Trojan.Goldun!!
Witam!
Mam problem z wirusem pod wyźej wymieniona nazwą. Został on wykryty przez wersję demonstracyjną programu Spyware Doctor. Ani Kaspersky ani Avast go nie zauwaźają. Skorzystałem z HiJackThis i usunąłem wszystkie podejrzane wpisy – niestety bez efektu. Ktoś wie jak moźna sobie z tym poradzić?
Mam problem z wirusem pod wyźej wymieniona nazwą. Został on wykryty przez wersję demonstracyjną programu Spyware Doctor. Ani Kaspersky ani Avast go nie zauwaźają. Skorzystałem z HiJackThis i usunąłem wszystkie podejrzane wpisy – niestety bez efektu. Ktoś wie jak moźna sobie z tym poradzić?
Odpowiedzi: 14
Jak to czemu? Enum to w duźej mierze to co znaleźć moźna w menadzerze urzadzen, tam siedza wszystkie niemal informacje o urzadzeniach.
Bobi:
Z tym całym Enum to ześ się Ad@$ zapędził trochę
Czemu? :roll:
No to dodam, źe faktycznie usunąłem całe Enum i wszystko jest ok z jednym wyjątkiem – nie działa karta dźwiękowa. Moźe mieć coś wspólnego?
Z tym całym Enum to ześ się Ad@$ zapędził trochę, z rejestru wywalić wszystko z IESPRT w nazwie wczesniej przejać prawa.
Problem rozwiązany, dzięki bardzo za pomoc!
A ten nadmiar antyvirów to tylko w ramach polowania na trojana ;) juź je pusuwałem
A ten nadmiar antyvirów to tylko w ramach polowania na trojana ;) juź je pusuwałem
Tak się zastanawiam po jaką cho..... Ci Avast i Kacperski i do tego Spybot S&D i Spyware Doctor i diabli wiedzą co jeszcze...
Następnym razem w logu zobaczymy moźe jeszcze NAVa, NODa, MKSa i wiele wiele innych!
hehe...powyrzucaj sobie niektóre z tych programików, bo szkoda dysków na nie.
Następnym razem w logu zobaczymy moźe jeszcze NAVa, NODa, MKSa i wiele wiele innych!
hehe...powyrzucaj sobie niektóre z tych programików, bo szkoda dysków na nie.
HKLM\SYSTEM\CurrentControlSet\Enum
HKLM\SYSTEM\CurrentControlSet\Services\iesprt
Usuwaj cały folder. I zastosuj to do wszystkich CurrentControlSetów, aby przypadkiem poprzez ostatnią dobra konfiguracje nie powróciło.
Widzę takźe, źe masz CWSa. Potraktuj go CWSShrederem.
HKLM\SYSTEM\CurrentControlSet\Services\iesprt
Usuwaj cały folder. I zastosuj to do wszystkich CurrentControlSetów, aby przypadkiem poprzez ostatnią dobra konfiguracje nie powróciło.
Widzę takźe, źe masz CWSa. Potraktuj go CWSShrederem.
To jest log ze Spyware Doctor
Infection Name Location Risk
Internet Explorer Security Settings multiple Info & PUAs
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT## High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT##NextInstance High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000 High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000## High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##Service High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##Legacy High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##ConfigFlags High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##Class High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##ClassGUID High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##DeviceDesc High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##Capabilities High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##Driver High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000\LogConf High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000\LogConf## High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000\Control High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000\Control## High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT## High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT##NextInstance High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000 High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000## High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##Service High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##Legacy High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##ConfigFlags High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##Class High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##ClassGUID High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##DeviceDesc High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##Capabilities High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##Driver High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000\LogConf High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000\LogConf## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT##NextInstance High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000 High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##Service High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##Legacy High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##ConfigFlags High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##Class High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##ClassGUID High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##DeviceDesc High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##Capabilities High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##Driver High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000\LogConf High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000\LogConf## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000\Control High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000\Control## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt##Type High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt##Start High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt##ErrorControl High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt##ImagePath High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt##DisplayName High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Security High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Security## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Security##Security High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Enum High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Enum## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Enum##0 High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Enum##Count High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Enum##NextInstance High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Enum##INITSTARTFAILED High
CWS.Home Search Assistant C:\Program Files\Netscape\Netscape Browser\components\gkparser.dll High
Po usunięciu tego SVCHOSN nic się nie zmieniło.
Infection Name Location Risk
Internet Explorer Security Settings multiple Info & PUAs
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT## High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT##NextInstance High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000 High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000## High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##Service High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##Legacy High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##ConfigFlags High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##Class High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##ClassGUID High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##DeviceDesc High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##Capabilities High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000##Driver High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000\LogConf High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000\LogConf## High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000\Control High
Trojan.Goldun HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_IESPRT\0000\Control## High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT## High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT##NextInstance High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000 High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000## High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##Service High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##Legacy High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##ConfigFlags High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##Class High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##ClassGUID High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##DeviceDesc High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##Capabilities High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000##Driver High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000\LogConf High
Trojan.Goldun HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_IESPRT\0000\LogConf## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT##NextInstance High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000 High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##Service High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##Legacy High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##ConfigFlags High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##Class High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##ClassGUID High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##DeviceDesc High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##Capabilities High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000##Driver High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000\LogConf High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000\LogConf## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000\Control High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IESPRT\0000\Control## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt##Type High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt##Start High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt##ErrorControl High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt##ImagePath High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt##DisplayName High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Security High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Security## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Security##Security High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Enum High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Enum## High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Enum##0 High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Enum##Count High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Enum##NextInstance High
Trojan.Goldun HKLM\SYSTEM\CurrentControlSet\Services\iesprt\Enum##INITSTARTFAILED High
CWS.Home Search Assistant C:\Program Files\Netscape\Netscape Browser\components\gkparser.dll High
Po usunięciu tego SVCHOSN nic się nie zmieniło.
Do odstrzału:
Plik SVCHOS.EXE usuń z dysku.
Gdzie Spyware Doctor znajduje go? Lokalizacje!
O2 – BHO: (no name) – {A5366673–E8CA–11D3–9CD9–0090271D075B} – (no file)
O4 – HKLM\..\Run: [SVCHOS.EXE] SVCHOS.EXE $$
Plik SVCHOS.EXE usuń z dysku.
Gdzie Spyware Doctor znajduje go? Lokalizacje!
Logfile of HijackThis v1.99.1
Scan saved at 09:55:29, on 2006–04–06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
G:\Programiki\HiJackThis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: SuperAdBlockerBHO Class – {00000000–6C30–11D8–9363–000AE6309654} – C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 – BHO: PCTools Site Guard – {5C8B2A36–3DB1–42A4–A3CB–D426709BBFEB} – C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 – BHO: (no name) – {A5366673–E8CA–11D3–9CD9–0090271D075B} – (no file)
O2 – BHO: Google Toolbar Helper – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:\program files\google\googletoolbar1.dll
O2 – BHO: PCTools Browser Monitor – {B56A7D7D–6927–48C8–A975–17DF180C71AC} – C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:\program files\google\googletoolbar1.dll
O3 – Toolbar: Super Ad Blocker Toolbar – {B4B3001E–0F56–4E51–8250–BDE11547EC55} – C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 – HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 – HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" –lang 1033
O4 – HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti–Virus Personal Pro\kav.exe" /minimize
O4 – HKLM\..\Run: [SVCHOS.EXE] SVCHOS.EXE $$
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 – HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 – HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 – HKCU\..\Run: [X–Cleaner Deluxe] "C:\PROGRA~1\X–CLEA~1\XCleaner_full.exe" –turbo –autostart –NOREBOOT
O4 – HKCU\..\Run: [SuperAdBlocker] C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 – HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot – Search & Destr\TeaTimer.exe
O4 – HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe –AutoStart
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 – Global Startup: Picture Package Menu.lnk = ?
O4 – Global Startup: Picture Package VCD Maker.lnk = ?
O8 – Extra context menu item: &Google Search – res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 – Extra context menu item: &Translate English Word – res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 – Extra context menu item: Backward Links – res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 – Extra context menu item: Download All by FlashGet – G:\flashget\jc_all.htm
O8 – Extra context menu item: Download using FlashGet – G:\flashget\jc_link.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Similar Pages – res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 – Extra context menu item: Translate Page into English – res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 – Extra button: Spyware Doctor – {2D663D1A–8670–49D9–A1A5–4C56B4E14E84} – C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O15 – Trusted Zone: http://skaner.mks.com.pl
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109945015945
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O18 – Protocol: wpmsg – {2E0AC5A0–3597–11D6–B3ED–0001021DC1C3} – C:\Program Files\Spik\url_wpmsg.dll
O20 – Winlogon Notify: SABWinLogon – C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABWINLO.DLL
O20 – Winlogon Notify: WgaLogon – C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 – Service: iPodService – Apple Computer, Inc. – C:\Program Files\iPod\bin\iPodService.exe
O23 – Service: kavsvc – Kaspersky Lab – C:\Program Files\Kaspersky Lab\Kaspersky Anti–Virus Personal Pro\kavsvc.exe
O23 – Service: Super Ad Blocker Service (SABSVC) – SuperAdBlocker.com – C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 – Service: PC Tools Spyware Doctor (SDhelper) – PC Tools Research Pty Ltd – C:\Program Files\Spyware Doctor\sdhelp.exe
Scan saved at 09:55:29, on 2006–04–06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program Files\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
G:\Programiki\HiJackThis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: SuperAdBlockerBHO Class – {00000000–6C30–11D8–9363–000AE6309654} – C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 – BHO: PCTools Site Guard – {5C8B2A36–3DB1–42A4–A3CB–D426709BBFEB} – C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 – BHO: (no name) – {A5366673–E8CA–11D3–9CD9–0090271D075B} – (no file)
O2 – BHO: Google Toolbar Helper – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:\program files\google\googletoolbar1.dll
O2 – BHO: PCTools Browser Monitor – {B56A7D7D–6927–48C8–A975–17DF180C71AC} – C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:\program files\google\googletoolbar1.dll
O3 – Toolbar: Super Ad Blocker Toolbar – {B4B3001E–0F56–4E51–8250–BDE11547EC55} – C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 – HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 – HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" –lang 1033
O4 – HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti–Virus Personal Pro\kav.exe" /minimize
O4 – HKLM\..\Run: [SVCHOS.EXE] SVCHOS.EXE $$
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 – HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 – HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
O4 – HKCU\..\Run: [X–Cleaner Deluxe] "C:\PROGRA~1\X–CLEA~1\XCleaner_full.exe" –turbo –autostart –NOREBOOT
O4 – HKCU\..\Run: [SuperAdBlocker] C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SAdBlock.exe
O4 – HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot – Search & Destr\TeaTimer.exe
O4 – HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe –AutoStart
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 – Global Startup: Picture Package Menu.lnk = ?
O4 – Global Startup: Picture Package VCD Maker.lnk = ?
O8 – Extra context menu item: &Google Search – res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 – Extra context menu item: &Translate English Word – res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O8 – Extra context menu item: Backward Links – res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 – Extra context menu item: Cached Snapshot of Page – res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 – Extra context menu item: Download All by FlashGet – G:\flashget\jc_all.htm
O8 – Extra context menu item: Download using FlashGet – G:\flashget\jc_link.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 – Extra context menu item: Similar Pages – res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 – Extra context menu item: Translate Page into English – res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 – Extra button: Spyware Doctor – {2D663D1A–8670–49D9–A1A5–4C56B4E14E84} – C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O15 – Trusted Zone: http://skaner.mks.com.pl
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109945015945
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O18 – Protocol: wpmsg – {2E0AC5A0–3597–11D6–B3ED–0001021DC1C3} – C:\Program Files\Spik\url_wpmsg.dll
O20 – Winlogon Notify: SABWinLogon – C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABWINLO.DLL
O20 – Winlogon Notify: WgaLogon – C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 – Service: iPodService – Apple Computer, Inc. – C:\Program Files\iPod\bin\iPodService.exe
O23 – Service: kavsvc – Kaspersky Lab – C:\Program Files\Kaspersky Lab\Kaspersky Anti–Virus Personal Pro\kavsvc.exe
O23 – Service: Super Ad Blocker Service (SABSVC) – SuperAdBlocker.com – C:\Program Files\SuperAdBlocker.com\Super Ad Blocker\SABSVC.EXE
O23 – Service: PC Tools Spyware Doctor (SDhelper) – PC Tools Research Pty Ltd – C:\Program Files\Spyware Doctor\sdhelp.exe
Koń trojański próbujący przyjąć dane logowania do serwisu www.e–gold.com.
Podobno kiedy plik trojana zostanie uruchomiony, wykonywane są następujące operacje:
1. Tworzy pliki:
– golder.exe – w folderze TEMP w Windows
– msgolder.dll – w folderze systemowym
mmx464.sys
qz.sys
mmx432.dll
qz.dll
stt82.ini
2. By uruchamiać się z kaźdym startem przeglądarki internetowej Internet Explorer, w rejestrze tworzy klucze:
– HKEY_CLASSES_ROOT\ CLSID\ {92617934–9abc–def0–0fed–fad48c654321}
– HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ {92617934–9abc–def0–0fed–fad48c654321}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon\Notify\mmx432
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
SafeBoot\Minimal\mmx432.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
SafeBoot\Network\mmx432.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
SafeBoot\Minimal\mmx464.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
SafeBoot\Network\mmx464.sys
3. Wyświetla komunikat:
Tytuł: E–gold security connect
Treść: gold itself, circulated electronically... the ultimate worldwide free marked currency.
4. Wyświetla pasek postępu i Otwiera stronę www.e–gold.com w Internet Explorer
5. Sprawdza okienka Internet Explorer i jeśli otwartą stroną jest www.e–gold.com, będzie przychwytywał znaki wprowadzane z klawiatury by przejąć dane logowania do tego serwisu.
6. Wysyła przechwycone dane do określonego przez twórcę serwera.
7. tworzy równieź następujące usługi, które pozwalają ukryć jego działanie w systemie:
MMX Virtualization Service
MMX2 Virtualization Service
Jesli uzywasz kont abankowego to radze na niego uwaźać, bo pobiera dane o kontach i posyła do jego twórcy.
Radzę jeszcze raz luknąć do hijacka (albo zamieścic log tutaj to lukniemy i zaradzimy coś) i prawdzić ścieźki wymienione wyźej przeze mnie
Podobno kiedy plik trojana zostanie uruchomiony, wykonywane są następujące operacje:
1. Tworzy pliki:
– golder.exe – w folderze TEMP w Windows
– msgolder.dll – w folderze systemowym
mmx464.sys
qz.sys
mmx432.dll
qz.dll
stt82.ini
2. By uruchamiać się z kaźdym startem przeglądarki internetowej Internet Explorer, w rejestrze tworzy klucze:
– HKEY_CLASSES_ROOT\ CLSID\ {92617934–9abc–def0–0fed–fad48c654321}
– HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ {92617934–9abc–def0–0fed–fad48c654321}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Winlogon\Notify\mmx432
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
SafeBoot\Minimal\mmx432.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
SafeBoot\Network\mmx432.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
SafeBoot\Minimal\mmx464.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\
SafeBoot\Network\mmx464.sys
3. Wyświetla komunikat:
Tytuł: E–gold security connect
Treść: gold itself, circulated electronically... the ultimate worldwide free marked currency.
4. Wyświetla pasek postępu i Otwiera stronę www.e–gold.com w Internet Explorer
5. Sprawdza okienka Internet Explorer i jeśli otwartą stroną jest www.e–gold.com, będzie przychwytywał znaki wprowadzane z klawiatury by przejąć dane logowania do tego serwisu.
6. Wysyła przechwycone dane do określonego przez twórcę serwera.
7. tworzy równieź następujące usługi, które pozwalają ukryć jego działanie w systemie:
MMX Virtualization Service
MMX2 Virtualization Service
Jesli uzywasz kont abankowego to radze na niego uwaźać, bo pobiera dane o kontach i posyła do jego twórcy.
Radzę jeszcze raz luknąć do hijacka (albo zamieścic log tutaj to lukniemy i zaradzimy coś) i prawdzić ścieźki wymienione wyźej przeze mnie
Klepnij w szukaja forumowego goldun i poczytaj to co wyskoczy.
Dzięki. Niestety, ale próbowałem wszystkie 3 programy z tej drugiej strony i źaden nie pomógł. Znalazły coś, usunęły pare wpisów w rejetrze, a Spyware Doctor cały czas znajduje trojana i to w ponad sześcdziesięciu miejscach...
http://www.symantec.com/avcenter/venc/data/trojan.goldun.html
http://www.spywareguide.com/product_show.php?id=1964
http://www.spywareguide.com/product_show.php?id=1964
Strona 1 / 1