| Author |
Message
|
szatek009
Poziom 15
Joined: 25 Apr 2004
Posts: 262
|
 #1
 12 May 2005 20:00 Pewien Problem wirus |
|
|
|
witam
mialem wirusa..usunalem go calkowicie..ale pozostawil po sobie slad..
zobilem reinstalajce systemu i dalej to jest.
Mianowicie..Nie moge zmienic tapety mam takie cos:
www.viknet.pl/szaciu/tap.JPG
nie moge odpalic opery i mozilli ponieaz pojawia mi sie komunikat:
Unable to intialize Memory Stream
Explorer tlyko mi dziala..
Mozecie mi jakos pomoc?Obejdzie sie bez formata?:(
|
|
| Back to top |
|
 |
childmaker
Poziom 22
Joined: 16 Oct 2004
Posts: 2273
|
#2
12 May 2005 20:04 Re: Pewien Problem |
|
|
|
Ściągnij HijackThis, przeskanuj kompa i wklej tu log.
|
|
| Back to top |
|
|
jankolo
Poziom 26
Joined: 10 Jan 2005
Posts: 28259
Location: Łódź
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26223
Location: Warszawa
|
|
| Back to top |
|
|
szatek009
Poziom 15
Joined: 25 Apr 2004
Posts: 262
|
#5
12 May 2005 21:41 Pewien Problem |
|
|
|
Logfile of HijackThis v1.99.1
Scan saved at 22:09:51, on 2005-05-12
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programy\MKS\Bin\NetMonSV.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\SYSTEM\rs32.exe
E:\Programy\MKS\Bin\mksmonsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
E:\Programy\Gadu-Gadu\gg.exe
E:\Programy\FlashGet\flashget.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\szaciu\Pulpit\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\szaciu\USTAWI~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\szaciu\USTAWI~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 17.145.117.11 d-ru-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-2f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-2h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-2f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-2h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-us-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-us-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 downloads1.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads2.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads3.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads4.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads5.kaspersky.ru
O1 - Hosts: 17.145.117.11 www.kaspersky.ru
O1 - Hosts: 17.145.117.11 kaspersky.ru
O1 - Hosts: 17.145.117.11 kaspersky-labs.com
O1 - Hosts: 17.145.117.11 www.kaspersky-labs.com
O1 - Hosts: 82.146.42.123 lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 online.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.com
O1 - Hosts: 82.146.42.123 personal.barclays.co.uk
O1 - Hosts: 82.146.42.123 barclays.co.uk
O1 - Hosts: 82.146.42.123 ibank.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.nwolb.com
O1 - Hosts: 82.146.42.123 nwolb.com
O1 - Hosts: 82.146.42.123 hsbc.co.uk
O1 - Hosts: 82.146.42.123 www.hsbc.co.uk
O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} - C:\WINDOWS\drexinit.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\Programy\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\Programy\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [MKS_MENU] E:\Programy\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{5F9ADE71-474B-4A8C-BF1F-E5F7BE592D88}\SVCHOST.EXE
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{5F9ADE71-474B-4A8C-BF1F-E5F7BE592D88}\SECURITY.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus COLOR 480] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P22 "EPSON Stylus COLOR 480" /O5 "LPT1:" /M "Stylus COLOR 480"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
O8 - Extra context menu item: Download All by FlashGet - E:\Programy\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\Programy\FlashGet\jc_link.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Programy\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Programy\FlashGet\flashget.exe
O9 - Extra button: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing)
O9 - Extra button: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 81.222.131.59
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - E:\Programy\MKS\Bin\NetMonSV.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Sound Device (dnetc) - Unknown owner - C:\WINDOWS\SYSTEM\rs32.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - E:\Programy\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - E:\Programy\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown owner - E:\Programy\MKS\Bin\mks_scan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26223
Location: Warszawa
|
#6
12 May 2005 22:15 Pewien Problem |
|
|
|
szatek009 czy instalujesz wszystko co znajdziesz na stronach? ;-)
Zainstaluj aktualizacje do XP! masz stare IE i brak Sp1 lub 2.
Opis usuwania iSearch "Desktop Search" masz tutaj:
http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&#entry135478
Nastepnie Backdoor.Haxdoor tutaj:
http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&#entry132561
Wariant D
Z tego co widze, zostaly Ci jeszcze resztki tapety, poczytaj opis, ktory podalem i zrob wszystko jeszcze raz.
Sciagnij i uzyj tego:
http://www.trojaner-info.de/files/SpSeHjfix112.exe
W hijackthis usun te wpisy:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://81.222.131.49/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\szaciu\USTAWI~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\szaciu\USTAWI~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://81.222.131.49/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 17.145.117.11 d-ru-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-2f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-ru-2h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-2f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-2h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-eu-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-us-1f.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 d-us-1h.kaspersky-labs.com
O1 - Hosts: 17.145.117.11 downloads1.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads2.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads3.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads4.kaspersky.ru
O1 - Hosts: 17.145.117.11 downloads5.kaspersky.ru
O1 - Hosts: 17.145.117.11 www.kaspersky.ru
O1 - Hosts: 17.145.117.11 kaspersky.ru
O1 - Hosts: 17.145.117.11 kaspersky-labs.com
O1 - Hosts: 17.145.117.11 www.kaspersky-labs.com
O1 - Hosts: 82.146.42.123 lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 online.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.co.uk
O1 - Hosts: 82.146.42.123 www.lloydstsb.com
O1 - Hosts: 82.146.42.123 personal.barclays.co.uk
O1 - Hosts: 82.146.42.123 barclays.co.uk
O1 - Hosts: 82.146.42.123 ibank.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.barclays.co.uk
O1 - Hosts: 82.146.42.123 www.nwolb.com
O1 - Hosts: 82.146.42.123 nwolb.com
O1 - Hosts: 82.146.42.123 hsbc.co.uk
O1 - Hosts: 82.146.42.123 www.hsbc.co.uk
O2 - BHO: (no name) - {A0269420-A638-4509-889C-8FC3CC85DA7E} - C:\WINDOWS\drexinit.dll
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{5F9ADE71-474B-4A8C-BF1F-E5F7BE592D88}\SVCHOST.EXE
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{5F9ADE71-474B-4A8C-BF1F-E5F7BE592D88}\SECURITY.EXE
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - HKCU\..\Run: [System] C:\WINDOWS\svchost.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing)
O9 - Extra button: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D835D827-8466-479B-BE3F-1AA677A2F1D7} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 81.222.131.59
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
I Fix Checked.
Pozniej zeby usunac ten wpis:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
Wejdz w Start->Uruchom i wpisz regedit w nim przejdz do tej galezi:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
Odszukaj tam:
_{CFBFAE00-17A6-11D0-99CB-00C04FD64497}
Prawoklik na nim i usun.
Hijackthis ma bug i nie umie usuwac tych wpisow dlatego trzeba recznie.
Nastepnie sciagnij killbox:
http://www.downloads.subratam.org/KillBox.zip
Rozpakuj, zaznacz Delete file on reboot wklej sciezke do pliku (sam nie szukaj tylko wklejaj gotowa) i naciskaj czerwony przycisk ale na pytanie o reset odpowiadaj nie i tak zrob z tymi plikami:
C:\WINDOWS\SYSTEM32\drct16.dll
C:\WINDOWS\svchost.exe
C:\WINDOWS\isrvs\desktop.exe
c:\wp.exe
C:\DOCUME~1\szaciu\USTAWI~1\Temp\se.dll
C:\WINDOWS\drexinit.dll
C:\WINDOWS\isrvs\ffisearch.exe
C:\WINDOWS\System32\Services\{5F9ADE71-474B-4A8C-BF1F-E5F7BE592D88}\SVCHOST.EXE
C:\WINDOWS\System32\Services\{5F9ADE71-474B-4A8C-BF1F-E5F7BE592D88}\SECURITY.EXE
I reset.
Przeskanuj tez system tym:
http://housecall.trendmicro.com/housecall/start_corp.asp
http://www.windowsecurity.com/trojanscan/
http://www.pandasoftware.com/activescan/pol/activescan_principal.htm
Zainstaluj tez:
http://www.safer-networking.org/pl/mirrors/index.html <- SpyBot S&D -> przeskanuj i wlacz ochrone przegladarki
http://www.javacoolsoftware.com/spywareblaster.html <- SpywareBlaster -> wlacz ochrone przegladarki
http://www.wilderssecurity.net/spywareguard.html <- SpywareGuard
Jak juz wszystko usuniesz tak jak masz w opisie oraz w hijackthis, do tego killbox to reset i wklej nowy log z hijackthis.
|
|
| Back to top |
|
|
oleq_30
Poziom 21
Joined: 17 Jan 2005
Posts: 1445
Location: Nysa
|
#7
12 May 2005 22:33 Pewien Problem wirus |
|
|
|
zacznij od sciagniecia uaktualniej do systemu widzialem juz ta tapete pisalem o tym w innym poscie
http://www.safer-networking.org/pl/mirrors/index.html <- SpyBot S&D -> przeskanuj i wlacz ochrone przegladarki to powinno w zupelnosci pomoc jak pisze KOLOBOS
zreszta do reszty jego polecen tez sie zastosuj
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26223
Location: Warszawa
|
#8
12 May 2005 22:45 Pewien Problem wirus |
|
|
|
:arrow: oleq_30
SpyBot tutaj nie pomoze, autor ma pelno roznych syfow.
|
|
| Back to top |
|
|
ghost
Poziom 18
Joined: 04 Oct 2002
Posts: 551
Location: Kraków
|
#9
13 May 2005 03:11 Re: Pewien Problem wirus |
|
|
|
Ja stosuje 3 rzeczy na raz i pomaga zawsze: SpyBot , AdAware (oba z najnowszymi bazami) i CWShredder (to na najgorsze cholerstwo - CoolWebSearcha ;) )
Metoda :
- odciac kompa od netu, skan wszystkimi trzema,
- czyszczenie (najlepiej recznie w trybie awaryjnym)
C:\WINDOWS\TEMP
C:\WINDOWS\Tempoary Internet Files\
i dla XP C:\ Documents and settings\nazwausera\temp
wywalic wszystko co podejrzane przy pomocy msconfig
restart,
skan wszystkimi trzema
sprawdzic czy cos nie wlazlo do msconfig
restart i ...
za trzecim razem komp powinien byc czysty.
Wszystkie sa darmowe i mozna uzywac rowniez firmowo (AdAware standard jest bezplatny - nie zawiera AdWatcha ale do skanowania sie nadaje) AdAware wywala wiecej plikow niz SpyBot - ten czysci glownie rejestry,
CWShredder najskuteczniej niszczy wszystkie mutacje CoolWebSearcha
Wszystkie programy dostepne od reki pod www.googe.pl ;)
|
|
| Back to top |
|
|
szatek009
Poziom 15
Joined: 25 Apr 2004
Posts: 262
|
#10
13 May 2005 13:56 Pewien Problem wirus |
|
|
|
Wiec tak
Explorer chodzi juz szybciej mi.
Tapete mam czarna ale nie moge zmienic.
Log:
Logfile of HijackThis v1.99.1
Scan saved at 14:27:47, on 2005-05-13
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\Programy\MKS\Bin\NetMonSV.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\SYSTEM\rs32.exe
E:\Programy\MKS\Bin\mksmonsv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\szaciu\Pulpit\anty\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R3 - Default URLSearchHook is missing
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\Programy\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O8 - Extra context menu item: Download All by FlashGet - E:\Programy\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - E:\Programy\FlashGet\jc_link.htm
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - E:\Programy\MKS\Bin\NetMonSV.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Sound Device (dnetc) - Unknown owner - C:\WINDOWS\SYSTEM\rs32.exe
O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - E:\Programy\MKS\bin\MkSUpdateInt.exe
O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - E:\Programy\MKS\Bin\mksmonsv.exe
O23 - Service: MkS_Scan - Unknown owner - E:\Programy\MKS\Bin\mks_scan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
A i linki mi nie dzialaja te:
http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&
http://www.searchengines.pl/phpbb203/index.php?showtopic=12510&st=0&p=109496&#entry135478
|
|
| Back to top |
|
|
Google
|
| #
13 May 2005 13:56 |
|
|
|
|
|
| Back to top |
|
|
Kolobos
Poziom 26
Joined: 13 Jun 2003
Posts: 26223
Location: Warszawa
|
|
| Back to top |
|
|
childmaker
Poziom 22
Joined: 16 Oct 2004
Posts: 2273
|
#12
13 May 2005 14:15 Re: Pewien Problem wirus |
|
|
|
Skoro nie możesz otworzyc to masz tu opis jak usunąć ten wpis
| Quote: |
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
|
| Quote: |
Wersja D i jej wariacja:
QUOTE
Wejścia w logu HijackThis:
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\w32tm.exe !!
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
-------------------------------------
Ukryte usługi: vdmt16 i memlow oraz winlow w wariacji.
Dodatkowe pliki: w32tm.exe, drct16.dll, cz.dll, hz.dll, wz.dll, vdmt16.sys, winlow.sys, p2.ini
Uwaga: na dysku zapewne będzie jeszcze bardzo gruby plik klo5.sys, którego zawartość to ..... WSZYSTKO co piszecie w swoich GG, Tlenie, na forum, Notatniku, mejlach itd. To plik nagrywający wasze akcje i oczywiście też musi zostać skasowany!
Usuwanie dla Windows 2000/XP/2003:
1. Na początek należy przygotować plik naprawczy rejestru. Stosownie do wersji rootkita będzie on wyglądał inaczej. Proszę otworzyć Notatnik i wkleić do niego:
Dla wersji D:
QUOTE
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_WINLOW]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_VDMT16]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ENUM\ROOT\LEGACY_MEMLOW]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"secboot"=-
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"Disable TrayIcon"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"StackSize"=-
"Impersonate"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"hws"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Session Manager\Memory Management]
"EnforceWriteProtect"=-
"hws"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"EnforceWriteProtect"=-
"hws"=-
Plik >>> Zapisz jako >>> Wszystkie pliki *.* >>> jako nazwa wprowadź FIX.REG.
2. Następnie zastartować do trybu awaryjnego i uruchomić zrobiony przez siebie plik = podwójny klik na FIX.REG i potwierdzenie wprowadzenia informacji do rejestru.
3. Na koniec wyszukać na dysku pliki, które wymieniłam wcześniej i je skasować. Pliki mogą być "pomieszane z różnych wersji" więc wyszukiwanie musi być przeprowadzone na każdy z nich. Resztki doczyszczą skanery antywirusowe.
|
Zastanawia mnie ten proces -> C:\WINDOWS\SYSTEM\rs32.exe
Nie można znaleźć nic na ten temat.
|
|
| Back to top |
|
|
Google
|
| #
13 May 2005 14:15 |
|
|
|
|
|
| Back to top |
|
|
longines
Poziom 19
Joined: 28 Sep 2004
Posts: 755
Location: Gdańsk
|
#13
13 May 2005 14:54 Re: Pewien Problem wirus |
|
|
|
I koniecznie zwróć uwagę na pliki o podobnych nazwach:
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\drivers\CDAC13BA.DLL
C:\WINDOWS\System\CDAC11BA.VXD
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
c:\Program Files\Common Files\Macrovision Shared\SafeCast\Install\CDAC14BA.DLL
c:\Program Files\Common Files\Macrovision Shared\SafeCast\Install\CDAC13BA.EXE
To coś jest częścią programu TurboTax o nazwie SafeCast, najprawdopodbniej instaluje się, z którąś z ŁAT ze strony UPDATE MICROSOFT-u !!!
Ma teoretycznie za zadanie chronić Twój system przed nieautoryzowaną duplikacją (czytaj: nielegalnym powielaniem) komercyjnych programów.
Wygląda na to, ze Microsoft sam wprowadził we własnym jak najbardziej dobrze rozumianym interesie (i najwyraźniej z premedytacją) SPYWARE do swojego systemu. :-(
Ci, którzy uzywają "pożyczonego" od kolegi systemu, mogą się juz zacząć bać o swoje d.py :-(
Proponuję zassać ze strony SysInternals program ProcessExplorer http://www.sysinternals.com/files/procexpnt.zip
zlokalizować wszystkie wątki tych programów i szybko draństwo wywalić!
Sam wywaliłem to i powiem szczerze, że system działa dalej, a więc nie jest to coś co MUSI działać.
|
|
| Back to top |
|
|
ghost
Poziom 18
Joined: 04 Oct 2002
Posts: 551
Location: Kraków
|
#14
13 May 2005 15:31 Re: Pewien Problem wirus |
|
|
|
Wystarczy po prostu nie instalowac wszystkich latek jak popadnie - ja mam tylko dwie i nie zanosi sie na trzecia
aha.. DirectX juz sie nie sciaga ze strony Microsoftu bo na dziendobry pojawia sie swierdzenie ze zanim nastapi download zostanie sprawdzona legalnosc Windows ;)
|
|
| Back to top |
|
|
childmaker
Poziom 22
Joined: 16 Oct 2004
Posts: 2273
|
#15
13 May 2005 15:48 Re: Pewien Problem wirus |
|
|
|
| ghost wrote: |
| aha.. DirectX juz się nie sciaga ze strony Microsoftu bo na dziendobry pojawia się swierdzenie ze zanim nastapi download zostanie sprawdzona legalnosc Windows ;) |
Nie wprowadzaj w błąd. Klikasz kontynuuj, a później masz do wyboru:
| Quote: |
Sprawdź autentyczność systemu Windows i uzyskaj dostęp do pliku do pobrania
- Tak, chcę sprawdzić autentyczność systemu Windows i uzyskać dostęp do pliku do pobrania. (Jeżeli zostanie wyświetlone okno dialogowe formantu ActiveX, kliknij przycisk Tak).
- Nie, nie chcę teraz sprawdzać autentyczności systemu Windows, ale chcę uzyskać dostęp do pliku do pobrania |
|
|
| Back to top |
|
|
longines
Poziom 19
Joined: 28 Sep 2004
Posts: 755
Location: Gdańsk
|
#16
13 May 2005 15:56 Re: Pewien Problem wirus |
|
|
|
| ghost wrote: |
Wystarczy po prostu nie instalowac wszystkich latek jak popadnie - ja mam tylko dwie i nie zanosi się na trzecia
aha.. DirectX juz się nie sciaga ze strony Microsoftu bo na dziendobry pojawia się swierdzenie ze zanim nastapi download zostanie sprawdzona legalnosc Windows ;) |
Przede wszystkim nie należy instalować SP2 ;-)
|
|
| Back to top |
|
|
childmaker
Poziom 22
Joined: 16 Oct 2004
Posts: 2273
|
#17
13 May 2005 16:02 Re: Pewien Problem wirus |
|
|
|
| longines wrote: |
Przede wszystkim nie należy instalować SP2 ;-) |
Podaj przyczynę, a nie puste słowa.
|
|
| Back to top |
|
|
longines
Poziom 19
Joined: 28 Sep 2004
Posts: 755
Location: Gdańsk
|
#18
13 May 2005 17:25 Re: Pewien Problem wirus |
|
|
|
| childmaker wrote: |
| longines wrote: |
Przede wszystkim nie należy instalować SP2 ;-) |
Podaj przyczynę, a nie puste słowa. |
OK. Jak sobie życzysz ;-)
Pierwsza przyczyna to taka, że SP2 nie działa jak nalezy i często uniemożliwia lub utrudnia korzystanie z usług, z których się korzystało przed jego zainstalowaniem. Dzieje sie tak szczególnie na składakach. Czemu? Nie wiem. Zapytaj się o to Microsoft. Napewno mają na to jakąś przebiegłą odpowiedź ;-)
Przykład: Posiadam satelitarną kartę SkyStar2, po zainstalowaniu SP2, zaczynają żreć się sterowniki karty sieciowej ze sterownikami Skystar-a. Efekt jest taki, ze nawet wyłączenie jednego z urządzeń nic nie daje. Urządzenie trzeba wyrzucić z komputera, dopiero wtedy sieciówka odzyskuje władzę. I nie jest to jakiś konflikt urządzeń czy sterowników.
Instalowałem XP na rózne sposoby, w różnej kolejności i na rózne sposoby. Pokusiłem się o przełożenie do 3 innych komputerów i ponowne instalacje XP i SP2. Efekt zawsze ten sam. To jest przykład sprzętowy. A mógłbym ich podac kilka.
taka sytuacja nie występuje przed zainstalowaniem SP2.
Inny przykład: Konfig AMD Barton, MSI KT6 Delta, 512Ram, SATA, 2 x WD Raptor 36Gb spięte w Raid.
Znowu to samo SP1a i instalacja SP2. Jeden z dysków miał błąd tzw. UNMOUNTABLE_BOOT_VOLUME. Drugi powinien odświeżyć dane, nie zrobił tego, mało tego skopiował błędne dane do siebie. Narzędzia chkdsk z konsoli wogóle nie chciały się odpalić. Obydwa dyski w tej samej konfiguracji zostały przełożone do bliźniaczo podobnego systemu i komputera, ale z SP1a + łatki. Tam chkdsk zadziałał. Dyski są sprawne, ale niewiele brakowało. Znowu ta sytuacja nie wystepuje przed SP2.
Jeszcze inny przykład: Firewall z SP2, nie idzie go całkowicie wyłączyć. Po wyłączeniu w ustawieniach sieciowych w dalszym ciągu działa moduł odpowiedzialny za transakcje i koordynaty. Chamskie wyłączenie go powoduje błąd RTC i późniejszy wymuszony przez kernel restart systemu.
Coś jeszcze jest w nim skaszanione, bo żre się z programami m.in. GG i Miranda. Jeśli i u Ciebie zdarzają się nagłe, niczym nieuzasadnione odłączenia (w sensie nie działanie klientów) owych komunikatorów to wiedz, ze to własnie firewall odwija takie cyrki, jakby działał sekwencyjnie i "sam się restartował". Mało tego doszły mnie słuchy, że inne zapory korzystają z tego samego modułu, więc efekt końcowy może być zblizony (nie sprawdzałem tego). Najlepsza rada - nie włączać zapory, tylko co mają powiedzieć Ci, którzy na zaawansowanych zaporach się nie znają, a mają zewnętrzne IP, hę?
Mam jeszcze kilka innych zastrzeżeń (mniejszych, ale równie wnerwiających) do SP2. Ale żeby nie być gołosłownym sam Microsoft ostrzega przed potencjalnymi następstwami instalacji SP2 (tylko kto czyta takie rzeczy jak Knowledge Base - czyżby tylko ja???).
Gdzieś juz to napisałem i powtórzę raz jeszcze:
DOPÓKI Microsoft nie wypuści zupełnie nowej, ponownie od zera przepisanej dystrybucji XP zawierającej Service Pack 2 - to nie ma się co łudzić, ze wszystko ma 100% będzie hulało bez zastrzeżeń.
PS. Co do moich przykładów (na wypadek, gdybyś chciał coś doradzić o tych przypadkach), to wiedz, ze nie jestem człowiekiem z łapanki, znam sporo systemów Windows, tych starszych i tych nowszych. Pozwolę sobie stwierdzić, że jeszcze nigdy w historii firmy z Redmond nie było aż tak źle jak z XP.
Tutaj powoli zaczyna dominować hasło: Załatamy 12563 błędy łatami i service packami zawierającymi dodatkowe 4324 błędy, a potem będziemy następne łatać. To też przykład ;-)
Można by pisać i pisać. Tylko że post był o czymś innym :-(
|
|
| Back to top |
|
|
childmaker
Poziom 22
Joined: 16 Oct 2004
Posts: 2273
|
#19
13 May 2005 20:09 Re: Pewien Problem wirus |
|
|
|
:arrow: longines opisane przez Ciebie problemy dotyczą Twojego sprzętu i systemu, i nijak się mają do mojego, choć też mam składaka. Używam SP2 od początku jak się ukazał i nie mam z nim żadnych problemów (zarówno sprzętowych jak i programowych).
Co do zapory. Używam NIS2005, który domyślnie wyłącza i zastępuje wbudowaną zaporę i nie mam żadnych problemów, że tam "coś" pozostało nie wyłączone ;). Zarówno ja na swoim, jak i dzieciaki na drugim kompie spiętym w sieć (też z NIS2005), korzystając z GG, nie mamy żadnych "przerw" ani tym bardziej restartów. Skoro takowe masz (restarty) to sprawdź numer błędu jaki Ci się pojawia i na tej podstawie szukaj przyczyny.
Co do sieciówki i SkyStar2, to problem zapewne leży w oprogramowaniu w/w urządzeń i pretensje do twórców, że nie dają patcha likwidującego Twoje problemy (vide -> SP2 i pływający kursor myszy oraz reakcja A4Tech)
Co do Raida. Nie wypowiadam się bo nie używam. Może ktoś inny ma i coś powie na ten temat.
Reasumując. Mając zainstalowany SP2, wcale nie odczuwam, że go mam (zero problemów), a napewno jestem bezopieczniejszy niż z SP1a.
|
|
| Back to top |
|
|
ghost
Poziom 18
Joined: 04 Oct 2002
Posts: 551
Location: Kraków
|
#20
14 May 2005 08:18 Re: Pewien Problem wirus |
|
|
|
Ja rowniez mam przykre doswiadczenia z SP2 i nie polecam jego instalacji ... Ja akurat doswiadczylem totalnego padu Novella przy polaczeniu Norton Antivirus 2005 + SP2 - 12 komputerow w firmie to chyba wystarczajacy dowod? Pomoglo dopiero wylaczenie paru opcji w obu zaporach (szczegolnie ze NAV musi miec wylaczona zapore i blokade przed robakami internetowymi a to w polowie zmniejsza jego funkconalnosc.... Oprocz tego domyslna instalacja po prostu wywala novella... Na stronie novella doczytalem sie ze "istnieje problem z wspolpraca" i "nie istnieje poprawka" ... czyzby znow niueuczciwa walka z konkurencja ze strony microsoftu? (nie pierwszy raz zreszta).
|
|
| Back to top |
|
|
longines
Poziom 19
Joined: 28 Sep 2004
Posts: 755
Location: Gdańsk
|
#21
15 May 2005 15:18 Re: Pewien Problem wirus |
|
|
|
| childmaker wrote: |
:arrow: longines opisane przez Ciebie problemy dotyczą Twojego sprzętu i systemu, i nijak się mają do mojego, choć też mam składaka. Używam SP2 od początku jak się ukazał i nie mam z nim żadnych problemów (zarówno sprzętowych jak i programowych).
Co do zapory. Używam NIS2005, który domyślnie wyłącza i zastępuje wbudowaną zaporę i nie mam żadnych problemów, że tam "coś" pozostało nie wyłączone ;). Zarówno ja na swoim, jak i dzieciaki na drugim kompie spiętym w sieć (też z NIS2005), korzystając z GG, nie mamy żadnych "przerw" ani tym bardziej restartów. Skoro takowe masz (restarty) to sprawdź numer błędu jaki Ci się pojawia i na tej podstawie szukaj przyczyny.
Co do sieciówki i SkyStar2, to problem zapewne leży w oprogramowaniu w/w urządzeń i pretensje do twórców, że nie dają patcha likwidującego Twoje problemy (vide -> SP2 i pływający kursor myszy oraz reakcja A4Tech)
Co do Raida. Nie wypowiadam się bo nie używam. Może ktoś inny ma i coś powie na ten temat.
Reasumując. Mając zainstalowany SP2, wcale nie odczuwam, że go mam (zero problemów), a napewno jestem bezopieczniejszy niż z SP1a. |
Tobie się nic nie dzieje, ale moze niech inni się wypowiedzą, a potem podliczymy ilość głosów na NIE i na TAK. Nie chcę sie zakładać, ale mam przeczucie, ze tych na NIE będzie więcej :-(
|
|
| Back to top |
|
|
ghost
Poziom 18
Joined: 04 Oct 2002
Posts: 551
Location: Kraków
|
#22
15 May 2005 15:48 Re: Pewien Problem wirus |
|
|
|
Co rozumiecie przez slowo skladak? ;) Bo od wielu wielu lat skladakami sa wszystkie komputery, niewazne czy ktos na nich nakleil ladna nalepke lub umiecil logo... co wiecej w "skladaku" prynajmniej wybierasz co pakujesz do srodka - a w "Firmowym" sprzecie (tych najbardziej znanych np. Compaq) w srodku siedzi najgorszy chlam.
Kupujac komputer firmowy nie kupujesz dobrego sprzetu - kupujesz dobry serwis - komputer w wiekszosci przypadkow jest badziewny
Firmowy Compaq po otwarciu:
Płyta Asrock(tani chlam0
dysk Excelstor (tani chlam)
pamiec hynix (najtansza na rynku)
grafika i muzyka - zintegrowane - dziadostwo z zasady
Zasilacz Modecom - tu troszke lepiej ale to bsardziej przez nietypowa, firmowa obudowe
Tak wyglada jeden z tanszych modeli "firmowego" kompa - oczywisci emozna kupic 3 letni serwis door-to-door i zestaw zawiera Windows z wkopiowanymi wszystkimi sterownikami i instalujacy sie zupelnie automatycznie.
Te ostattnie to super plus i sie to chwali ale komputer to szmelc. ktory przez te "bajery" i firmowe logo tani wcale nie jest .
|
|
| Back to top |
|
|
jankolo
Poziom 26
Joined: 10 Jan 2005
Posts: 28259
Location: Łódź
|
#23
15 May 2005 16:02 Re: Pewien Problem wirus |
|
|
|
| longines wrote: |
| ...najprawdopodbniej instaluje się, z którąś z ŁAT ze strony UPDATE MICROSOFT-u !!! |
Oczywiście, wszystko co jest złe, to nawet jeżeli nie wiemy, skąd to przylazło, to zakładamy że z Microsoftu. Informuję kolegę, że mam zainstalowane WSZYSTKIE poprawki Microsoftu dla Windows XP Professional oraz Office 2000 Professional i C-Dilli NIGDY w komputerze nie miałem. Zatem przyplątało się z innego źródła.
|
|
| Back to top |
|
|
longines
Poziom 19
Joined: 28 Sep 2004
Posts: 755
Location: Gdańsk
|
#24
16 May 2005 16:18 Re: Pewien Problem wirus |
|
|
|
| jankolo wrote: |
| longines wrote: |
| ...najprawdopodbniej instaluje się, z którąś z ŁAT ze strony UPDATE MICROSOFT-u !!! |
Oczywiście, wszystko co jest złe, to nawet jeżeli nie wiemy, skąd to przylazło, to zakładamy że z Microsoftu. Informuję kolegę, że mam zainstalowane WSZYSTKIE poprawki Microsoftu dla Windows XP Professional oraz Office 2000 Professional i C-Dilli NIGDY w komputerze nie miałem. Zatem przyplątało się z innego źródła. |
W dalszym ciągu nie jestem pewien, czy z innego źródła :-(
ZIPY zawierają wyeksportowane klucze rejestru. Nie radzę ich importować do siebie. Do podejrzenia w Unicode np. w podglądzie Total Commander'a.
A najciekawszy klucz w tym wszystkim to:
[HKEY_LOCAL_MACHINE\SOFTWARE\Macrovision\Safecast\ShellWizards\0xb34e2000\Info\ProtectedProductPath]
@="%windir%\\explorer.exe"
Czy po nim mam rozumieć, ze jakaś firma, gdzieś tam na świecie sabotuje Microsoft? ;-) Albo, że bezinteresownie walczy z piractwem? ;-)
Może kolega mi podpowie co powinienem o tym myśleć?
A co do kolegi szyderstwa nt. "Wszystko co złe...", to chciałbym wyjaśnic, że w porównaniu ze wszelkiem maści dumnymi Linuksiarzami, którzy propagują takie niewydarzone poglądy - ja jestem wręcz zatwardziałym zwolennikiem wszystkiego co pochodzi z Redmond :D
Wobec powyższego argument był conajmniej nietrafny :-)))
| Description: |
|
Download |
| Filename: |
macrovision1.zip |
| Contents: |
macrovision1.reg
, macrovision2.reg
See all... |
| Filesize: |
1.59 KB |
| Punkty: |
0.00 |
|
|
| Back to top |
|
|
longines
Poziom 19
Joined: 28 Sep 2004
Posts: 755
Location: Gdańsk
|
#25
16 May 2005 16:35 Re: Pewien Problem wirus |
|
|
|
| ghost wrote: |
| Co rozumiecie przez slowo skladak? |
Mogę się mylić, ale składakami w dzisiejszych czasach to pewnie nie są tylko komputery spod znaku Apple (jeśli chodzi o domowe komputery) ;-)
Zasadniczo zgadzam się, dzisiejsze składaki kosztują tyle co kolorowa naklejka z logo na obudowie ;-) A w środku ... łomatko ;-)
|
|
| Back to top |
|
|
childmaker
Poziom 22
Joined: 16 Oct 2004
Posts: 2273
|
#26
16 May 2005 17:01 Re: Pewien Problem wirus |
|
|
|
:arrow: longines nie masz przypadkiem autocada?
|
|
| Back to top |
|
|
jankolo
Poziom 26
Joined: 10 Jan 2005
Posts: 28259
Location: Łódź
|
#27
16 May 2005 18:23 Re: Pewien Problem wirus |
|
|
|
childmaker, świetny strzał! Albo miał AutoCAD-a bądź jakiś inny wyrób Autodesku, chociażby AutoCAD Viewer. Pozwalam sobie dodać link:
http://www.tovna.com/main/softlock.htm
|
|
| Back to top |
|
|
longines
Poziom 19
Joined: 28 Sep 2004
Posts: 755
Location: Gdańsk
|
#28
16 May 2005 19:17 Re: Pewien Problem wirus |
|
|
|
| childmaker wrote: |
| :arrow: longines nie masz przypadkiem autocada? |
Nie mam, a co chcesz? ;-)
Ani żadnego innego technicznego programu na pokładzie :-(
Jak ktoś chce to zapraszam do lektury, fakt, że wszyscy tam nawijają o C-DILLA, ale nie wszyscy są tak optymistycznie nastawieni jak JANKOLO :-(
http://www.broadbandreports.com/forum/remark,5307294~root=security,1~mode=flat
http://www.broadbandreports.com/forum/remark,5329108~root=security,1~mode=flat
http://www.dynedyr.org/blog.php?id=300
Gry UT2003 tez nie instalowałem, generalnie mam sterylny system, nie instaluje czego popadnie (oprócz łat z Microsoftu).
|
|
| Back to top |
|
|
longines
Poziom 19
Joined: 28 Sep 2004
Posts: 755
Location: Gdańsk
|
#29
17 May 2005 10:15 Re: Pewien Problem wirus |
|
|
|
To jest mój log, może widzicie tu coś niepoprawnego?
Logfile of HijackThis v1.99.0
Scan saved at 10:44:49, on 2005-05-17
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Total Commander\Utils\System_Ad-aware 6\Ad-Watch.exe
C:\Program Files\Total Commander\Utils\System_Bestcrypt\BCResident.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Total Commander\TOTALCMD.EXE
C:\WINDOWS\System32\wuauclt.exe
c:\Program Files\Total Commander\Utils\System_HiJack\HijackThis.exe
C:\Program Files\Avant Browser\avant.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Program Files\Total Commander\Utils\System_Bestcrypt\BCWipeTM.exe" startup
O4 - HKLM\..\Run: [AWMON] "C:\Program Files\Total Commander\Utils\System_Ad-aware 6\Ad-Watch.exe"
O4 - Global Startup: BestCrypt Auto Open.lnk = C:\Program Files\Total Commander\Utils\System_Bestcrypt\BestCrypt.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\Program Files\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: C&ustomize this Menu - res://C:\Program Files\Total Commander\Utils\Net_Robo\RoboForm.dll/ComCustomIEMenu.html
O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Program Files\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Fi&ll Forms - res://C:\Program Files\Total Commander\Utils\Net_Robo\RoboForm.dll/ComFillForms.html
O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - C:\Program Files\Avant Browser\OpenAllLinks.htm
O8 - Extra context menu item: Podświetl - C:\Program Files\Avant Browser\Highlight.htm
O8 - Extra context menu item: Save For&ms - res://C:\Program Files\Total Commander\Utils\Net_Robo\RoboForm.dll/ComSavePass.html
O8 - Extra context menu item: Szukaj - C:\Program Files\Avant Browser\Search.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1114361688750
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
|
|
| Back to top |
|
|
Google
|
| #
17 May 2005 10:15 |
|
|
|
|
|
| Back to top |
|
|
childmaker
Poziom 22
Joined: 16 Oct 2004
Posts: 2273
|
#30
17 May 2005 12:01 Re: Pewien Problem wirus |
|
|
|
Log jest czysty
|
|
| Back to top |
|
|
