Trojan.delf.xk
Kseo - 25 Maj 2005 14:23
Witaj mam pewien problem z trojanem nazwa jego to Trojan.delf.xk robie skan i antyvirus go wykrywa ale raczej nieusówa go bo co chwile wyskakuje ten sam komunikat ze snalazl virusa i zaleca sie skasowanie pliku ja tak robie a on znów to samo.A mam MKS_Vir 2005 niewiem oco w tym chodzi i czemu tak sie dzieje i nadodatek co jakis czas wyskakuje komunikat ze za 60sec zostanie zamkniety windows
Czy jest ktoś w stanie mi pomóc
daniel.sz - 25 Maj 2005 14:27
Witam ściąg poprawki na windowsa niemniej jednak jeśli nie masz SP2 to narazie go nie instaluj poprostu wejdz w windows update a komp sam wyszuka aktualizacje krytyczne przy instalacji SP2 poprosi o potwierdzenie umowy licencyjnej narazie ją odżuc przed instalacją sp system musi być czysty z wszelakich robaków itd tak więc na początek aktualizacje krytyczne z windows update po ściągnięciu poprawek aktualizuj terz bazę wirusów w MKS uruchom skanowanie antywirusowe w trybie awaryjnym a kiedy wyskoczy komunikat że system zostanie zamknięty za 60 sc to kliknij na ikonę zegara i cofnij czas będziesz mugł spokojnie pościągać wszystkie łatki
PS wygląda jak saser
dexi - 25 Maj 2005 14:30
Po pierwsze nie panikuj. Jeśli to jest trojan najlepiej jeśli znajdziesz dobrego antywirusa i uruchomisz komputer z dyskietki, jaką możesz utworzyć w każdym antywirusie - również w MKSie (możliwe, że po prostu trojanuruchamia się z systemem i nie da się go wykasować). To powinno pomóc. Jeśli nie pomoże, będziemy szukać dalej.
Kolobos - 25 Maj 2005 14:50
Kseo
Sciagnij sobie hijackthis:
http://www.spychecker.com/program/hijackthis.html
Przeskanuj, a wyniki skanowania wklej na forum to zobaczymy co tam masz.
Nie zaszkodzi tez przeskanowac tym:
http://housecall.trendmicro.com/housecall/start_corp.asp
http://www.windowsecurity.com/trojanscan/
http://www.pandasoftware.com/activescan/pol/activescan_principal.htm
Kseo - 25 Maj 2005 18:04
o to chodziło ?
Logfile of HijackThis v1.99.1
Scan saved at 14:30:50, on 2005-05-25
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\MKS\Bin\NetMonSV.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\Program Files\MKS\Bin\ABregmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\MKS\Bin\mks_scan.exe
C:\Program Files\MKS\Bin\mks_virw.exe
C:\WINDOWS\system32\ntolesvc32.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Kseo\USTAWI~1\Temp\Rar$EX00.811\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe
O1 - Hosts: 17.145.117.11 d-ru-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-2f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-2h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-2f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-2h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-us-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-us-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 downloads1.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads2.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads3.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads4.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads5.kaspersky.ru
O1 - Hosts: 17.145.117.11 www.kaspersky.ru
O1 - Hosts: 17.145.117.11 kaspersky.ru
O1 - Hosts: 17.145.117.11 kaspersky-labs.com
O1 - Hosts: 17.145.117.11 www.kaspersky-labs.com
O1 - Hosts: 82.146.42.123 lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 online.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.com
O1 - Hosts: 82.146.42.123 personal.barclays.co.uk
O1 - Hosts: 82.146.42.123 barclays.co.uk
O1 - Hosts: 82.146.42.123 ibank.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.nwolb.com
O1 - Hosts: 82.146.42.123 nwolb.com
O1 - Hosts: 82.146.42.123 hsbc.co.uk
O1 - Hosts: 82.146.42.123 www.hsbc.co.uk
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117014603045
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FBC1495-D10C-40BE-85B2-DEC2C7E08691}: NameServer = 213.199.225.10,213.199.225.14
O17 - HKLM\System\CS1\Services\Tcpip\..\{3FBC1495-D10C-40BE-85B2-DEC2C7E08691}: NameServer = 213.199.225.10,213.199.225.14
O17 - HKLM\System\CS2\Services\Tcpip\..\{3FBC1495-D10C-40BE-85B2-DEC2C7E08691}: NameServer = 213.199.225.10,213.199.225.14
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - C:\Program Files\MKS\Bin\NetMonSV.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program Files\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown owner - C:\Program Files\MKS\Bin\mks_scan.exe
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
Dodano po 6 [minuty]:
poprwke juz sciagalem dzisiaj i probowalem go usunac MKSclean ale on nic niewykrył
Dodano po 11 [minuty]:
a z dyskietki nieda rady bo mam zepsuta
Narazie mi niepokazuje sie komunikat ze system bedzie zamkniety za 60 sec MKS cos tam usunal
Dodano po 2 [godziny] 15 [minuty]:
juz nie mam pojecia dalej to samo
Kolobos - 25 Maj 2005 19:15
Kseo
Uruchom hijackthis (rozpakuj go na pulpit, nie uruchamiaj z zipa), wybierz scan only i zaznacz te wpisy:
O1 - Hosts: 17.145.117.11 d-ru-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-2f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-2h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-2f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-2h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-us-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-us-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 downloads1.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads2.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads3.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads4.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads5.kaspersky.ru
O1 - Hosts: 17.145.117.11 www.kaspersky.ru
O1 - Hosts: 17.145.117.11 kaspersky.ru
O1 - Hosts: 17.145.117.11 kaspersky-labs.com
O1 - Hosts: 17.145.117.11 www.kaspersky-labs.com
O1 - Hosts: 82.146.42.123 lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 online.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.com
O1 - Hosts: 82.146.42.123 personal.barclays.co.uk
O1 - Hosts: 82.146.42.123 barclays.co.uk
O1 - Hosts: 82.146.42.123 ibank.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.nwolb.com
O1 - Hosts: 82.146.42.123 nwolb.com
O1 - Hosts: 82.146.42.123 hsbc.co.uk
O1 - Hosts: 82.146.42.123 www.hsbc.co.uk
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O23 - Service: Smart Card Client (SCardClnt) - Unknown owner - C:\WINDOWS\System32\SCardClnt.exe (file missing)
I Fix Checked, nastepnie w hijackthis wchodzisz w misc tools i delete file on reboot i wklejasz tam:
C:\WINDOWS\System32\spools.exe
to samo robisz z:
C:\WINDOWS\system32\ntolesvc32.exe
Do tego odwiedz www.windowsupdate.com i sciagnij aktualizacje do IE oraz systemu.Przeskanuj system tym co podalem.
Zamiast MKS'a zainstaluj sobie:
http://www.avast.com/eng/avast_4_home.html
albo:
http://www.free-av.com/
Przydalby sie tez firewall:
http://www.kerio.com/us/kpf_home.html
albo chociaz zamkniecie portow:
http://www.firewallleaktester.com/tools/wwdc.exe
Nie zaszkodzi tez przeskanowac tym:
http://www.mks.com.pl/files/pomoc/MksClean.exe
Kseo - 25 Maj 2005 23:17
zrobilem format systemu zobaczymy teraz co bedzie sie dzialo
ale pier zrobie to co pisales niezaszkodzi nie mam nadzieje ze juz bede mial spokuj jak zastosuje sie do twych wskazówek
Kseo - 29 Maj 2005 02:28
Pomoglo wielkie Dzieki wam
fnz - 30 Maj 2005 00:47
mnie rowniez pomoglo - dzieki
Sądzę że na tym post zamkniemy ! (TJT)