Backdoor.Trojan, no i czały czas zmienia mi stronę startową
Mam 3 problemy do rozwiązania.
1. Nie dawno uporałem się z Trojan.Repsamo a teraz kolejna niespodzianka: Backdoor.Trojan.
Pomocy!!
Nie jestem biegłym w tych sprawach więc jak coś to proszę o szczegółowe tłumaczenie z podaniem wymaganych komend itp.
2. No i jeszcze problem strony startowej. Próbowałem juź raz rozwiązać problem ale poskutkowało na 2–3 dni. Potem znowu uruchamiała się strona: http://www.findthewebsiteyouneed.com/.
3. Ostatni problem to ciągle wyskakujące okienka. Raz źe wkurzają dwa źe za duźo ich. Jak to moźna zablokować i czy wogóle moźna??
Poniźej podaję log z HijackThis v1.99.1
Logfile of HijackThis v1.99.1
Scan saved at 22:20:13, on 2005–09–09
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\windows\sp2update00.exe
C:\WINDOWS\System32\Winupdater.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD–LC\symlcsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Patryk\Trojan.Repsamo\HijackThis\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00025.exe"
O1 – Hosts: 213.222.11.6 auto.search.msn.com
O1 – Hosts: 213.222.11.6 ieautosearch
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 – HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 – HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 – HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 – HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 – HKLM\..\Run: [winsock32] msupdate32.exe
O4 – HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe
O4 – HKLM\..\Run: [WindowsUpdate] "C:\WINDOWS\System32\Winupdater.exe"
O4 – HKLM\..\Run: [MouseDrv] C:\DOCUME~1\Patryk\USTAWI~1\Temp\link.txt
O4 – HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [MouseDrv] C:\DOCUME~1\Patryk\USTAWI~1\Temp\link.txt
O4 – HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00025.exe"
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O16 – DPF: {11111111–1111–1111–1111–111111111157} – ms–its:mhtml:file://C:\nosuch.mht!http://85.255.113.4/dl/adv623/x.chm::/load.exe
O16 – DPF: {92F02779–6D88–4958–8AD3–83C12D86ADC7} – http://netsprint.pl/toolbar/toolbar.cab
O23 – Service: Symantec Event Manager (ccEvtMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 – Service: Symantec Password Validation (ccPwdSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 – Service: Symantec Settings Manager (ccSetMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 – Service: Norton AntiVirus Auto–Protect Service (navapsvc) – Symantec Corporation – C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 – Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) – Symantec Corporation – C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SAVScan – Symantec Corporation – C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 – Service: ScriptBlocking Service (SBService) – Symantec Corporation – C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 – Service: Symantec Network Drivers Service (SNDSrvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 – Service: Symantec SPBBCSvc (SPBBCSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 – Service: Symantec Core LC – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\CCPD–LC\symlcsvc.exe
Z góry dzięki za wszelkie pomocne opinie i rady.
Pozdr.
1. Nie dawno uporałem się z Trojan.Repsamo a teraz kolejna niespodzianka: Backdoor.Trojan.
Pomocy!!
Nie jestem biegłym w tych sprawach więc jak coś to proszę o szczegółowe tłumaczenie z podaniem wymaganych komend itp.
2. No i jeszcze problem strony startowej. Próbowałem juź raz rozwiązać problem ale poskutkowało na 2–3 dni. Potem znowu uruchamiała się strona: http://www.findthewebsiteyouneed.com/.
3. Ostatni problem to ciągle wyskakujące okienka. Raz źe wkurzają dwa źe za duźo ich. Jak to moźna zablokować i czy wogóle moźna??
Poniźej podaję log z HijackThis v1.99.1
Logfile of HijackThis v1.99.1
Scan saved at 22:20:13, on 2005–09–09
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\windows\sp2update00.exe
C:\WINDOWS\System32\Winupdater.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD–LC\symlcsvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Patryk\Trojan.Repsamo\HijackThis\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00025.exe"
O1 – Hosts: 213.222.11.6 auto.search.msn.com
O1 – Hosts: 213.222.11.6 ieautosearch
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 – HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 – HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 – HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 – HKLM\..\Run: [msresearch] C:\windows\msresearch.exe
O4 – HKLM\..\Run: [winsock32] msupdate32.exe
O4 – HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe
O4 – HKLM\..\Run: [WindowsUpdate] "C:\WINDOWS\System32\Winupdater.exe"
O4 – HKLM\..\Run: [MouseDrv] C:\DOCUME~1\Patryk\USTAWI~1\Temp\link.txt
O4 – HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [MouseDrv] C:\DOCUME~1\Patryk\USTAWI~1\Temp\link.txt
O4 – HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00025.exe"
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O16 – DPF: {11111111–1111–1111–1111–111111111157} – ms–its:mhtml:file://C:\nosuch.mht!http://85.255.113.4/dl/adv623/x.chm::/load.exe
O16 – DPF: {92F02779–6D88–4958–8AD3–83C12D86ADC7} – http://netsprint.pl/toolbar/toolbar.cab
O23 – Service: Symantec Event Manager (ccEvtMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 – Service: Symantec Password Validation (ccPwdSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 – Service: Symantec Settings Manager (ccSetMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 – Service: Norton AntiVirus Auto–Protect Service (navapsvc) – Symantec Corporation – C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 – Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) – Symantec Corporation – C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SAVScan – Symantec Corporation – C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 – Service: ScriptBlocking Service (SBService) – Symantec Corporation – C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 – Service: Symantec Network Drivers Service (SNDSrvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 – Service: Symantec SPBBCSvc (SPBBCSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 – Service: Symantec Core LC – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\CCPD–LC\symlcsvc.exe
Z góry dzięki za wszelkie pomocne opinie i rady.
Pozdr.
Odpowiedzi: 20
Patcho:
Dzięki wielkie chłopaki. Zuchy z was.
Dziękuję! Dzięki tobie odkryłem swoje prawdziwe oblicze... jestem zuchem ;) :D :D
P.S. Dzięki za podziękowania ;)
YEEEEEEEEEEEEEEEEEEEEEEEES!! :)
Udało się.
Jak na razie jest w porządku. Trojan usunięty, pulpit odzyskany scan kompa zrobiony i wywaliło mi dodatkowe jakieś syfy typu adware ale z tym to akurat norton sobie poradził. Dzięki wielkie chłopaki. Zuchy z was. Co ja – i wielu innych uźytkowników kompów – zrobilibyśmy bez was??!!! Sam sobie w źyciu bym nie poradził.
Słowa uznania!! :)
Jeszcze raz WIELKIE DZIĘKI!!!!!!!!!!!!!!!
Pozdrawiam i do następnego wiruska lub innego problemu.
Patryk.
Udało się.
Jak na razie jest w porządku. Trojan usunięty, pulpit odzyskany scan kompa zrobiony i wywaliło mi dodatkowe jakieś syfy typu adware ale z tym to akurat norton sobie poradził. Dzięki wielkie chłopaki. Zuchy z was. Co ja – i wielu innych uźytkowników kompów – zrobilibyśmy bez was??!!! Sam sobie w źyciu bym nie poradził.
Słowa uznania!! :)
Jeszcze raz WIELKIE DZIĘKI!!!!!!!!!!!!!!!
Pozdrawiam i do następnego wiruska lub innego problemu.
Patryk.
Nigdy w zyciu. Jesli jednak ktos upierdliwie bedzie twierdzil ze jednak tak, dolaczylem opcje druga.To jak? "Nigdy w źyciu" czy "A gdyby nawet"?
No a "umilaniem i ulatwianiem sobie zywota", nie jest dla mnie "obowiazkowy" przeglad systemu przez zestaw kilkunastu programow :P .
Ty oraz ja nie musimy tego robić :P Ale uźytkownik, który ma problemy z jakimś (potocznie mówiąc) syfem, to powinien to zrobić. Jeśli sam tego nie potrafi, to daje te raporty (logi) osobom, które potrafią je sprawdzić. Wydaje mi się, źe lepiej sprawdzić loga, powiedzieć co, gdzie i jak usunąć, niź "leczyć syfy pudrem" ;)
A takim leczeniem jest np:
A gdyby nawet, wystarczy plikowi zmienic atrybut na "Tylko do odczytu".
Wiadomo, źe im więcej swój czas poświęca się na edukację przed ekranem monitora, to tym więcej człowiek wie :P A wiedze zdobywa się całe źycie, więc według mnie obydwoje mamy rację w tym, co mówimy :)
O na 2 stronie tego topik nie wyrzuca juz alertow.. ale jak proboje napisac odpowiedz (tylko do tego tematu) to tez podnosi alarm..
To zmniejsz tą heurystykę. Wydaje mi się, źe pasek z ustawieniami dotyczącymi heurystyki masz ustawiony na najwyźszą opcję. Zmniejsz na normalną albo wprowadź wykluczenie w tym programie (o ile się da, bo dawno nortona nie uźywałem). A jeśli się da, to na pliki *.htm
Nie ma teź menu o co tu chodzi?? Juź jestem zdesperowany i chyba dzisiaj zrobię format C: Wkurza mnie ten komputer. To juź drugi raz.
Nie rób formata, bo nic na nim nie zyskasz. Staraj się rozwiązać ten problem, najlepiej z pomocą ludzi, którzy pomagają na tym forum. Zdobędziesz doświadczenie, a oprócz tego nie stracisz danych, które masz w "Moje Dokumenty" (no chyba, źe wszystko skopiujesz) oraz tego, co masz na pulpicie (choć na pulpit moźna się dostać poprzez Explorator Windows –> Mój komputer–>naciskasz na ikonkę "W górę").
Pozdrawiam :)
goncior, samemu moze pomyslec ?
1. Na tej stronie nie ma ciagu znakow ktore wywoluja alarm antyvira – sa w postach na pierwszej.
2. Piszac odpowiedz masz podglad 15 ostatnich postow a tam juz znajdziesz taki ciag.
Proste ?
Tutaj naprawde nie ma o czym pisac. Wystarczyloby gdybys jednak przegladnal archiwum tego forum. Wiesz gdzie jest, wiesz co masz podac jako szukana fraze. Nic tylko czytac.
1. Na tej stronie nie ma ciagu znakow ktore wywoluja alarm antyvira – sa w postach na pierwszej.
2. Piszac odpowiedz masz podglad 15 ostatnich postow a tam juz znajdziesz taki ciag.
Proste ?
Tutaj naprawde nie ma o czym pisac. Wystarczyloby gdybys jednak przegladnal archiwum tego forum. Wiesz gdzie jest, wiesz co masz podac jako szukana fraze. Nic tylko czytac.
O na 2 stronie tego topik nie wyrzuca juz alertow.. ale jak proboje napisac odpowiedz (tylko do tego tematu) to tez podnosi alarm.. :?
W logu mozesz jedynie uciąć te puste wpisy z R0
Co do braku powoki graficznej to przerabiałeś to: http://forum.centrumxp.pl/viewtopic.php?t=29728#faq29
Podejrzewam, źe bedzie chodzić o punkt drugi czyli Shell, usuwałeś taki wpis, HJT powinien go zresetować do wartości domyslej, chyba tego nie zrobił.
BTW, przycisk zmień działa.
Co do braku powoki graficznej to przerabiałeś to: http://forum.centrumxp.pl/viewtopic.php?t=29728#faq29
Podejrzewam, źe bedzie chodzić o punkt drugi czyli Shell, usuwałeś taki wpis, HJT powinien go zresetować do wartości domyslej, chyba tego nie zrobił.
BTW, przycisk zmień działa.
Jeszcze raz przesyłam log po usunięciu wpisów. No ale co jest z tym pulpitem. Dlaczego nie pokazuje ikon i menu???
POMOCY!!!!
Logfile of HijackThis v1.99.1
Scan saved at 07:56:23, on 2005–09–12
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Common Files\Symantec Shared\CCPD–LC\symlcsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\taskmgr.exe
D:\Patryk\Trojan.Repsamo\HijackThis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 – HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 – HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 – HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 – HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 – DPF: {2DF91772–19DC–47AE–B52F–B8E2FE545625} (Spd2 Class) – http://www.lemontv.pl/lmctrls.cab
O16 – DPF: {92F02779–6D88–4958–8AD3–83C12D86ADC7} – http://netsprint.pl/toolbar/toolbar.cab
O23 – Service: Symantec Event Manager (ccEvtMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 – Service: Symantec Password Validation (ccPwdSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 – Service: Symantec Settings Manager (ccSetMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 – Service: Norton AntiVirus Auto–Protect Service (navapsvc) – Symantec Corporation – C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 – Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) – Symantec Corporation – C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SAVScan – Symantec Corporation – C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 – Service: ScriptBlocking Service (SBService) – Symantec Corporation – C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 – Service: Symantec Network Drivers Service (SNDSrvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 – Service: Symantec SPBBCSvc (SPBBCSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 – Service: Symantec Core LC – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\CCPD–LC\symlcsvc.exe
POMOCY!!!!
Logfile of HijackThis v1.99.1
Scan saved at 07:56:23, on 2005–09–12
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Common Files\Symantec Shared\CCPD–LC\symlcsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\taskmgr.exe
D:\Patryk\Trojan.Repsamo\HijackThis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 – HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 – HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 – HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 – HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 – DPF: {2DF91772–19DC–47AE–B52F–B8E2FE545625} (Spd2 Class) – http://www.lemontv.pl/lmctrls.cab
O16 – DPF: {92F02779–6D88–4958–8AD3–83C12D86ADC7} – http://netsprint.pl/toolbar/toolbar.cab
O23 – Service: Symantec Event Manager (ccEvtMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 – Service: Symantec Password Validation (ccPwdSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 – Service: Symantec Settings Manager (ccSetMgr) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 – Service: Norton AntiVirus Auto–Protect Service (navapsvc) – Symantec Corporation – C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 – Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) – Symantec Corporation – C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
O23 – Service: SAVScan – Symantec Corporation – C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 – Service: ScriptBlocking Service (SBService) – Symantec Corporation – C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 – Service: Symantec Network Drivers Service (SNDSrvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 – Service: Symantec SPBBCSvc (SPBBCSvc) – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 – Service: Symantec Core LC – Symantec Corporation – C:\Program Files\Common Files\Symantec Shared\CCPD–LC\symlcsvc.exe
OK. Chłopaki ale pojawił się gorszy problem którego nie umiem rozwiązać. Otórz po usunięciu wpisów wywaliło mnie z kompa no i teraz to mam tylko piękne zdjęcie mojego syna na tapecie i nic poza tym. Żadnych ikon, programów itp. rzeczy. Nie ma teź menu o co tu chodzi?? Juź jestem zdesperowany i chyba dzisiaj zrobię format C: Wkurza mnie ten komputer. To juź drugi raz. :(
:(
:(
Nigdy w zyciu. Jesli jednak ktos upierdliwie bedzie twierdzil ze jednak tak, dolaczylem opcje druga.To jak? "Nigdy w źyciu" czy "A gdyby nawet"?
No a "umilaniem i ulatwianiem sobie zywota", nie jest dla mnie "obowiazkowy" przeglad systemu przez zestaw kilkunastu programow :P .
Wracaja do HOSTS ? Nigdy w zyciu. A gdyby nawet, wystarczy plikowi zmienic atrybut na "Tylko do odczytu".
Ciekawym jest to, ze prawie z wszystkim mozna sobie poradzic bez dziesiatkow "polecanych" programow i programikow :wink: .
To jak? "Nigdy w źyciu" czy "A gdyby nawet"?
Juź się trochę pogubiłem w tym wszystkim.
A z tym atrybutem "tylko do odczytu"... ano moźna, ale lepiej pozbyć się "szkodników", które powodują takie właśnie problemy.
P.S. Moźna sobie poradzić bez programów. Ale IMO warto kierować się zasadą, która dotyczy umilania i ułatwiania sobie źywota ;)
Wracaja do HOSTS ? Nigdy w zyciu. A gdyby nawet, wystarczy plikowi zmienic atrybut na "Tylko do odczytu".A przewaźnie powracają. Jakie jest na nie lekarstwo?
Ciekawym jest to, ze prawie z wszystkim mozna sobie poradzic bez dziesiatkow "polecanych" programow i programikow :wink: .
Niby dlaczego ? HJ pokazal wpisy ktorych nie powinno byc. Po ich zaznaczeniu zostana usuniete. Co bedzie nie tak ?
Źle będzie, gdy te wpisy powrócą. A przewaźnie powracają. Jakie jest na nie lekarstwo? wklejenie loga z SilentRunners, który pokaźe to czego HijackThis nie mógł pokazać.
ale co jest na tej stronie
ms–its:mhtml
Lub inaczej:
http://forum.centrumxp.pl/search.php –> Bloodhound.Exploit
Niby dlaczego ? HJ pokazal wpisy ktorych nie powinno byc. Po ich zaznaczeniu zostana usuniete. Co bedzie nie tak ?Inna sprawa, źe mamy teź do czynienia z przekierowaniem Hosta, a analiza loga z programu HJT duźo nie da w tym przypadku.
Ok. ale co jest na tej stronie ze tylko na niej wyrzuca alerty..?
O to ze jak sie wchodzi w ten temat to AV wyrzuca mi alerty..
Ten Bloodhound.Exploit.6 jest przypadłością Norton Antivirus i McAfee Virusscan. Tu nie ma exploitów itp. bajerów. To po prostu fałszywy alarm spowodowany zbyt duźą czułością wymienionych powyźej programów. Wiem bo sam miałem z tym do czynienia :)
O to ze jak sie wchodzi w ten temat to AV wyrzuca mi alerty..
O co ci chodzi?
Ok. Tylko podpowiedz mi jak usunąć wpisy podane poniźej i z czego je usunąć, bo nie kumam
F2 – REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00025.exe"
O1 – Hosts: 213.222.11.6 auto.search.msn.com
O1 – Hosts: 213.222.11.6 ieautosearch
i jeszcze to
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O16 – DPF: {11111111–1111–1111–1111–111111111157} – ms–its:mhtml:file://C:\nosuch.mht!http://85.255.113.4/dl/adv623/x.chm::/load.exe
Jeszcze raz dzięki/
Wpisy zaznaczasz w programie HijackThis i naciskasz na przycisk "Fix Checked".
Inna sprawa, źe mamy teź do czynienia z przekierowaniem Hosta, a analiza loga z programu HJT duźo nie da w tym przypadku.
By wszystko było moźna w pełni sprawdzić naleźy wkleić loga z programu SilentRunners. Poniźej podaję linka do instrukcji wklejania jego:
http://forum.viruscenter.pl/index.php?showtopic=306
tego loga moźesz wkleić albo tutaj, albo i teź na tamtym forum. Decyzja naleźy do ciebie :)
Pozdrawiam :)
Ok. Tylko podpowiedz mi jak usunąć wpisy podane poniźej i z czego je usunąć, bo nie kumam
F2 – REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00025.exe"
O1 – Hosts: 213.222.11.6 auto.search.msn.com
O1 – Hosts: 213.222.11.6 ieautosearch
i jeszcze to
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O16 – DPF: {11111111–1111–1111–1111–111111111157} – ms–its:mhtml:file://C:\nosuch.mht!http://85.255.113.4/dl/adv623/x.chm::/load.exe
Jeszcze raz dzięki/
Wpisy zaznaczasz w programie HijackThis i naciskasz na przycisk "Fix Checked".
Inna sprawa, źe mamy teź do czynienia z przekierowaniem Hosta, a analiza loga z programu HJT duźo nie da w tym przypadku.
By wszystko było moźna w pełni sprawdzić naleźy wkleić loga z programu SilentRunners. Poniźej podaję linka do instrukcji wklejania jego:
http://forum.viruscenter.pl/index.php?showtopic=306
tego loga moźesz wkleić albo tutaj, albo i teź na tamtym forum. Decyzja naleźy do ciebie :)
Pozdrawiam :)