Ένας περίεργος Trojan

[michalakis]

Αν είχες κάνει post το log του hijackthis θα μπορούσαμε να σου πούμε πιο εύκολα το τι πρέπει να σβήσεις. Το είχα πάθει και εγώ αυτό, αλλά το έφτιαξα αρκετά εύκολα, με το hijackthis, αλλά και με ένα απαραίτητο edit στη registry. Υπάρχει πιθανότητα να σου έχει βάλει μερικά σαιτ στα trusted zones του Explorer τα οποία δεν σβήνονται με το hijackthis, να τα σβήσεις ξαναεμφανίζονται, όπως και αν τα σβήσεις και από τα trusted zones ξαναεμφανίζονται. Σε αυτή την περίπτωση πρέπει να κάνεις edit τη registry για να ξεμπερδέψεις. Επίσης βάλε ένα καλό antivirus και κάνε ένα scan να σου βρει και να σβήσεις τα .dll και .exe που είναι από πιθανό ιό! (εγώ έβαλα το f-secure και τα βρήκε όλα)

[nikos29_xan]

kalispera ke sas efxaristo ke pali olous

istera apo arketa piramata pou elpizo na min exoun katastrofikes sinepies gia to pc mou katafera na bgalo tin arxiki selida pou me taleporouse ala anigoun ksafnika ales apo mones tous.

exo to norton antivirous ala den briski kati

stelno to logfile apo to hitjack

 

 

 

Logfile of HijackThis v1.99.1

Scan saved at 11:31:12 πμ, on 28/2/2005

Platform: Windows 98 Gold (Win9x 4.10.1998)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WIN98\SYSTEM\KERNEL32.DLL

C:\WIN98\SYSTEM\MSGSRV32.EXE

C:\WIN98\SYSTEM\MPREXE.EXE

C:\WIN98\SYSTEM\mmtask.tsk

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\PROGRAM FILES\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE

C:\WIN98\EXPLORER.EXE

C:\WIN98\TASKMON.EXE

C:\WIN98\SYSTEM\INTERNAT.EXE

C:\WIN98\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\NETROPA\TOUCH MANAGER\TOUCHMGR.EXE

C:\WIN98\SDAEMON.EXE

C:\WIN98\WINWD.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE

C:\WIN98\RUNDLL32.EXE

C:\PROGRAM FILES\NETROPA\TOUCH MANAGER\MEDIACTR.EXE

C:\EPAK\EPAK.EXE

C:\PROGRAM FILES\NETROPA\ONSCREEN DISPLAY\OSD.EXE

C:\PROGRAM FILES\NETROPA\TOUCH MANAGER\MMUSBKB2.EXE

C:\WIN98\SYSTEM\RNAAPP.EXE

C:\WIN98\SYSTEM\TAPISRV.EXE

C:\WIN98\SLRUNDLL.EXE

C:\WIN98\SYSTEM\PSTORES.EXE

C:\WIN98\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WIN98\Επιφάνεια εργασίας\HIJACKTHIS.EXE

C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.in.gr/

F1 - win.ini: run=hpfsched

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - C:\PROGRAM FILES\SYSTRAN\4_0\PREMIUM\IEPLUGIN.DLL

O3 - Toolbar: &Ραδιόφωνο - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WIN98\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WIN98\taskmon.exe

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe

O4 - HKLM\..\Run: [Touch Manager] C:\Program Files\Netropa\Touch Manager\TouchMgr.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WIN98\SYSTEM\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [sDaemon] C:\WIN98\sdaemon.exe

O4 - HKLM\..\Run: [sWd] C:\WIN98\winwd.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE

O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE

O4 - HKLM\..\Run: [svuf] C:\svuf.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN98\SYSTEM\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Windows AdControl] C:\PROGRAM FILES\WINDOWS ADCONTROL\WINADCTL.EXE

O4 - HKLM\..\Run: [sp] rundll32 C:\WIN98\TEMP\SE.DLL,DllInstall

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"

O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE

O4 - HKLM\..\RunServices: [scriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKCU\..\Run: [Epak] C:\EPAK\EPAK.EXE

O4 - HKCU\..\Run: [Tsa2] C:\PROGRAM FILES\COMMON FILES\TSA\TSM2.EXE

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted IP range: 67.19.178.84

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

[dali13gr]

C:\WIN98\SLRUNDLL.EXE

C:\WIN98\SYSTEM\PSTORES.EXE

 

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

O4 - HKLM\..\Run: [svuf] C:\svuf.exe

O4 - HKLM\..\Run: [sp] rundll32 C:\WIN98\TEMP\SE.DLL,DllInstall

O4 - HKCU\..\Run: [Tsa2] C:\PROGRAM FILES\COMMON FILES\TSA\TSM2.EXE

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted IP range: 67.19.178.84

 

Αυτές οι εγγραφές μου φαίνονται αρκετά ύποπτες και νομίζω μπορείς να τις σβήσεις.Αφού βέβαια πάρεις το απαραίτητο backup που σου προτείνει το HighJackThis.

 

 

Φιλικά

[michalakis]

C:\WIN98\SLRUNDLL.EXE

C:\WIN98\SYSTEM\PSTORES.EXE

 

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

O4 - HKLM\..\Run: [svuf] C:\svuf.exe

O4 - HKLM\..\Run: [sp] rundll32 C:\WIN98\TEMP\SE.DLL' date='DllInstall

O4 - HKCU\..\Run: [Tsa2'] C:\PROGRAM FILES\COMMON FILES\TSA\TSM2.EXE

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted IP range: 67.19.178.84

 

Αυτές οι εγγραφές μου φαίνονται αρκετά ύποπτες και νομίζω μπορείς να τις σβήσεις.Αφού βέβαια πάρεις το απαραίτητο backup που σου προτείνει το HighJackThis.

 

Φιλικά

 

Τα processes pstores.exe και slrundll.exe δεν είναι ιοί,είναι processes προγραμμάτων, οπότε μην τα σβήσεις. κοίτα εδώ http://www.liutilities.com/products/wintaskspro/processlibrary/slrundll/

και εδώ

http://www.liutilities.com/products/wintaskspro/processlibrary/pstores/.

το Ο4 με το svuf.exe πιθανόν να είναι κάτι επικίνδυνο, αλλά ένα search στο google δε βγάζει κάτι (δεν υπάρχει καμμία απάντηση).

το se.dll είναι μάλλον ιός (κοίτα εδώ http://www.mytechsupport.ca/support/topic.asp?TOPIC_ID=8034)

το tsm2.exe σβήστο (κοίτα εδώ http://www.liutilities.com/products/wintaskspro/processlibrary/tsm2/)

Καλό θα είναι να κάνεις και ένα scan σε όποιο αρχείο πιστεύεις ότι ίσως να είναι ιός με το online scan του kaspersky (http://www.kaspersky.com) καθώς και ένα full system scan με κάποιο antivirus.

Τώρα τα trusted zones πρέπει να τα βγάλεις, αλλά το βλέπω λίγο δύσκολο να βγουν από το hijackthis ή από τον ΙΕ, οπότε καλύτερα σβήστα από το registry.

Επίσης να σε συμβουλέψω να αλλάξεις browser και να χρησιμοποιείς πλέον τον firefox από το http://www.mozilla.org, ώστε να απαλλαγείς από τέτοια πράγματα στο μέλλον.

Δοκίμασε αυτά και κάνε πάλι ποστ το log αν έχεις ακόμα πρόβλημα..

 

ελπίζω να βοήθησα

[OXTROS]

GAMW TO KSESTABRI MOY GAMW!!!!

To exw kollisei kai egw kai den mporw na anoiksw ka8olou Explorer sta windows..

Mono sto internet me afhnei na mpw!!

An anoiksw My computer -H- My documents mou bgazei dr/ watstson kai @@..

TA NEYRA MOU !!!

[nikos29_xan]

kalispera ke pali istera apo arketes meres apousias.

briskome stin efxaristi 8esi na sas anakinoso oti o ios katatropo8ike istera apo tis dikes sas simboules!

pedia sas efxaristo poli.

[random]

προφανώς δεν "katatropo8ike istera apo" αυτές "tis simboules" !

 

spyware exeis faei oxi trojan! an den to piasei kanena anti-spyware kane format

 

προξι: Αν δεν ξέρεις να βοηθήσεις, δεν χρειαζεται να τα κανεις χειρότερα

[guru_gr]

Καλπακ....κανε format..χεχεχε που εισαι ρε λαλακη???