cholere właziłem an ten link. Ciekawość pierwszy stopień do piekła.
Tak wiec poradzięłm sobie z combo.exe juz raczej nie ma zadnego trojanka
wklejam log
"Silent Runners.vbs", revision 39, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Gadu–Gadu" = ""C:\Program Files\Gadu–Gadu\gg.exe" /tray" ["Gadu–Gadu Sp. z oo"]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe" ["Sun Microsystems, Inc."]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F–C8D7–4D59–B87D–784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{A70C977A–BF00–412C–90B7–034C51DA2439}" = "NvCpl DesktopContext Class"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949–8F65–4355–8456–263E7C208A5D}" = "Desktop Explorer"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A47}" = "Desktop Explorer Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A48}" = "nView Desktop Context Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{59850401–6664–101B–B21C–00AA004BA90B}" = "Microsoft Office Binder Unbind"
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\1045\UNBIND.DLL" [MS]
"{0006F045–0000–0000–C000–000000000046}" = "Microsoft Outlook Custom Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{B41DB860–8EE4–11D2–9906–E49FADC173CA}" = "WinRAR shell extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{FFB699E0–306A–11d3–8BD1–00104B6F7516}" = "Play on my TV helper"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"]
"{5E2121EE–0300–11D4–8D3B–444553540000}" = "st"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\winacpi.dll" [null data]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
sysacpildap\(Default) = "{5E2121EE–0300–11D4–8D3B–444553540000}"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\winacpi.dll" [null data]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
Active Desktop and Wallpaper:
–––––––––––––––––––––––––––––
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Vegatin\Dane aplikacji\Microsoft\Internet Explorer\Tapeta programu Internet Explorer.bmp"
Enabled Screen Saver:
–––––––––––––––––––––
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]
Startup items in "Vegatin" & "All Users" startup folders:
–––––––––––––––––––––––––––––––––––––––––––––––––––––––––
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"Microsoft Office" –> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE –b –l" [MS]
Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 – 03, 06 – 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 – 05
Toolbars, Explorer Bars, Extensions:
––––––––––––––––––––––––––––––––––––
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0–4FCB–11CF–AAA5–00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{CAFEEFAC–0015–0000–0004–ABCDEFFEDCBC}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll" ["Sun Microsystems, Inc."]
Running Services (Display Name, Service Name, Path {Service DLL}):
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
Loading Outpost Connections, KDE, "C:\WINDOWS\System32\cmdtel.exe" [null data]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Power Manager, PowerManager, "C:\WINDOWS\svchost.exe" [MS]
––––––––––
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the –supp parameter or answer "Yes" at the first message box.
–––––––––– (total run time: 61 seconds, including 1 second for message boxes)
zapewne sa tu pozostałosci jakis syfów które kidys miałem wiec przy okazji prosze o rade co tutaj jest nie potrzebne.
Dochodządz do sedna czy
jest zasyfiony.http://traffsale.biz/marta.html
Jesli Tak to co zrobić aby ten ktos nie uprzykrzał zycia innym ?? przy okazji zemsta mi po głowie chodzi :D
czekam na odpowiedz specjalistów z góry dizekuje
pozdrawiam
Odpowiedzi: 6
Kurcze mi to samo jakies 2 tygodnie temu ta sama osoba ta sama gadke nawinela. Jak cos jej napisalem to w mgnieniu oka ona juz mi odpowiedziala. Jakis automat to pewno robi albo co?
hehe kiedyś(jakieś 3 tygodnie temu) ta sama osoba do mnie zagadała (tylko adres inny podała) naszczęście nod wyświetlił komunikat i rozłączył sie z tą stronką(czyli obyło sie bez zasyfienia :wink: )
Jeśli ktoś posiada jakikolwiek antywirus to problemu nie ma, gorzej gdy ktoś takowego nie posiada. Ale wtedy to sam sobie winien.
Co tu zrobić zeby ludzie nie łapali sie na ten haczyk. Bo ogromna cześć uzytkowników nie ma pojecia ze cos im sie nagle ładuje na kompa. :?:
Teź miałem taką "nawijkę" na GG, oczywiście łyknełem haczyk. Ale nic mi na komp nie zdołało wejść.
teraz weszłem* i znalazłem:
JS:Classloader–6 – zablokowany przez Avasta, z tego co wyczytałem jest to wirus gnieźdźący sie w pamięci cache Javy.
SpyBot znalazł całkiem sporo ciasteczek (Firefox:default)i nie tylko:
Wszystkie bez problemu zostały usunięte.
Nie wykluczone źe strona została specjalnie zaraźona, poprzednim razem Avast nic nie komunikował, takźe Spybot nie wykrywał nic po tej wizycie.
*po blokadzie avasta wyświetliła się moja strona startowa.
teraz weszłem* i znalazłem:
JS:Classloader–6 – zablokowany przez Avasta, z tego co wyczytałem jest to wirus gnieźdźący sie w pamięci cache Javy.
SpyBot znalazł całkiem sporo ciasteczek (Firefox:default)i nie tylko:
Wszystkie bez problemu zostały usunięte.
Nie wykluczone źe strona została specjalnie zaraźona, poprzednim razem Avast nic nie komunikował, takźe Spybot nie wykrywał nic po tej wizycie.
*po blokadzie avasta wyświetliła się moja strona startowa.
winacpi.dll z katalogu C:\WINDOWS\System32\ – Repsamo (na forum było przerabiane jego usuwanie) i svchost.exe z katalogu c:\windows\ + usługa PowerManager (o zatrzymywaniu i usuwaniu usług było na forum).
Strona 1 / 1