Win32.NewDotNet/ i chyba coś jeszcze
Mój znajomy stwierdził źe ma kupę wirusów i trojanów w kompie. No wiec przeskanowałem system Avastem, Ad–Aware SE, Skanerem online MKS i Pandy i w sumie nic nie znalazłem poza tym ze skaner pandy pokazała cos takiego
Zdarzenie Status Lokalizacja
Adware:Adware/WUpd Nie wyleczalny C:\Documents and Settings\xx1\Ustawienia lokalne\Temporary Internet Files\Content.IE5\41AFWXIJ\qwa[1].htm
Adware:Adware/WUpd Nie wyleczalny C:\Documents and Settings\xx1\Ustawienia lokalne\Temporary Internet Files\Content.IE5\540ZLH81\prompt_ie_win[1].js
Adware:Adware/WUpd Nie wyleczalny C:\Documents and Settings\xx1\Ustawienia lokalne\Temporary Internet Files\Content.IE5\GD6Z8HMB\init[1].js
Hacktool:HackTool/IP–Connect.ANie wyleczalny C:\usr\Klient.exe
Czy są to wirusy i ewentualnie jak je usunąć. Pisze to poniewaź HJ był czysty.
Natomiast druga sprawa dotyczy tego źe przeskanowałem system nod32 i MWAV. Nod32 znalazł tylko to Win32.NewDotNet. Niby usunąłem ale w Hj i tak jest. Mwav skanowal mi ponad godzinę to są niektóre zdarzenia jakie przekopiowałem
Tue Nov 15 11:57:38 2005 => Scanning File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common–Controls_6595b64144ccf1df_6.0.2600.1643_x–ww_7c3a9bc6\comctl32.dll
Tue Nov 15 11:57:46 2005 => File C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL tagged as "not–a–virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Tue Nov 15 11:57:59 2005 => File C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL tagged as "not–a–virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
ue Nov 15 11:58:00 2005 => Scanning File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.1360_x–ww_24a2ed47\gdiplus.dll
Tue Nov 15 11:58:39 2005 => Scanning File C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL
Tue Nov 15 11:58:39 2005 => File C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL tagged as "not–a–virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Tue Nov 15 11:58:43 2005 => Scanning File C:\PROGRA~1\COMMON~1\System\OLEDB~1\OLEDB32.DL
Tue Nov 15 11:58:44 2005 => ERROR!!! Invalid Entry {E6FB5E20–DE35–11CF–9C87–00AA005127ED} = %system%\webcheck.dll (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Tue Nov 15 12:05:26 2005 => Scanning File C:\DOCUME~1\xx1\USTAWI~1\Temp\WER10.tmp [**]
Tue Nov 15 12:05:26 2005 => Scanning Folder: C:\DOCUME~1\xx1\USTAWI~1\Temp\WER10.tmp.dir00\*.*
Tue Nov 15 12:05:26 2005 => Scanning File C:\DOCUME~1\xx1\USTAWI~1\Temp\WER10.tmp.dir00\GLB7.tmp.hdmp
Tue Nov 15 12:05:26 2005 => Scanning File C:\DOCUME~1\xx1\USTAWI~1\Temp\WER10.tmp.dir00\GLB7.tmp.mdmp
Po przez HJ usunąłem Win32.NewDotNet ale jeszcze cos pozostaje dam loga
Ale jest jeszcze jedna sprawa
Dlaczego to traktuje jako wirusa ???
Tue Nov 15 13:30:49 2005 => Scanning Folder:
D:\Wizualizacje\*.*
Tue Nov 15 13:30:49 2005 => Scanning File D:\Wizualizacje\anioł.exe
Tue Nov 15 13:30:51 2005 => File D:\Wizualizacje\anioł.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:30:51 2005 => Scanning File D:\Wizualizacje\Ciemny niebieski.zip
Tue Nov 15 13:30:52 2005 => Scanning File D:\Wizualizacje\ciemny XP.exe
Tue Nov 15 13:30:53 2005 => File D:\Wizualizacje\ciemny XP.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:30:53 2005 => Scanning File D:\Wizualizacje\czarny XP.exe
Tue Nov 15 13:30:54 2005 => File D:\Wizualizacje\czarny XP.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:30:55 2005 => Scanning File D:\Wizualizacje\czasza.exe
Tue Nov 15 13:30:56 2005 => File D:\Wizualizacje\czasza.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:30:56 2005 => Scanning File D:\Wizualizacje\kobieta.exe
Tue Nov 15 13:30:58 2005 => File D:\Wizualizacje\kobieta.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:30:58 2005 => Scanning File D:\Wizualizacje\mwav.exe
Tue Nov 15 13:31:25 2005 => Scanning File D:\Wizualizacje\nod32.exe
Tue Nov 15 13:31:29 2005 => Scanning File D:\Wizualizacje\róz.exe
Tue Nov 15 13:31:31 2005 => File D:\Wizualizacje\róz.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:31:31 2005 => Scanning File D:\Wizualizacje\Wista czerwona.exe
Tue Nov 15 13:31:32 2005 => File D:\Wizualizacje\Wista czerwona.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:31:32 2005 => Scanning File D:\Wizualizacje\ładne.exe
Koniec
Tue Nov 15 13:33:06 2005 => ***** Checking for specific ITW Viruses *****
Tue Nov 15 13:33:06 2005 => Checking for Welchia Virus...
Tue Nov 15 13:33:06 2005 => Checking for LovGate Virus...
Tue Nov 15 13:33:06 2005 => Checking for CodeRed Virus...
Tue Nov 15 13:33:06 2005 => Checking for OpaServ Virus...
Tue Nov 15 13:33:06 2005 => Checking for Sobig.e Virus...
Tue Nov 15 13:33:06 2005 => Checking for Winupie Virus...
Tue Nov 15 13:33:06 2005 => Checking for Swen Virus...
Tue Nov 15 13:33:06 2005 => Checking for JS.Fortnight Virus...
Tue Nov 15 13:33:06 2005 => Checking for Novarg Virus...
Tue Nov 15 13:33:06 2005 => Checking for Pagabot Virus...
Tue Nov 15 13:33:06 2005 => Checking for Parite.b Virus...
Tue Nov 15 13:33:06 2005 => Checking for Parite.a Virus...
Tue Nov 15 13:33:06 2005 => Checking for Adware.SeekSeek Virus...
Tue Nov 15 13:33:06 2005 => ***** Scanning complete. *****
Tue Nov 15 13:33:06 2005 => Total Objects Scanned: 59809
Tue Nov 15 13:33:06 2005 => Total Virus(es) Found: 54
Tue Nov 15 13:33:06 2005 => Total Disinfected Files: 0
Tue Nov 15 13:33:06 2005 => Total Files Renamed: 0
Tue Nov 15 13:33:06 2005 => Total Deleted Objects: 0
Tue Nov 15 13:33:06 2005 => Total Errors: 88
Tue Nov 15 13:33:06 2005 => Time Elapsed: 01:35:25
Tue Nov 15 13:33:07 2005 => Virus Database Date: 2005/11/15
Tue Nov 15 13:33:07 2005 => Virus Database Count: 159878
Kilka słów wyjaśnienia te pliki czy aplikacje są to style do XP pobrane ze strony
http://www.themexp.org/listings.php?type=vs&view=date są pobrane ale jeszcze nie wypakowane. Dlaczego on to traktuje jako wirusa, a moźe to tak naprawdę nie są wirusy ??? Odpowiedzcie.
Wracając do Win32.NewDotNet jeszcze wczoraj log z HJ był czysty a dziś juź to było. Nie wiem czy na pewno ale przypuszczam ze złapałem to z tej strony http://www.themexp.org/ pobrałem sobie ta tapetę u góry po prawej stronie(Devistation by Lady Space Ace * (WP), rozpakowałem no i mam ją i jak się nie mylę to właśnie to było powodem Win32.NewDotNet . Wiec proszę o kilka słów wyjaśnienia jak ktoś wie. Na te górne pytania teź?? Będę wdzięczny. Co mogę jeszcze usunąć z HJ dodam tylko ze tego O10 – Hijacked Internet access by New.Net Nie moge usunąc. Załączam loga.
Logfile of HijackThis v1.99.1
Scan saved at 14:58:40, on 2005–11–15
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
c:\usr\MYSQL\bin\mysqld.exe
C:\WINDOWS\System32\SLEE81.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\keyhook.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Documents and Settings\xx1\Pulpit\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kantorpolski.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 – HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 – HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 – HKLM\..\Run: [wpkontakt] C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe –autostart
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKLM\..\Run: [Hidder] C:\PROGRA~1\GDATAS~1\SEKRET~1\Hidder.exe /start
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 – HKCU\..\Run: [SSSSE7] "C:\Program Files\Steganos Security Suite 7 SE\SSSSE7.exe" –boot
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\MSMSGS.EXE
O9 – Extra 'Tools' menuitem: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\MSMSGS.EXE
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120211260468
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: MySql – Unknown owner – c:\usr/MYSQL/bin/mysqld.exe
O23 – Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) – Unknown owner – C:\WINDOWS\System32\SLEE81.exe
Zdarzenie Status Lokalizacja
Adware:Adware/WUpd Nie wyleczalny C:\Documents and Settings\xx1\Ustawienia lokalne\Temporary Internet Files\Content.IE5\41AFWXIJ\qwa[1].htm
Adware:Adware/WUpd Nie wyleczalny C:\Documents and Settings\xx1\Ustawienia lokalne\Temporary Internet Files\Content.IE5\540ZLH81\prompt_ie_win[1].js
Adware:Adware/WUpd Nie wyleczalny C:\Documents and Settings\xx1\Ustawienia lokalne\Temporary Internet Files\Content.IE5\GD6Z8HMB\init[1].js
Hacktool:HackTool/IP–Connect.ANie wyleczalny C:\usr\Klient.exe
Czy są to wirusy i ewentualnie jak je usunąć. Pisze to poniewaź HJ był czysty.
Natomiast druga sprawa dotyczy tego źe przeskanowałem system nod32 i MWAV. Nod32 znalazł tylko to Win32.NewDotNet. Niby usunąłem ale w Hj i tak jest. Mwav skanowal mi ponad godzinę to są niektóre zdarzenia jakie przekopiowałem
Tue Nov 15 11:57:38 2005 => Scanning File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common–Controls_6595b64144ccf1df_6.0.2600.1643_x–ww_7c3a9bc6\comctl32.dll
Tue Nov 15 11:57:46 2005 => File C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL tagged as "not–a–virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Tue Nov 15 11:57:59 2005 => File C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL tagged as "not–a–virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
ue Nov 15 11:58:00 2005 => Scanning File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.1360_x–ww_24a2ed47\gdiplus.dll
Tue Nov 15 11:58:39 2005 => Scanning File C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL
Tue Nov 15 11:58:39 2005 => File C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL tagged as "not–a–virus:AdWare.Win32.NewDotNet". Action Taken: No Action Taken.
Tue Nov 15 11:58:43 2005 => Scanning File C:\PROGRA~1\COMMON~1\System\OLEDB~1\OLEDB32.DL
Tue Nov 15 11:58:44 2005 => ERROR!!! Invalid Entry {E6FB5E20–DE35–11CF–9C87–00AA005127ED} = %system%\webcheck.dll (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved). No Action Taken.
Tue Nov 15 12:05:26 2005 => Scanning File C:\DOCUME~1\xx1\USTAWI~1\Temp\WER10.tmp [**]
Tue Nov 15 12:05:26 2005 => Scanning Folder: C:\DOCUME~1\xx1\USTAWI~1\Temp\WER10.tmp.dir00\*.*
Tue Nov 15 12:05:26 2005 => Scanning File C:\DOCUME~1\xx1\USTAWI~1\Temp\WER10.tmp.dir00\GLB7.tmp.hdmp
Tue Nov 15 12:05:26 2005 => Scanning File C:\DOCUME~1\xx1\USTAWI~1\Temp\WER10.tmp.dir00\GLB7.tmp.mdmp
Po przez HJ usunąłem Win32.NewDotNet ale jeszcze cos pozostaje dam loga
Ale jest jeszcze jedna sprawa
Dlaczego to traktuje jako wirusa ???
Tue Nov 15 13:30:49 2005 => Scanning Folder:
D:\Wizualizacje\*.*
Tue Nov 15 13:30:49 2005 => Scanning File D:\Wizualizacje\anioł.exe
Tue Nov 15 13:30:51 2005 => File D:\Wizualizacje\anioł.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:30:51 2005 => Scanning File D:\Wizualizacje\Ciemny niebieski.zip
Tue Nov 15 13:30:52 2005 => Scanning File D:\Wizualizacje\ciemny XP.exe
Tue Nov 15 13:30:53 2005 => File D:\Wizualizacje\ciemny XP.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:30:53 2005 => Scanning File D:\Wizualizacje\czarny XP.exe
Tue Nov 15 13:30:54 2005 => File D:\Wizualizacje\czarny XP.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:30:55 2005 => Scanning File D:\Wizualizacje\czasza.exe
Tue Nov 15 13:30:56 2005 => File D:\Wizualizacje\czasza.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:30:56 2005 => Scanning File D:\Wizualizacje\kobieta.exe
Tue Nov 15 13:30:58 2005 => File D:\Wizualizacje\kobieta.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:30:58 2005 => Scanning File D:\Wizualizacje\mwav.exe
Tue Nov 15 13:31:25 2005 => Scanning File D:\Wizualizacje\nod32.exe
Tue Nov 15 13:31:29 2005 => Scanning File D:\Wizualizacje\róz.exe
Tue Nov 15 13:31:31 2005 => File D:\Wizualizacje\róz.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:31:31 2005 => Scanning File D:\Wizualizacje\Wista czerwona.exe
Tue Nov 15 13:31:32 2005 => File D:\Wizualizacje\Wista czerwona.exe infected by "Trojan–Downloader.Win32.Small.bke" Virus! Action Taken: No Action Taken.
Tue Nov 15 13:31:32 2005 => Scanning File D:\Wizualizacje\ładne.exe
Koniec
Tue Nov 15 13:33:06 2005 => ***** Checking for specific ITW Viruses *****
Tue Nov 15 13:33:06 2005 => Checking for Welchia Virus...
Tue Nov 15 13:33:06 2005 => Checking for LovGate Virus...
Tue Nov 15 13:33:06 2005 => Checking for CodeRed Virus...
Tue Nov 15 13:33:06 2005 => Checking for OpaServ Virus...
Tue Nov 15 13:33:06 2005 => Checking for Sobig.e Virus...
Tue Nov 15 13:33:06 2005 => Checking for Winupie Virus...
Tue Nov 15 13:33:06 2005 => Checking for Swen Virus...
Tue Nov 15 13:33:06 2005 => Checking for JS.Fortnight Virus...
Tue Nov 15 13:33:06 2005 => Checking for Novarg Virus...
Tue Nov 15 13:33:06 2005 => Checking for Pagabot Virus...
Tue Nov 15 13:33:06 2005 => Checking for Parite.b Virus...
Tue Nov 15 13:33:06 2005 => Checking for Parite.a Virus...
Tue Nov 15 13:33:06 2005 => Checking for Adware.SeekSeek Virus...
Tue Nov 15 13:33:06 2005 => ***** Scanning complete. *****
Tue Nov 15 13:33:06 2005 => Total Objects Scanned: 59809
Tue Nov 15 13:33:06 2005 => Total Virus(es) Found: 54
Tue Nov 15 13:33:06 2005 => Total Disinfected Files: 0
Tue Nov 15 13:33:06 2005 => Total Files Renamed: 0
Tue Nov 15 13:33:06 2005 => Total Deleted Objects: 0
Tue Nov 15 13:33:06 2005 => Total Errors: 88
Tue Nov 15 13:33:06 2005 => Time Elapsed: 01:35:25
Tue Nov 15 13:33:07 2005 => Virus Database Date: 2005/11/15
Tue Nov 15 13:33:07 2005 => Virus Database Count: 159878
Kilka słów wyjaśnienia te pliki czy aplikacje są to style do XP pobrane ze strony
http://www.themexp.org/listings.php?type=vs&view=date są pobrane ale jeszcze nie wypakowane. Dlaczego on to traktuje jako wirusa, a moźe to tak naprawdę nie są wirusy ??? Odpowiedzcie.
Wracając do Win32.NewDotNet jeszcze wczoraj log z HJ był czysty a dziś juź to było. Nie wiem czy na pewno ale przypuszczam ze złapałem to z tej strony http://www.themexp.org/ pobrałem sobie ta tapetę u góry po prawej stronie(Devistation by Lady Space Ace * (WP), rozpakowałem no i mam ją i jak się nie mylę to właśnie to było powodem Win32.NewDotNet . Wiec proszę o kilka słów wyjaśnienia jak ktoś wie. Na te górne pytania teź?? Będę wdzięczny. Co mogę jeszcze usunąć z HJ dodam tylko ze tego O10 – Hijacked Internet access by New.Net Nie moge usunąc. Załączam loga.
Logfile of HijackThis v1.99.1
Scan saved at 14:58:40, on 2005–11–15
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
c:\usr\MYSQL\bin\mysqld.exe
C:\WINDOWS\System32\SLEE81.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\keyhook.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Documents and Settings\xx1\Pulpit\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kantorpolski.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 – HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 – HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 – HKLM\..\Run: [wpkontakt] C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe –autostart
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKLM\..\Run: [Hidder] C:\PROGRA~1\GDATAS~1\SEKRET~1\Hidder.exe /start
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 – HKCU\..\Run: [SSSSE7] "C:\Program Files\Steganos Security Suite 7 SE\SSSSE7.exe" –boot
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\MSMSGS.EXE
O9 – Extra 'Tools' menuitem: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\MSMSGS.EXE
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120211260468
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: MySql – Unknown owner – c:\usr/MYSQL/bin/mysqld.exe
O23 – Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) – Unknown owner – C:\WINDOWS\System32\SLEE81.exe
Odpowiedzi: 1
Co do tempów to uruchom system w awaryjnym z wierszem poleceń i wpisz:
RD /S /Q C:\DOCUME~1\xx1\USTAWI~1\TEMP
RD /S /Q C:\DOCUME~1\xx1\USTAWI~1\TEMPOR~1
New.Net odinstaluj z Dodaj/Usuń, w razie czego uźyj Lsp–fix. katalog z Program Files wypatuje.
Pliki ściuągnięte z themexp rzeczywiscie moga być naszpikowane spywarem.
RD /S /Q C:\DOCUME~1\xx1\USTAWI~1\TEMP
RD /S /Q C:\DOCUME~1\xx1\USTAWI~1\TEMPOR~1
New.Net odinstaluj z Dodaj/Usuń, w razie czego uźyj Lsp–fix. katalog z Program Files wypatuje.
Pliki ściuągnięte z themexp rzeczywiscie moga być naszpikowane spywarem.
Strona 1 / 1