Trojan pokapoka75

Hanis · Příspěvek od **Hanis** » pon 10. říj 2005, 21:44

ahoj,mam tady malej problem s timhle trojanem,NOD32 se tvari ze ho odstranil ale Hijackthis ho tam porad hlasi,i kdyz v nem dam at ho smazne tak nic,muzete nekdo poradit?

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ICQLite\ICQLite.exe
D:\Pošta\Programy\HijackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.enterthesearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enterthesearch.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enterthesearch.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - Default URLSearchHook is missing
O1 - Hosts: 219.74.105.129 l2authd.lineage2.com #12September433pm
O1 - Hosts: 219.74.105.129 l2testauthd.lineage2.com #12September433pm
O3 - Toolbar: &Rádio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Program Files\Free Download Manager\dlpage.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED96C792-C843-4F3B-9543-94D4DB91DE16}: NameServer = 62.40.86.5,62.40.86.10

Lemra · Příspěvek od **Lemra** » pon 10. říj 2005, 22:03

Žádnej běžící proces trojana nevidím, ale nějakej backdoor tam zůstal. Mrkni do hosts souboru a smázni oba vstupy:

Kód: Vybrat vše

O1 - Hosts: 219.74.105.129 l2authd.lineage2.com #12September433pm 
O1 - Hosts: 219.74.105.129 l2testauthd.lineage2.com #12September433pm

No a samozřejmě startovací klíč a případně jemu příslušný soubor, pokud existuje:

Kód: Vybrat vše

O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe

Hanis · Příspěvek od **Hanis** » pon 10. říj 2005, 22:08

tak sem to smazal,akurat me tam stve ten pokapoka75 presneji tohle:
O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe

protoze kdyz to zakazu v msconfig,aby se nespoustel,restartuju,potvrdim zmeny a on se stejne znova zapne,obcas mi vyskoci nejaka stranka v IE,ikdyz pouzivam FF

Lemra · Příspěvek od **Lemra** » pon 10. říj 2005, 22:11

Hanis píše:tak sem to smazal,akurat me tam stve ten pokapoka75 presneji tohle:
O4 - HKLM\..\Run: [System service75] C:\WINDOWS\etb\pokapoka75.exe

protoze kdyz to zakazu v msconfig,aby se nespoustel,restartuju,potvrdim zmeny a on se stejne znova zapne,obcas mi vyskoci nejaka stranka v IE,ikdyz pouzivam FF

Ten klíč mázni přímo v registru, výběrový spouštění se ho jen pokusí potlačit, ale neřeší příčinu.

Hanis · Příspěvek od **Hanis** » pon 10. říj 2005, 22:13

ehm,kde presne bych ho mohl najit v registrech?at tam neco nepokur...,moc se v tom neorijentuju at nesamzu nejakou jinou vec

tak uz sem to nasel

diky za pomoc

Lemra · Příspěvek od **Lemra** » pon 10. říj 2005, 22:22

Start - Spustit, napiš regedit, Enter.

V okně vlevo máš stromovou strukturu - rozklikni si HKEY_CURRENT_USER a postupně pokračuj:

Software - Microsoft - Windows - CurrentVersion - Run

V okně vpravo už vidíš klíč

[System service75] C:\WINDOWS\etb\pokapoka75.exe

Klikni na něj pravým a vyber Odstranit.

Restartuj, jdi do C:\WINDOWS\etb\

a smázni pokapoka75.exe

//edit: pozdě...

Hanis · Příspěvek od **Hanis** » čtv 13. říj 2005, 20:21

tak je to v prdeli,je tam porad,smaznu ho v registrech restartuju ale nemuzu za boha najit tu slozku etb ve ktere ma byt,NOD32 nic nenajde ad-aware nic nenajde a porad mi vyskakujou okna IE,nevite co s tim?nechce se mi delat format

Lemra · Příspěvek od **Lemra** » čtv 13. říj 2005, 21:32

Postni sem ještě jednou HiJackThis log.

Hanis · Příspěvek od **Hanis** » čtv 13. říj 2005, 22:03

tak je to vyreseno,google pomohl,priste zkusim hledat nez nez se budu ptat:)
muze so locknout,diky za pomoc Lemro