trojan

HackForum

trojan#
přišel mi na mail email od helpdesk@seznam.cz s ňákou blbou přílohou, samozřejmě sem to rozbalil, a hle troják.........ihned sem vypnul všechny běžící programy, a vymazal to.Dneska mi napsal kámoš co mu to posílam za píčoviny, já sem mu napsal že nevim o čem mluví, a on mi poslal screen, na kterym sou 2 maily ode mě s tim trojákem, problém je v tom, že já mu nic neposílal.......a aby toho neblo málo, zlikvidovalo mi to Kerio (firewall) a avast. nemůžu se ho tudíž nijak zbavit, protože když nainstaluju ňákej antivirák, tak to smaže exáč, nic víc..............co s tim???
(odpovědět)
kubík21.6.2006 22:00
re: trojan#
1) priste nezname prilohy neotevirat a pokud jsou v archivu, projet nejdrive antivirem :)

Pokud uz ale takovato situace nastane .. ja bych to resil bootnutim live CD linuxu, tam stahnul a nainstaloval do nej avast pro linux, updatnul DB a zjistil, kde ten virus vlastne je (imho se v linu nespusti, takze vklidu) .. pote pouzit nejake programy pro zapis na NTFS (linuxovy kernel to nativne neumi a predpokladam, ze mas ntfs, jako kazdy spravny Oknar :) ) .. tyto utility sice nejsou uplne stabilni a , .. pravda.. mohou zpusobit ztraty dat a poskozeni FS (nezkousel jsem, nevim, ale udajne jsou z praxe docela stabilni), takze si radeji zalohuj nejdulezitejsi data na treba RWcka pres k3b (byva v KDE na vetsine liveCD).. potom smaz potrebnou cast v systemu na NTFS a rebootuj do winu, pokud naskoci a bude bez viru, muzes jasat :)) .. ale jeste pred touto "operaci" i po ni zkontroluj registry na samovolne spusteni pripadne "zalohy" trojana :) (Run , RunServices)
... pokud maze antivirakum exace a ani nod s nim nic neudela, tak asi jedne reseni bud pres dos s podporou NTFS nebo jiny externi OS..

Takto bych to resil ja, netvrdim, ze je to nejlepsi reseni, ale uz mi parkrat pomohlo (jen misto liveCD mam nainstalovany linux :) .. pokud vsak uz presne vis, kde je a kde neni virus, bude to o to jednodussi (coz nepredpokladam, ze vis... )..
Zapis na NTFS muzes bud pres jaderny modul fuse (coz ale u live distra imho neni vhodne) nebo treba projekt captive [link]
Ted vysyp ty dotazy :D
(odpovědět)
compman.21.6.2006 22:21
re: trojan#
ehmm, a lamersky by to nešlo??? další problém je, že nemam instalační cédko woken......další je, že sice pár pičovin umim, ale jinak sem lama, a na todle bych si netrouf, a ta poslední a nejdůležitější věc je, že máme na kompu tv kartu, která de jenom pod těmadle woknama.........a ještě tas úplně nejhorší věc je, že jestli se táta dozví že mam v kompu trojáka, tak sem mrtvej
(odpovědět)
kubík21.6.2006 22:41
re: trojan#
for novices: kdy uz konecne pochopite, ze pokud se sami oznacite za "lamu" tak se jen sami shazujete a urazite. No je toto normalni?
(odpovědět)
LM22.6.2006 16:11
re: trojan#
kubík: njn :) .... nenapada me snadnejsi reseni .. leda preinstalace woken .. ta TV karta urcite pojede i v jinem winu (staci sehnat ovladace) .. vetsina veci snad pujde zalohovat pres externi OS (v tom winu bych to nedelal). Nevim, jaky charakter ma tvuj otec, ale tphle by snad pochopit mohl.. tohle se muze stat kazde.. ehrm.. "lame"
Instalacni CD woken sezenes na kazdem rohu (za par tisic :) )
(odpovědět)
compman.21.6.2006 23:14
re: trojan#
kubik: Dnešní viry a trojani jsou většinou tak banální, že stačí pouze odstranit jejich automatické spuštění v registrech v klíči run. Tím bych tedy začal.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP21.6.2006 23:18
re: trojan#
to je fakt.. ja vzdycky na komara radeji hned bazooku (jak se rika) - pro jistotu :)
(odpovědět)
compman.21.6.2006 23:26
re: trojan#
Hodne dobrá pomucka pro toto je programek Hijackthis. Vytvori log spustenych procesu, sluzeb...a ruznych jinych veci. Zkusenejsi uzivatele tohoto programu v tom logu dokazi najít i neco nebezoecneho. Muzes mi ten log zkusit poslat. HJT se da stahnout na Stahuj. Pak staci jenom rozbalit a stisknout tlacitko DO a system scan and save logfile....a ten textak sem zkopirovat
(odpovědět)
Slammer_ | E-mail | ICQ 24433087222.6.2006 7:03
re: trojan#
to jako todle???
Logfile of HijackThis v1.99.1
Scan saved at 13:19:05, on 22.6.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\Program Files\ICQLite\ICQLite.exe
C:\WINNT\system32\internat.exe
C:\KUBA\internet\BitLord\BitLord.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\K!TV\K!TV.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00
.437\HijackThis.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [link]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\KUBA\internet\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WebTransBHO Class - {2DB66063-BB98-466A-AA0D-3E7ACF5ED853} - C:\KUBA\Translator\WEBIE.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll
O2 - BHO: IECatcher Class - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - C:\KUBA\internet\Mass Downloader\MDHELPER.DLL (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\KUBA\internet\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: WebTranslator - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - C:\KUBA\Translator\WEBIE.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Program Files\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [iChat] C:\Program Files\IChat\iChat.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [BitComet] "C:\KUBA\internet\BitLord\BitLord.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\KUBA\internet\ICQToolbar\toolbaru.
dll/SEARCH.HTML
O8 - Extra context menu item: Stáhnout &Mass Downloaderem - C:\KUBA\internet\Mass Downloader\Add_Url.htm
O8 - Extra context menu item: Stáhnout &vše Mass Downloaderem - C:\KUBA\internet\Mass Downloader\Add_All.htm
O9 - Extra button: WebTran - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - C:\KUBA\Translator\WEBIE.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {BFC32E1D-EE75-4A48-BC60-104E11EE2431} - (no file)
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\KUBA\Translator\WEBIE.DLL
O9 - Extra 'Tools' menuitem: &Nastavit překladač - {CC963627-B1DC-40E0-B52A-CF21EE748450} - C:\KUBA\Translator\WEBIE.DLL
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\KUBA\Translator\WEBIE.DLL
O9 - Extra 'Tools' menuitem: Přeložit &označený text - {CC963627-B1DC-40E0-B52A-CF21EE748451} - C:\KUBA\Translator\WEBIE.DLL
O9 - Extra button: (no name) - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\KUBA\Translator\WEBIE.DLL
O9 - Extra 'Tools' menuitem: Přeložit &stránku - {CC963627-B1DC-40E0-B52A-CF21EE748452} - C:\KUBA\Translator\WEBIE.DLL
O16 - DPF: {71DA2A4E-ACB3-4065-9E41-8BC42EABE427} - [link]
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7E2591E
-E97C-4BEE-AD74-6738395FAC80}: NameServer = 213.192.0.18
O20 - Winlogon Notify: winubg32 - winubg32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe


(odpovědět)
kubík22.6.2006 13:19
re: trojan#
Ja bych zalohoval nejdulezitejsi data, klido i pod winem, sehnal bych si win install cd, ty vyzalohovany data bych proskenoval na jinym PC, jestli sou cisty, a pak bych tam hodil novy win, to je nejjistejsi. Jinak s tou TV kartou mi to pride hloupost, na to aby si zjistil presny jmeno ti postaci domaci verze programu EVEREST, a si vygooglis ovladace. Myslim ze jednodussi jiste reseni neni :-D Hodne stesti, viry sou mrchy =)
(odpovědět)
Hmm22.6.2006 15:18
re: trojan#
kubík: Bohužel v tom logu nevidim nic podezřelého. Zkus spustit systém v nouzovém režimu, pokud nemůžeš nabootovat z něčeho jiného a projeť to antivirem tak.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP22.6.2006 15:54
re: trojan#
jak to jako můžu přeject v nouzovym režimu antivirákem, když žádnej nemam?
(odpovědět)
kubík22.6.2006 17:01

Zpět
 
 
 

 
BBCode