Proszę o pomoc w pozbyciu się intruza
3 dni temu otworzyłam w skrzynce pocztowej na stronie yahoo.com mail, w którym był plik exe. W tym momencie zainstalował mi się niszczący życie trojan
Nadany był ze skrzynki wp, czyli mam IP (jeżeli to jego). Koleś, który ma się za hakera twierdzi, ze wystarczyło otworzyć mail, zeby mi tego trojana władować.
Początkowo tylko ni z tego ni z owego wyskakiwały mi jakieś strony, które on zdalnie otwierał, albo np. plik informujący mnie, że mam "wjazd na kompa i czy chcę, aby mi spalił procka " (ten plik znalazłam w kat Gadu-gadu ). Mój AV (Mks_vir) pytał się już kilka razy, czy usunąć Trojan Ggdoor.22, Trojan Destructor.21 i in. - jak nietrudno się domyślić dałam 'Tak'. Jednak ten psychol nadal myszkuje po moim dysku, cytuje rozmowy z innymi na gadu, pisze z nrów, które mam w kontaktach albo z mojego drugiego nru gadu, zmienia datę w systemie, straszy spaleniem procka, usunięciem danych, rozwaleniem systemu. Dzisiaj posunął się do usunięcia mi z pulpitu kilku plików i w tym momencie już mam dosyć. Ostrzegłam, że zgłaszam sprawę na policję - a on mi na to, że ma 15 lat, więc nic mu nie zrobią. Do tego łączy się przez modem, więc podobno TP nie może mu nic zablokować. Działa jak rasowy psychopata, wie kiedy włączam kompa - możliwe, że poznaje to po uruchomieniu gg, na przemian jest wulgarny lub uprzedzająco miły -obiecuje wysłanie programu usuwającego tego trojana, po czym wysyła mi jakiegoś kolejnego np. GgSpy (otwieram już przez Bat, więc unieszkodliwia).
Czynności, które ja już wykonywałam w celu pozbycia się intruza (poza prośbami, żeby znalazł sobie inną ofiarę :| ):
1) scan Hitman Pro w trybie awaryjnym (z wył. przywracaniem systemu)-
ściąga i instaluje następujące komponenty:
Ad-Aware SE (6.2)
Spy Sweeper 3
Spybot Search & Destroy 1.3
CWShredder 2.14
SpywareBlaster
Spyware Block List
Trend Micro Sysclean Package
McAfee SuperDAT VirusScan
- jak widać nie pomogło.
2) Trojan Remover -znalazł coś tylko za pierwszym razem (nie jestem pewna, czy dokładnie usunął) . Obecnie nic nie wykazuje, a intruz nadal sieje spustoszenie!!!
3) W momencie, gdy działał na moim systemie (rozmawiał na gadu jednocześnie z mojego drugiego nru i kogoś z kontaktów ) procesy w Menedżerze zadań wyglądały tak:
4) Porty w/g wwdc (Windows Worms Doors Cleaner 1.4.1):
inaczej się nie da, bo gdy robię tak, że przy NetBIOS też mam napis 'Enable', to net przestaje mi działać
5) mój log:
Już naprawdę nie wiem, co robić. Nie chcę jednak formatować - mam za dużo potrzebnych danych. Nasuwa mi się pytanie - czy może usunięcie katalogu Gadu-gadu (mam 6.1) rozwiązałoby problem? Jeżeli tak, to jak mogę zachować archiwum?
Jeszcze raz bardzo proszę o pomoc i od razu dziękuję
3 dni temu otworzyłam w skrzynce pocztowej na stronie yahoo.com mail, w którym był plik exe. W tym momencie zainstalował mi się niszczący życie trojan
Nadany był ze skrzynki wp, czyli mam IP (jeżeli to jego). Koleś, który ma się za hakera twierdzi, ze wystarczyło otworzyć mail, zeby mi tego trojana władować.
Początkowo tylko ni z tego ni z owego wyskakiwały mi jakieś strony, które on zdalnie otwierał, albo np. plik informujący mnie, że mam "wjazd na kompa i czy chcę, aby mi spalił procka " (ten plik znalazłam w kat Gadu-gadu ). Mój AV (Mks_vir) pytał się już kilka razy, czy usunąć Trojan Ggdoor.22, Trojan Destructor.21 i in. - jak nietrudno się domyślić dałam 'Tak'. Jednak ten psychol nadal myszkuje po moim dysku, cytuje rozmowy z innymi na gadu, pisze z nrów, które mam w kontaktach albo z mojego drugiego nru gadu, zmienia datę w systemie, straszy spaleniem procka, usunięciem danych, rozwaleniem systemu. Dzisiaj posunął się do usunięcia mi z pulpitu kilku plików i w tym momencie już mam dosyć. Ostrzegłam, że zgłaszam sprawę na policję - a on mi na to, że ma 15 lat, więc nic mu nie zrobią. Do tego łączy się przez modem, więc podobno TP nie może mu nic zablokować. Działa jak rasowy psychopata, wie kiedy włączam kompa - możliwe, że poznaje to po uruchomieniu gg, na przemian jest wulgarny lub uprzedzająco miły -obiecuje wysłanie programu usuwającego tego trojana, po czym wysyła mi jakiegoś kolejnego np. GgSpy (otwieram już przez Bat, więc unieszkodliwia).
Czynności, które ja już wykonywałam w celu pozbycia się intruza (poza prośbami, żeby znalazł sobie inną ofiarę :| ):
1) scan Hitman Pro w trybie awaryjnym (z wył. przywracaniem systemu)-
ściąga i instaluje następujące komponenty:
Ad-Aware SE (6.2)
Spy Sweeper 3
Spybot Search & Destroy 1.3
CWShredder 2.14
SpywareBlaster
Spyware Block List
Trend Micro Sysclean Package
McAfee SuperDAT VirusScan
- jak widać nie pomogło.
2) Trojan Remover -znalazł coś tylko za pierwszym razem (nie jestem pewna, czy dokładnie usunął) . Obecnie nic nie wykazuje, a intruz nadal sieje spustoszenie!!!
3) W momencie, gdy działał na moim systemie (rozmawiał na gadu jednocześnie z mojego drugiego nru i kogoś z kontaktów ) procesy w Menedżerze zadań wyglądały tak:
4) Porty w/g wwdc (Windows Worms Doors Cleaner 1.4.1):
inaczej się nie da, bo gdy robię tak, że przy NetBIOS też mam napis 'Enable', to net przestaje mi działać
5) mój log:
Kod:
Logfile of HijackThis v1.99.1
Scan saved at 22:36:03, on 2005-12-05
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesGadu-Gadufotka012.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:Program FilesCommon FilesRealUpdate_OBrealsched.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:Program FilesMKSBinNetMonSV.exe
C:Program FilesMKSBinmksmonsv.exe
C:WINDOWSSYSTEM32qttask.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Program FilesMKSBinmks_menu.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32wdfmgr.exe
C:Program FilesMKSBinABregmon.exe
C:Program FilesCommon FilesACD SystemsENDevDetect.exe
C:Program FilesHPDigital Imagingbinhpqtra08.exe
C:Program FilesHPDigital ImagingbinhpqSTE08.exe
C:WINDOWSSystem32alg.exe
C:Program FilesMKSBinmks_scan.exe
C:Program FilesHPDigital Imagingbinhpqimzone.exe
C:Program FilesJetAudioJetAudio.exe
C:Program FilesThe Bat!thebat.exe
C:Program FilesSkypePhoneSkype.exe
C:Program FilesGadu-Gadugg.exe
C:WINDOWSexplorer.exe
C:Program FilesGadu-Gadugg.exe
C:Program FilesACD SystemsACDSee7.0ACDSee7.exe
C:Program FilesWinRARWinRAR.exe
C:DOCUME~1tralaUSTAWI~1TempRar$EX00.937HijackThis.exe
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = [url]http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome[/url]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = [url]http://g.msn.com/0SEENUS/SAOS01[/url]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = [url]http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch[/url]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [url]http://www.rmfclassic.pl/index.html?a=repertuar[/url]
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = [url]http://ie.search.msn.com/pl/srchasst/srchasst.htm[/url]
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = [url]http://home.microsoft.com/access/autosearch.asp?p=%s[/url]
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Microsoft Internet Explorer
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = localhost
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:Program FilesTechSmithSnagIt 7SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:PROGRAM FILESADOBEACROBAT 5.0 CEREADERACTIVEXACROIEHELPER.OCX
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:program filessteganos internet anonym pro 7siapro7iep.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:Program FilesTechSmithSnagIt 7SnagItIEAddin.dll
O4 - HKLM..Run: [gcasServ] "C:Program FilesMicrosoft AntiSpywaregcasServ.exe"
O4 - HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OBrealsched.exe" -osboot
O4 - HKLM..Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM..Run: [QuickTime Task] "C:WINDOWSSYSTEM32qttask.exe" -atboottime
O4 - HKLM..Run: [MKS_MENU] C:Program FilesMKSBinmks_menu.exe
O4 - HKLM..Run: [ABREGMON] C:Program FilesMKSBinABregmon.exe
O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU..Run: [SIAPRO7] "C:Program FilesSteganos Internet Anonym Pro 7SIAPRO7.exe" -boot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:Program FilesHPDigital Imagingbinhpqtra08.exe
O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:Program FilesHPDigital Imagingbinhpqthb08.exe
O6 - HKLMSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [url]http://go.microsoft.com/fwlink/?linkid=39204[/url]
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - [url]http://tools.ebayimg.com/eps/activex/EPUWALControl_v1-0-3-18.cab[/url]
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - [url]http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127083295093[/url]
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - [url]http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab[/url]
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - C:Program FilesMKSBinNetMonSV.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:Program FilesCommon FilesAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:Program FilesCommon FilesMacromedia SharedServiceMacromedia Licensing.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:Program FilesMKSbinMkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:Program FilesMKSBinmksmonsv.exe
O23 - Service: MkS_Scan - Unknown owner - C:Program FilesMKSBinmks_scan.exe
O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe
Już naprawdę nie wiem, co robić. Nie chcę jednak formatować - mam za dużo potrzebnych danych. Nasuwa mi się pytanie - czy może usunięcie katalogu Gadu-gadu (mam 6.1) rozwiązałoby problem? Jeżeli tak, to jak mogę zachować archiwum?
Jeszcze raz bardzo proszę o pomoc i od razu dziękuję