Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Problem z Trojanem -jak usunąć wpisy w rejestrach.

szatz 07 Lut 2005 14:15 8982 13
  • #1 07 Lut 2005 14:15
    szatz
    Poziom 25  

    Program MKS z najnowszą bazą wirusów wykrył u mnie wirusa :
    c:Windows\msmsqq.exe.<-znaleziono:Trojan.Downloader.Agent.Ig
    Wprawdzie udaje się go usunąć ale nie mogę usunąć wprowadzonych przez niego zmian. Moje zaniepokojenie wywołał fakt że po wejściu do internetu samoczynnie na samym starcie otwierają się jednocześnie jedno za drugim pięć okien które nie mają nic wspólnego z ustawioną stroną startową(wcześniej ustawiony był ONET). W ustawieniach przeglądarki nie można zmienić tego wpisu gdysz opcja ta jest stale niedostępna.
    Próbowałem zajrzeć też do rejestrów ale przy próbie uruchomienia otrzymuję komunikat że opcja ta została zablokowana przez administratora(pewnie wirus).
    Jak usunąć te wpisy by przeglądarka startowała z dowolnie wybranej przezemnie strony? Jedno z okien które się uruchamia ściąga program o nazwie GUARD...coś tam który po uruchomieniu znajduje 190 błędów i prosi by go zarejestrować a on wtedy usunie te błędy(za 29,9$). Cóż nie mam zamiaru płacić jakiemuś cwaniakowi który nagania sobie klijentów pisząc wirusy a potem sprzedaje na nie lekarstwo.
    Nie chciałbym formatować dysku , więc pomóżcie bo to sprawa chonorowa.

    0 13
  • #2 07 Lut 2005 14:29
    Innco
    Poziom 15  

    Tez mam mks_vir i miałem podobny problem niby usuwa, ale po ponownym uruchomieniu to samo w końcu się wku..łem i format. To nie zawodny sposób.

    0
  • #3 07 Lut 2005 14:58
    john_t
    Poziom 29  

    *************************************************************
    c:Windows\msmsqq.exe.<-znaleziono:Trojan.Downloader.Agent.Ig
    *************************************************************

    Prawdopodobnie jednak go nie usunąłeś.
    Ostatnio miałem podobny problem.
    Antywir wykrywa robala i usuwa go, ale po ponownym włączeniu kompa COŚ tworzy nowe wirusy o innych nazwach.
    Był to sprytnie skonstruowany Trojan, wielosegmentowy, tzn. składasł się z kilku współpracujących ze sobą plików .EXE
    Spróbuj tak, wejdź we właściwości tego: "msmsqq.exe" i zobacz date jego utworzenia. Następnie wyszukaj wszystkie pliki typu .EXE utworzone wg. tej samej daty (lub utworzone dziś) i usuń je z poziomu DOS'u. Na wszelki wypadek zrób ich kopię, to na wypadek gdybyś usunął coś ważnego.
    Po zrobieniu porządku rejestry same się unormują.

    0
  • #4 07 Lut 2005 15:10
    md
    Poziom 39  

    Dlaczego nie stosujecie się do regulaminu, gdzie wyraźnie jest napisane, że zanim zadajemy pytanie, szukamy na forum odpowiedzi. Tak się składa, że na forum codziennie jest ten sam problem i już setki razy podawaliśmy sposoby usunięcia trojanów z rodziny startpage, CWS itp.
    Zacznij od uruchomienia programu Ad Aware SE personal, potem CWShredder, a jak one sobie nie poradzą, to uzyj programu Hijackthis. Program zapisze log (plik tekstowy). Log ten możesz wkleić na stronę http://www.hijackthis.de i tam otrzymasz odpowiedź, co trzeba usunąć z rejestru i z dysku. Log możesz też wkleić do postu na forum i dopiero wtedy będzie można Ci pomóc - będzie widać jak na dłoni, co jest przyczyną Twoich kłopotów

    0
  • #5 07 Lut 2005 23:27
    div3rs
    Poziom 10  

    Ściągnij sobie program hjackthis potem wklej loga na forum. Popatrzymy co tam siedzi i jeszcze jedno sprawdz w ustawieniach internetowych zaufane witryny.

    0
  • #6 07 Lut 2005 23:33
    wajha25
    Poziom 13  

    Moim skromnym zdaniem najlepiej jest samemu powalczyć troszzeńke w rejestrze ale zazwyczaj wystarczy wpisać nazwe trojana jakiego posiadasz i po kłopocie wystarczy usunąć klucz no chyba że są to złożone trojany które nie kożystają z rejestru tu może być kłopot bo tak jak trojan CAFEiNi jego nie wykrywa antywir jeśli nie zainstalujesz go przeed dostaniem siętroja na kompa dlatego walka z trojanami dla mnie zawsze opierała się na dwojakim wyjściu albo rejest albo format c:

    powodzenia

    0
  • #7 07 Lut 2005 23:46
    md
    Poziom 39  

    Bardzo mało wiesz o wirusach. Spróbuj na poniższym przykładzie udowodnić słuszność Twoich działań polegających na usuwaniu wpisów o nazwie trojana:

    Mybar jest koniem trojańskim, który udając jedynie dodatkowy pasek wyszukiwania w przeglądarce Internet Explorer, jednocześnie wykrada informacje z komputera oraz blokuje dostęp do rejestru i zmienia stronę startową przeglądarki.

    Aktywny trojan wyświetla banery reklamowe dystrybuowane przez firmę MySearch oraz zmienia ustawienia w następujących kluczach rejestru:


    [HKCU\CLSID\{0494D0D2-F8E0-41ad-92A3-14154ECE70AC}]
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
    Browser Helper Objects\{0494D0D1-F8E0-41ad-92A3-14154ECE70AC}]
    [HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar],
    "{0494D0D9-F8E0-41ad-92A3-14154ECE70AC}"
    [HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser],
    "{0494D0D9-F8E0-41ad-92A3-14154ECE70AC}"
    [HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser],
    "ITBarLayout"
    [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser],
    "{0494D0D9-F8E0-41ad-92A3-14154ECE70AC}"
    [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser],
    "ITBarLayout"
    [HKCR\MyWayToolBar.NetscapeStartup.1]
    [HKCR\MyWayToolBar.NetscapeStartup]
    [HKCR\CLSID\{0494D0D7-F8E0-41ad-92A3-14154ECE70AC}]
    [HKCU\Software\Netscape\Netscape Navigator\Automation Startup],
    "MyWayToolBar.NetscapeStartup.1"
    [HKCR\MyWayToolBar.NetscapeShutdown.1]
    [HKCR\MyWayToolBar.NetscapeShutdown]
    [HKCR\CLSID\{0494D0D5-F8E0-41ad-92A3-14154ECE70AC}]
    [HKCU\Software\Netscape\Netscape Navigator\Automation Shutdown],
    "MyWayToolBar.NetscapeShutdown.1"
    [HKCR\MyWayToolBar.SettingsPlugin.1]
    [HKCR\MyWayToolBar.SettingsPlugin]
    [HKCR\CLSID\{0494D0DB-F8E0-41ad-92A3-14154ECE70AC}]
    [HKCR\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10}]
    [HKCR\CLSID\{014DA6CD-189F-421a-88CD-07CFE51CFF10}]
    [HKCR\CLSID\{66FC8717-EFA7-4546-8C4A-E224F3A80C76}]
    [HKCR\CLSID\{615067A3-4ACF-4674-86F7-E0650B1257BB}]
    [HKCR\MyWay.PopSwatterBarButton.1]
    [HKCR\MyWay.PopSwatterBarButton]
    [HKCR\CLSID\{D6C8ACD2-C524-4dd9-87BE-84E6E01FEE63}]
    [HKCR\CLSID\{465BB38F-2B83-43e1-BDE1-5F413D014350}]
    [HKCR\MyWay.PopSwatterSettingsControl.1]
    [HKCR\MyWay.PopSwatterSettingsControl]
    [HKCR\CLSID\{25642629-2705-43d4-ADDE-68922C0E6BA7}]

    Wpisy poczynione przez trojana powodują zmianę strony startowej przeglądarki, uniemożliwienie jej zmiany oraz zablokowanie dostępu do rejestru systemu Windows.

    Jest to cytat ze strony http://www.mks.com.pl/baza.html?show=description&id=2715

    0
  • #8 08 Lut 2005 00:15
    Henko70
    Poziom 12  

    Nie prościej odłączyć łącze internetowe zapuścić mks vir pod DOS-em,reset,zapuścić Spybot_Search zablokować strone startową,zapuścić Ad-Aware i Ad-Watch zablokować wpisy,reset jeszcze raz to samo,wyłączyć kompa,włączyć łącze,włączyć kompa i zobaczyć efekty walki.

    0
  • #9 08 Lut 2005 09:30
    szatz
    Poziom 25  

    Jeśli chodzi o DOS to coś takiego robiłem i nie pomogło. Spróbuję z tymi programami które wymieniłeś. Wiem że format pomoże ale nie na tym problem polega by formatować i stawiać system za każdym razem . Ja chcę się nauczyć jak sobie dać radę w podobnych przypadkach.

    0
  • Pomocny post
    #10 08 Lut 2005 09:47
    md
    Poziom 39  

    Piszesz, że chcesz się nauczyć, a nie słuchasz dobrych rad. Użyj Hijackthis, zapisz log z programu (zaznaczasz cały tekst, CTRL + C) i wklej go (CTRL + V) np. do okna na stronie http://www.hijackthis.de . Pod oknem jest przycisk ANALYZE, naciśnij go i pod spodem otrzymasz wykaz wpisów, które powinieneś usunąć. Jest to idealny sposób dla mniej wtajemniczonych w bojach z rejestrem. Doświadczony użytkownik sam potrafi wskazać niewłaściwe wpisy w rejestrze i usunąć je, ale na to masz jeszcze czas.

    0
  • #11 08 Lut 2005 19:40
    szatz
    Poziom 25  

    md ma racje że powinienem najpierw poszukać w poprzednich postach ale jak zacząłem drążyć temat to się okazało że to temat rzeka. W tej chwili nie mam dostepu do tego kompa , dlatego staram się zebrać jak najwiecej informacji z tego forum by potem je zastosować .
    Ten trojan zachowuje się tak jak wynika z opisów o 'Trojan.Startpage.Mybar, Trojan.Startpage.MyWay'
    Tylko dlaczego MKS rozpoznaje go jako Trojan .Downloader.Agent.Ig ?
    Dlatego właśnie nie mogłem namierzyć go dokładnie co to za ptica.

    Dodano po 8 [godziny] 43 [minuty]:

    Logfile of HijackThis v1.99.0
    Scan saved at 19:34:58, on 05-02-08
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\PROGRAM FILES\MKS\BIN\NETMONSV.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\INTERNAT.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\PROGRAM FILES\MKS\BIN\MKS_MENU.EXE
    C:\PROGRAM FILES\MKS\BIN\MKS_MON.EXE
    C:\PROGRAM FILES\MKS\BIN\ABREGMON.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\PROGRAM FILES\TEXTBRIDGE CLASSIC\BIN\TBMENU.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAM FILES\MKS\BIN\MKS_SCAN.EXE
    C:\HIJACKTHIS.EXE

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.whatsfind.com/page.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    F1 - win.ini: run=hpfsched
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [internat.exe] internat.exe
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
    O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
    O4 - HKLM\..\Run: [MKS_MON] C:\Program Files\MKS\Bin\mks_mon.exe
    O4 - HKLM\..\Run: [ABREGMON] C:\PROGRAM FILES\MKS\BIN\ABregmon.exe
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [ABNetMon] C:\PROGRAM FILES\MKS\BIN\NETMONSV.EXE
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Program Files\TextBridge Classic\Bin\TBMENU.EXE
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

    0
  • #12 11 Lut 2005 12:20
    janna26
    Poziom 10  

    Ja żeby dostać się do rejestrów używam spybota. puszczam scanowanie i program znajduje sobie wpisy szpiegów .Wtedy można kliknąć na jakiś i przejść do jego lokalizacji. Są tam wszystkie klucze i można sobie pokasować co się chce - tylko z umiarem (kiedyś mnie poniosła fantazja i trzeba było przywracać stare rejestry).

    0
  • #13 14 Lut 2005 11:10
    szatz
    Poziom 25  

    "md"-dzięki za pomoc. Ad Aware SE personal zrobił to co nie mogłem zrobić ręcznie. Obeszło się bez formatowania i naprawdę sporo się nauczyłem z neta. Gotów jestem do następnego starcia z wirusami ale tylko dlatego że bogatszy jestem o więdzę i sprawdzone triki jakie otrzymałem od bardziej doświadczonych. Jeszcze raz dziękuję wszystkim za pomoc i pozdrawiam.
    Z mojej strony uważam temat za zamknięty, no chyba że ktoś ma coś do dodania.

    0
  • #14 14 Lut 2005 16:56
    bonzo f
    Poziom 29  

    sprawdz /c/program files/websiteviewer. co tam jest przeskanuj plik co tam masz anty.ale odlacz sie od sieci.jak jeszcze tam jest spakuj tem plik zipem i podeslij mi.na pw z gory dzienki ktos cos tu zmienil skad te ble ja wpisalem dziekuje to nie moje

    0