CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Trojan, reklamy w przeglądarkach

Trojan, reklamy w przeglądarkach

Witam,
Wczorajszego dnia pobrałem z internetu .zip w którym znajdował się program TV, ale niestety razem z nim było jeszcze kilka niespodzianek, oczywiście mowa o trojanach i tym podobnym. Z kilkoma se poradziłem, tak mi się wydaje ;), ale został jeden który jest chyba najmniej groźny ale strasznie wkurzający. Moźe doprowadzić do zawału :D
Chodzi o to, źe gdy właczam PC od razu otwiera mi się przeglądarka (Mozilla) i reklama się pojawia, i gdy np. siedzę na stronach www, nie waźne jaka przeglądarka to zmienia mi się adres w pasku adresu, i wchodzi na jakas stron o sklepie, jakies obrazki i róźne takie....
Antywirus (norton) nie potrafi odszukać tego wirusa ... a ja sam teź nie potrafię i nie wiem jak się tego świnstwa pozbyć, niestety nazwy trojana teź nie znam :(

Czy mógłby ktoś mi na to zaradzić?

Odpowiedzi: 7

CaSi:
Pobrałem teź Look2Me–Destroyer, ale z tym to kompletnie nie wiem co zrobić.


Po prostu kliknij na nie go dwa razy myszą i tam masz opcje do wyboru

Wrazie problemów z uruchomieniem pobierz ten plik http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX i zapisz go C:\Windows\System32
Wiewia
Dodano
05.03.2006 15:00:22
Bo z tym trojanem co dałeś linka to się zgadza bo jest zawsze ta końcówka yyyy.html tylko nic nie rozumiem z tego http://forum.centrumxp.pl/viewtopic.php?t=43523 pobrałem ten program L2MFIX nie wiem czy dobrze i później nacislem "2" i otworzyło się to okno
ale nie wiem co dalej?

PS.
Pobrałem teź Look2Me–Destroyer, ale z tym to kompletnie nie wiem co zrobić.
Proszę o pomoc :cry:
CaSi
Dodano
05.03.2006 14:35:45
Wpisy usuwasz w HijackThis poleceniem fixchecked.

CaSi:

I nie potrafie odnalejść plików:


Pewno są ukryte. Wejdz w opcje folderów i zaznacz opcje pokaź ukryte pliki i foldery
Wiewia
Dodano
04.03.2006 09:40:10
Mam kilka pytań
    Wpisy usuwasz w HJ

o co w tym chodzi ;/?


I nie potrafie odnalejść plików:
O4 – HKLM\..\Run: [winsysupd] C:\\winsysupd12.exe
O4 – HKLM\..\Run: [winsysban] C:\\winsysban12.exe
O4 – HKLM\..\Run: [gimmygames] C:\\gimmygames12.exe
CaSi
Dodano
04.03.2006 09:06:18
Ale sieczka

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 – HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://gadnet.hit.gemius.pl/hitredir/id=B7zlpieIyceapoBwMoY25vWo7FqpPPhW.Q5U6AGZ.Sb.O7/stparam=lhfrflptfz/url=http://www.kredytmieszkaniowy.bph.pl/
R3 – URLSearchHook: (no name) – – (no file)
F2 – REG:system.ini: Shell=explorer.exe "c:\program files\common files\microsoft shared\web folders\ibm00001.exe"
O4 – HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 – HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe
O4 – HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 – HKLM\..\Run: [Yl5GAaR1] C:\WINDOWS\wcvada.exe
O4 – HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 – HKLM\..\Run: [bO[y–ŻŚ] C:\WINDOWS\wcvada.exe
O4 – HKLM\..\Run: [bO/G%)fNbC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\wcvada.exe
O4 – HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKLM\..\Run: [winsysupd] C:\\winsysupd12.exe
O4 – HKLM\..\Run: [winsysban] C:\\winsysban12.exe
O4 – HKLM\..\Run: [gimmygames] C:\\gimmygames12.exe
O4 – HKLM\..\Run: [bOouĆ#\bˆC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\wcvada.exe
O4 – HKLM\..\Run: [hi5oa3p0] C:\WINDOWS\System32\hi5oa3p0.exe
O4 – HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 – HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 – HKCU\..\Run: [pro] C:\winstall.exe
O4 – HKCU\..\Run: [kqqm] C:\PROGRA~1\COMMON~1\kqqm\kqqmm.exe
O9 – Extra button: SideFind – {10E42047–DEB9–4535–A118–B3F6EC39B807} – C:\Program Files\SideFind\sidefind.dll
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O20 – Winlogon Notify: msupdate – C:\WINDOWS\SYSTEM32\msupdate32.dll


Znajdz w dodaj usuń i odinstaluj Media Gateway , Internet Optimizer

Starujesz do trybu awaryjnego. Wyłanczasz przywracanie systemu. Wpisy usuwasz w HJ a pliki i katalogi ręcznie z dysku ponadto zastosuj to narzędzie FxIstbar.exe

Ponadto prawdopodopbnie jest to VX2

O20 – Winlogon Notify: MS–DOS Emulation – C:\WINDOWS\system32\en66l1js1.dll


Poczytaj ten temat http://forum.centrumxp.pl/viewtopic.php?t=43523

Jak ci nie pomoźe masz jeszcze to http://forum.twojastrefapc.pl/index.php?showtopic=214

I zastosuj narzędzie Look2Me–Destroyer.exe

Nie wiem co to jest

O4 – HKLM\..\Run: [Nedya] C:\Program Files\Qoqu\Mrblvfs.exe


Jeśli tego nie znasz to to usuń
Wiewia
Dodano
04.03.2006 02:25:19
Logfile of HijackThis v1.99.1
Scan saved at 22:09:01, on 2006–03–03
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\c29iZWw\command.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Network Monitor\netmon.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\keyhook.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
F:\dvd\PDVDServ.exe
C:\Program Files\Media Gateway\MediaGateway.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\hi5oa3p0.exe
C:\Program Files\Qoqu\Mrblvfs.exe
C:\WINDOWS\wcvada.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
E:\Gadu–Gadu\gg.exe
C:\PROGRA~1\COMMON~1\kqqm\kqqmm.exe
C:\Program Files\Kalendarz XP\Kalendarz.exe
C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
F:\winamp\Winamp\winamp.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
E:\Gadu–Gadu\gg.exe
C:\Documents and Settings\CaSi\Pulpit\hijackthis_199\HijackThis.exe

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R1 – HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://gadnet.hit.gemius.pl/hitredir/id=B7zlpieIyceapoBwMoY25vWo7FqpPPhW.Q5U6AGZ.Sb.O7/stparam=lhfrflptfz/url=http://www.kredytmieszkaniowy.bph.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – URLSearchHook: (no name) – – (no file)
F2 – REG:system.ini: Shell=explorer.exe "c:\program files\common files\microsoft shared\web folders\ibm00001.exe"
O3 – Toolbar: SnagIt – {8FF5E183–ABDE–46EB–B09E–D2AAB95CABE3} – C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: UCmore XP – The Search Accelerator – {44BE0690–5429–47f0–85BB–3FFD8020233E} – C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 – HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 – HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 – HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 – HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 – HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 – HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 – HKLM\..\Run: [WinampAgent] F:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" –osboot
O4 – HKLM\..\Run: [RemoteControl] F:\dvd\PDVDServ.exe
O4 – HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 – HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 – HKLM\..\Run: [hi5oa3p0] C:\WINDOWS\System32\hi5oa3p0.exe
O4 – HKLM\..\Run: [Nedya] C:\Program Files\Qoqu\Mrblvfs.exe
O4 – HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 – HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 – HKLM\..\Run: [Yl5GAaR1] C:\WINDOWS\wcvada.exe
O4 – HKLM\..\Run: [SurfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe
O4 – HKLM\..\Run: [bO[y–ŻŚ] C:\WINDOWS\wcvada.exe
O4 – HKLM\..\Run: [bO/G%)fNbC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\wcvada.exe
O4 – HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKLM\..\Run: [winsysupd] C:\\winsysupd12.exe
O4 – HKLM\..\Run: [winsysban] C:\\winsysban12.exe
O4 – HKLM\..\Run: [gimmygames] C:\\gimmygames12.exe
O4 – HKLM\..\Run: [bOouĆ#\bˆC:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\wcvada.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Skype] "F:\Phone\Skype.exe" /nosplash /minimized
O4 – HKCU\..\Run: [Gadu–Gadu] "E:\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 – HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 – HKCU\..\Run: [pro] C:\winstall.exe
O4 – HKCU\..\Run: [kqqm] C:\PROGRA~1\COMMON~1\kqqm\kqqmm.exe
O4 – Global Startup: Adobe Reader Speed Launch.lnk = F:\acrobad\Reader\reader_sl.exe
O4 – Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe
O4 – Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 – Global Startup: Kodak software updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 – Extra button: SideFind – {10E42047–DEB9–4535–A118–B3F6EC39B807} – C:\Program Files\SideFind\sidefind.dll
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra button: Sothink SWF Decompiler – {E19ADC6E–3909–43E4–9A89–B7B676377EE3} – f:\SourceTec\Sothink Glanda\InternetExplorer.htm
O9 – Extra 'Tools' menuitem: Sothink SWF Decompiler – {E19ADC6E–3909–43E4–9A89–B7B676377EE3} – f:\SourceTec\Sothink Glanda\InternetExplorer.htm
O17 – HKLM\System\CCS\Services\Tcpip\..\{5E9C6FF9–B9F0–42CD–9EAC–94F4E3A39325}: NameServer = 194.204.152.34,194.204.159.1
O17 – HKLM\System\CS1\Services\Tcpip\..\{5E9C6FF9–B9F0–42CD–9EAC–94F4E3A39325}: NameServer = 194.204.152.34,194.204.159.1
O17 – HKLM\System\CS2\Services\Tcpip\..\{5E9C6FF9–B9F0–42CD–9EAC–94F4E3A39325}: NameServer = 194.204.152.34,194.204.159.1
O20 – Winlogon Notify: MS–DOS Emulation – C:\WINDOWS\system32\en66l1js1.dll
O20 – Winlogon Notify: msupdate – C:\WINDOWS\SYSTEM32\msupdate32.dll
O23 – Service: Adobe LM Service – Adobe Systems – C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 – Service: Symantec Event Manager (ccEvtMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 – Service: Symantec Password Validation Service (ccPwdSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 – Service: Command Service (cmdService) – Unknown owner – C:\WINDOWS\c29iZWw\command.exe
O23 – Service: Kodak Camera Connection Software (KodakCCS) – Eastman Kodak Company – C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 – Service: Macromedia Licensing Service – Unknown owner – C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 – Service: Norton AntiVirus Auto Protect Service (navapsvc) – Symantec Corporation – C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 – Service: Network Monitor – Unknown owner – C:\Program Files\Network Monitor\netmon.exe
O23 – Service: Cyberlink RichVideo Service(CRVS) (RichVideo) – Unknown owner – C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 – Service: ScriptBlocking Service (SBService) – Symantec Corporation – C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

To jest te 'gówno', źe tak powiem oglądałem to, ale wole źeby mi ktoś doradził co mam dokładnie robic. Pozdro
CaSi
Dodano
03.03.2006 23:18:43
W ciemno Ci nikt nie odpowie ;)

Zrób sobie log HijakDiskiem i sprawdź na stronie (w jaki sposób masz podane w archiwum), a jeśli nie będziesz potrafił, to daj log tutaj i na pewno ktoś zweryfikuje.

Pozdrawiam
igor_cool
Dodano
03.03.2006 00:36:27
CaSi
Dodano:
02.03.2006 23:45:46
Komentarzy:
7
Strona 1 / 1