Blaster pytanie o szkodliwość na dysk

kamoreks · 25 Grudzień 2004 22:00

Mam pytanie ponieważ w chyba 2003 roku wyszedl robak blaster i potem saser oba wirusy zagościły na moim komputerze. Czy to normalne że jak usunąłem je i za kazdym razem kiedy sformatuje dyski mam go znowu? I musze instalowac latki do obu! Czy moze powinienem wymienic dysk twardy, lub czy to nie potrzebne bo i tak bedzie zawsze to samo.

Proszę o pomoc z góry dzieki Kamoreks.

Shark · 25 Grudzień 2004 22:04

Zawsze musisz instalować latki przy formatowaniu !

Najlepiej instaluj winde z wyłączonym kablem sieciowym …

Nie :x

Najlepiej zainstaluj SP2 i Windows Worms Doors Cleaner v1.4.1 - pozamykaj wszystkie porty w tym programie

kamoreks · 25 Grudzień 2004 22:06

Naszczęscie to nie dysk!

Jeśli pozamykam wszystkie porty to nie będą mi np dzialaly czaty i inne takkie rzeczy? Czy tylko wirusy?

Shark · 25 Grudzień 2004 22:11

Bedzie Ci wszystko działało, oprócz wirusów

Ale pamiętaj po reinstalce systemu zawsze je wyłączaj …

I zainstaluj SP2 …

Jak miałeś te robale to daj log hijackthis - moze cos po nich zostało :co:

kamoreks · 25 Grudzień 2004 22:18

Logfile of HijackThis v1.98.2

Scan saved at 23:17:47, on 2004-12-25

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\System32\nvsvc32.exe

D:\WINDOWS\System32\msc32.exe

D:\temp\salm.exe

D:\WINDOWS\System32\winmplayd.exe

D:\WINDOWS\System32\REGSRV32.EXE

D:\WINDOWS\System32\ctfmon.exe

D:\Program Files\Messenger\msmsgs.exe

D:\WINDOWS\System32\mssams.exe

D:\WINDOWS\System32\devldr32.exe

D:\Program Files\wwdc.exe

C:\asgag.exe

c:\fadjad.exe

c:\gasjad.exe

D:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Documents and Settings\Tomek\Ustawienia lokalne\Temp\Katalog tymczasowy 2 dla hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - D:\PROGRA~1\SEARCH~1\SEARCH~2.DLL (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [iMJPMIG8.1] D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM…\Run: [PHIME2002ASync] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM…\Run: [PHIME2002A] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM…\Run: [NvCplScan] msc32.exe

O4 - HKLM…\Run: [salm] d:\temp\salm.exe

O4 - HKLM…\Run: [wxof] D:\WINDOWS\wxof.exe

O4 - HKLM…\Run: [Admilli Service] D:\Program Files\Admilli Service\AdmilliServ.exe

O4 - HKLM…\Run: [security Agent Manager] mssams.exe

O4 - HKLM…\Run: [Windows ServeAd] D:\Program Files\Windows ServeAd\WinServAd.exe

O4 - HKLM…\Run: [Microsofts media] winmplayd.exe

O4 - HKLM…\Run: [msnmsg] C:\asgag.exe

O4 - HKLM…\Run: [Reg Service] REGSRV32.EXE

O4 - HKLM…\Run: [avserve2.exe] D:\WINDOWS\avserve2.exe

O4 - HKLM…\Run: [lsasss.exe] D:\WINDOWS\lsasss.exe

O4 - HKLM…\RunServices: [NvCplScan] msc32.exe

O4 - HKLM…\RunServices: [security Agent Manager] mssams.exe

O4 - HKLM…\RunServices: [Microsofts media] winmplayd.exe

O4 - HKLM…\RunServices: [Reg Service] REGSRV32.EXE

O4 - HKLM…\RunOnce: [NvCplScan] msc32.exe

O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [NvCplScan] msc32.exe

O4 - HKCU…\Run: [security Agent Manager] mssams.exe

O4 - HKCU…\RunServices: [security Agent Manager] mssams.exe

O4 - HKCU…\RunOnce: [NvCplScan] msc32.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip…{932395B3-310D-4845-BEFB-249CE23F2407}: NameServer = 194.204.159.1 194.204.152.34

To moje logo!

eyes · 25 Grudzień 2004 22:21

byc moze masz winde z tymi osobnikami w sobie !

kamoreks · 25 Grudzień 2004 22:23

Napewno nie! Shark ty jestes mistrzem powiedz cos!

Francuz · 26 Grudzień 2004 21:01

O4 - HKLM…\Run: [lsasss.exe] D:\WINDOWS\lsasss.exe

O4 - HKLM…\Run: [salm] d:\temp\salm.exe

O4 - HKLM…\Run: [wxof] D:\WINDOWS\wxof.exe

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - D:\PROGRA~1\SEARCH~1\SEARCH~2.DLL (file missing)

O4 - HKCU…\Run: [security Agent Manager] mssams.exe

O4 - HKCU…\RunServices: [security Agent Manager] mssams.exe

O4 - HKLM…\RunServices: [security Agent Manager] mssams.exe

O4 - HKCU…\Run: [NvCplScan] msc32.exe

O4 - HKLM…\Run: [NvCplScan] msc32.exe

D:\WINDOWS\System32\REGSRV32.EXE

C:\asgag.exe

c:\fadjad.exe

c:\gasjad.exe

O4 - HKLM…\Run: [Admilli Service] D:\Program Files\Admilli Service\AdmilliServ.exe

O4 - HKLM…\Run: [Microsofts media] winmplayd.exe

O4 - HKLM…\Run: [msnmsg] C:\asgag.exe

O4 - HKLM…\Run: [Reg Service] REGSRV32.EXE

Nie widać żadnego antywira w tle poza tym jak wykasujesz wszysko to pokaż czysty log 8)

golden_finger · 26 Grudzień 2004 21:06

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

Usuwasz to co wskazał Francuz i to co wskazałem klucz 09. Działasz w trybie Awaryjnym, wyłacz przywaracanie systemu, odepnij sieć.

Masz wirusa lsass

http://forum.dobreprogramy.pl/viewtopic.php?t=4323 pod linkiem masz info

Resztę sprawdzę później czyli CDN…

O4 - HKLM…\Run: [Windows ServeAd] D:\Program Files\Windows ServeAd\WinServAd.exe

Usuń katalog ServeAd z zawartością w trybie awaryjnym, uprzednio wyłączając proces

:x-mas:

Proszę, nie powiadamiaj nas o tym, że zabierasz się do prcy etc.

:x-mas:

kamoreks · 26 Grudzień 2004 21:52

Logfile of HijackThis v1.98.2

Scan saved at 22:51:10, on 2004-12-26

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\rundll32.exe

D:\WINDOWS\System32\nvsvc32.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\System32\winmplayd.exe

D:\WINDOWS\System32\systime.exe

D:\WINDOWS\System32\ctfmon.exe

D:\WINDOWS\System32\systime.exe

D:\WINDOWS\System32\dktibs.exe

D:\WINDOWS\System32\devldr32.exe

E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

D:\Program Files\Internet Explorer\iexplore.exe

D:\WINDOWS\System32\wuauclt.exe

C:\asgag.exe

D:\Documents and Settings\Tomek\Ustawienia lokalne\Temp\Katalog tymczasowy 2 dla hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [iMJPMIG8.1] D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM…\Run: [PHIME2002ASync] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM…\Run: [PHIME2002A] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM…\Run: [Microsofts media] winmplayd.exe

O4 - HKLM…\Run: [avserve2.exe] D:\WINDOWS\avserve2.exe

O4 - HKLM…\Run: [sysTime] D:\WINDOWS\System32\systime.exe

O4 - HKLM…\Run: [msnmsg] C:\asgag.exe

O4 - HKLM…\RunServices: [Microsofts media] winmplayd.exe

O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [sysTime] D:\WINDOWS\System32\systime.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip…{932395B3-310D-4845-BEFB-249CE23F2407}: NameServer = 194.204.159.1 194.204.152.34

Oto mój log chyba coś nie tak!

Skanowalem skanerem panda w necie! Oto co zarejestrował:Zdarzenie Status Lokalizacja

Virus:Trj/Downloader.ADB Nie wyleczalny C:\System Volume Information_restore{A918C4A0-3A3E-4C97-9660-D5E2A36D1641}\RP1\A0000213.EXE

Virus:Trj/Downloader.ADB Nie wyleczalny C:\System Volume Information_restore{A918C4A0-3A3E-4C97-9660-D5E2A36D1641}\RP4\A0000477.EXE

Virus:Trj/Downloader.ADB Nie wyleczalny C:\System Volume Information_restore{A918C4A0-3A3E-4C97-9660-D5E2A36D1641}\RP4\A0001455.EXE

Virus:Trj/Downloader.ADB Nie wyleczalny D:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K9QJ41IJ\newlc[1].exe

Virus:W32/Sdbot.BLM.worm Nie wyleczalny D:\WINDOWS\SYSTEM32\MSC32.EXE

Virus:W32/Gaobot.gen.worm Nie wyleczalny D:\WINDOWS\SYSTEM32\winmplayd.exe

Virus:W32/Sdbot.ftp Nie wyleczalny D:\WINDOWS\SYSTEM32\O

Virus:Trj/StartPage.OH Nie wyleczalny D:\WINDOWS\SYSTEM32\SYSTIME.EXE

Virus:Trj/Vundo.A Nie wyleczalny D:\WINDOWS\SYSTEM32\APPSETUP.EXE

Virus:Trj/Qhost.Q Nie wyleczalny D:\WINDOWS\HOSTS

Virus:Trj/Downloader.TC Nie wyleczalny D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\HC44RAYD\T[1].htm

Virus:Exploit/Mhtredir.gen Nie wyleczalny D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\GDIJO9YB\adv481[1].php

Virus:Trj/Harnig.AG Nie wyleczalny D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\GDIJO9YB\load[1].exe

Virus:Exploit/Mhtredir.gen Nie wyleczalny D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\GDIJO9YB\CANAQLRJ.HTM

Virus:Trj/Downloader.ADB Nie wyleczalny D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\GDIJO9YB\newlc[1].exe

Virus:Trj/StartPage.OH Nie wyleczalny D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K9QJ41IJ\systime[1].txt

golden_finger · 26 Grudzień 2004 22:15

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php 

O1 - Hosts: 69.20.16.183 auto.search.msn.com 

O1 - Hosts: 69.20.16.183 search.netscape.com 

O1 - Hosts: 69.20.16.183 ieautosearch 



O4 - HKLM\..\RunServices: [Microsofts media] winmplayd.exe 

C:\asgag.exe 

O4 - HKLM\..\Run: [msnmsg] C:\asgag.exe


O4 - HKLM\..\RunServices: [Microsofts media] winmplayd.exe

O4 - HKLM\..\Run: [avserve2.exe] D:\WINDOWS\avserve2.exe 

D:\WINDOWS\System32\dktibs.exe 

D:\WINDOWS\System32\dktibs.exe 


D:\WINDOWS\System32\systime.exe

O4 - HKLM\..\Run: [SysTime] D:\WINDOWS\System32\systime.exe

O4 - HKCU\..\Run: [SysTime] D:\WINDOWS\System32\systime.exe

Usuwasz, jak podałem poprzednio, wyłączasz przywracanie systemu i działasz w trybie awaryjnym

Dlaczego nie masz Antywirusa zainstalowanego??

Dlaczego nie masz Service Pack’a dla XP??

Pobierz i zainsatluj antyvira http://www.free-av.com/index.htm po zainsatalowaniu pobierz poprzez Update nowości

Przeskanuj scanerami Online:

http://pl.trendmicro-europe.com/consume … stall=auto

http://www.ravantivirus.com/scan/

Usuń katalogi z Content.IE5 - Temporary Internet Files\Content.IE5

Jest to to katalog ukryty w Ustawieniach Lokalnych. Włacz pokazywanie plików i katalogów ukrytych (W opcjach folderów - widok)

:x-mas:

kamoreks · 26 Grudzień 2004 22:32

Jutro się tym zajme! Golden dzięki za wszystko! Jakbys mógł jeszcze sprecyzowac to co wykryła PANDA!

golden_finger · 26 Grudzień 2004 22:58

Virus:Trj/Downloader.TC Nie wyleczalny D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\HC44RAYD\T[1].htm

Virus:Exploit/Mhtredir.gen Nie wyleczalny D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\GDIJO9YB\adv481[1].php

Virus:Trj/Harnig.AG Nie wyleczalny D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\GDIJO9YB\load[1].exe

Virus:Exploit/Mhtredir.gen Nie wyleczalny D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\GDIJO9YB\CANAQLRJ.HTM

Virus:Trj/Downloader.ADB Nie wyleczalny D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\GDIJO9YB\newlc[1].exe

Virus:Trj/StartPage.OH Nie wyleczalny D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K9QJ41IJ\systime[1].txt

Tu są wirusy w Katalogu z plikami tymczasowymi, dlatego napisałem byś usunął katalogi w katalogu ukrytym Content.IE5 , musisz działac w trybie awaryjnym

Virus:Trj/Downloader.ADB Nie wyleczalny D:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K9QJ41IJ\newlc[1].exe

Virus:Trj/Downloader.ADB Nie wyleczalny C:\System Volume Information_restore{A918C4A0-3A3E-4C97-9660-D5E2A36D1641}\RP1\A0000213.EXE

Virus:Trj/Downloader.ADB Nie wyleczalny C:\System Volume Information_restore{A918C4A0-3A3E-4C97-9660-D5E2A36D1641}\RP4\A0000477.EXE

Virus:Trj/Downloader.ADB Nie wyleczalny C:\System Volume Information_restore{A918C4A0-3A3E-4C97-9660-D5E2A36D1641}\RP4\A0001455.EXE

Tu masz wirusy w Katolugu do przywracania systemu, dlatego napisałem byś wyłączył przywracanie systemu.

Virus:W32/Sdbot.BLM.worm Nie wyleczalny D:\WINDOWS\SYSTEM32\MSC32.EXE

Virus:W32/Gaobot.gen.worm Nie wyleczalny D:\WINDOWS\SYSTEM32\winmplayd.exe

Virus:W32/Sdbot.ftp Nie wyleczalny D:\WINDOWS\SYSTEM32\O

Virus:Trj/StartPage.OH Nie wyleczalny D:\WINDOWS\SYSTEM32\SYSTIME.EXE

Virus:Trj/Vundo.A Nie wyleczalny D:\WINDOWS\SYSTEM32\APPSETUP.EXE

Virus:Trj/Qhost.Q Nie wyleczalny D:\WINDOWS\HOSTS

Tu są wirusy w systemie, które trzeba usunąć z systemu ręcznie, jeśli Antywirus nie może sobie poradzić, dlatego pisałem, że masz działać w trybie awaryjnym.

:x-mas:

kamoreks · 27 Grudzień 2004 09:47

Logfile of HijackThis v1.98.2

Scan saved at 10:46:14, on 2004-12-27

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\rundll32.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\System32\nvsvc32.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\System32\ctfmon.exe

D:\WINDOWS\System32\devldr32.exe

D:\Documents and Settings\Tomek\Ustawienia lokalne\Temp\Katalog tymczasowy 2 dla hijackthis.zip\HijackThis.exe

D:\WINDOWS\System32\wuauclt.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [IMJPMIG8.1] D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{932395B3-310D-4845-BEFB-249CE23F2407}: NameServer = 194.204.159.1 194.204.152.34

Zrobilem co kazałeś. Połączyłem sie z netem na 2 min i zeskanowałem! Prosze sprawdz czy juz jest OK? Może znasz jakiś programy do zabezpieczenia się? A to wykryło:

Creation date of the report file: 27 grudnia 2004 10:56


AntiVir®/9x Personal Edition v6.29.00.03 of 13.12.2004

VDF file v6.29.0.36 (0) of 27.12.2004



This program is for PERSONAL USE only.

Any other use is PROHIBITED.

Informations regarding commercial versions of AntiVir may be obtained from:

www.hbedv.com.



Scanning for 94771 virus strains and unwanted programs.


Licensed for: AntiVir Personal Edition

Serial number: 0000149996-WURGE-0001

FUSE: Basic license


Please enter the workstation and

contact name with phone number in this form:


Name ___________________________________________


Street ___________________________________________


Town ___________________________________________


Phone/Fax ___________________________________________


EMail ___________________________________________


Platform: Windows 98

Windows version: 4.10.2222 A 

Username: Tomek

Processor: Pentium

Working memory: 523704 KB free

Guard: active


Version information:

 AVWIN.DLL : v6.29.00.03 561192 13.12.2004 11:46:22

 AVEWIN32.DLL : v6.29.0.5 782848 15.12.2004 10:03:52

 SYS_RW16.DLL : v6.19.0 12800 25.10.2004 12:33:28

 SYS_RW32.DLL : v6.19.0 16384 25.10.2004 12:33:28

 AVGCTRL.EXE : v6.28.00.00 86016 28.10.2004 08:30:38

 AVGUARD.VXD : v6.29.0.5 476623 15.12.2004 14:13:36

 AVPACK32.DLL : v6, 28, 0, 4 303144 28.10.2004 10:37:46

 AVGETVER.DLL : v6.22.00.00 24576 28.10.2004 08:30:40

 AVWIN.DLL : v6.29.00.03 561192 13.12.2004 11:46:22

 AVSHLEXT.DLL : v6.22.00.00 57344 28.10.2004 08:30:44

 AVSched32.EXE : v6.29.00.00 110632 19.11.2004 12:04:20

 AVSched32.DLL : v6.28.00.02 122880 28.10.2004 08:30:42

 AVREG.DLL : v6.27.00.01 41000 28.10.2004 08:30:42

 AVRep.DLL : v6.29.00.26 827432 21.12.2004 10:58:34

 INETUPD.EXE : v6.29.00.02 262203 23.11.2004 12:51:58

 INETUPD.DLL : v6.29.00.02 143431 23.11.2004 12:51:58

 MFC42.DLL : v6.00.8447.0 995383 05.05.1999 22:22:00

 MSVCRT.DLL : v6.00.8397.0 266293 05.05.1999 22:22:00

 CTL3D32.DLL : v2.31.000 45056 05.05.1999 22:22:00

 CTL3DV2.DLL : v2.31.000 27632 05.05.1999 22:22:00


Configuration file:


 Name of configuration file: C:\PROGRAM FILES\AVPERSONAL\AVWIN.INI

 Name of report file: C:\PROGRAM FILES\AVPERSONAL\LOGFILES\AVWIN.LOG

 Start path: C:\PROGRAM FILES\AVPERSONAL

 Command line:               

 Start mode: unknown


 Mode of report file:

 [] Do not create report

 [X] Overwrite report

 [] Append new report


 Data in report file:

 [X] Infected files

 [] Infected files with paths

 [] All scanned files

 [] Full information


 Abridge report file:

 [] Abridge report file


 Warnings in report:

 [X] Access denied/file locked

 [X] Wrong file size in directory

 [X] Wrong creation time in directory

 [] COM file is too large

 [X] Invalid start address

 [X] Invalid EXE header

 [X] Possibly damaged


 Summary report:

 [X] Create summary report

     Output file: AVWIN.ACT

     Maximum number of entries: 100


 Where to search:

 [X] Memory

 [X] Boot record of selected drives

 [] Report unknown boot sectors

 [] All files

 [X] Program files

     Extensions: .386 .?HT* .ACM .ADE .ADP .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN


.BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? 

.DRV .EMF .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .J2K .JAR .JFF 


.JFI .JFIF .JIF .JMH .JNG .JP2 .JPE .JPEG .JPG .JS* .JSE .LNK .MD? .MDB .MOD 

.MS? 

.NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PHP .PIF .PKG 


.PL* .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH 

.SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? 


.VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH 

.WWK .XL? .XML .ZIP 


 Response in case of a detection:

 [X] Repair with prompt

 [] Repair without prompt

 [] Delete with prompt

 [] Delete without prompt

 [] Write in report file only

 [X] Acoustic alarm


 Response in case of destroyed files:

 [X] Delete with prompt

 [] Delete without prompt

 [] Ignore


 Response in case of destroyed files:

 [X] No change

 [] Current system time

 [] Correct date


 Drag&drop settings:

 [X] Scan subdirectories


 Profile settings:

 [X] Scan subdirectories


 Archive options

 [X] Search archive

 [X] All archive types


 Miscellaneous options:

 Temporary path: %TEMP% -> C:\WINDOWS\TEMP

 [X] Overwrite infected files

 [] Detect idle time

 [X] Allow interruptions of scan

 [X] Load AVWin®/9x Guard on System start


 General settings:

 [X] Save options on exiting AntiVir

 Priority: medium


 Drives:

 A: Floppy drive

 C: Hard disk

 D: Hard disk

 E: Hard disk

 F: Hard disk

 G: CD-ROM

 H: CD-ROM


Start of scan: 27 grudnia 2004 10:56


Memory test OK

Master boot record of hard disk HD0 OK

Boot record of drive C: OK

Boot record of drive D: OK

Boot record of drive E: OK

Boot record of drive F: OK





D:\

  mt-uninstaller.exe

      [DETECTION] The Trojan horse TR/Dldr.Dyfuca.DB

      WAS DELETED!

D:\WINDOWS

  NEM220.DLL

      [DETECTION] The Trojan horse TR/Dldr.Dyfuca.BH.1

      WAS DELETED!

  SSK_B5.EXE

      [DETECTION] The Trojan horse TR/Drop.SurfSide.A

      WAS DELETED!

  VT00.EXE

      [DETECTION] The Trojan horse TR/Dldr.Small.QD.2

      WAS DELETED!

D:\WINDOWS\SYSTEM32

  mt-uninstaller.exe

      [DETECTION] The Trojan horse TR/Dldr.Dyfuca.DB

      WAS DELETED!

  REGSRV32.EXE

      [DETECTION] Contains signature of the worm Worm/Rbot.JO

      WAS DELETED!

  AKUPD.DLL

      [DETECTION] The Trojan horse TR/Dldr.Agent.BR

      WAS DELETED!

  AKRULES.DLL

      [DETECTION] The Trojan horse TR/Dldr.Agent.BT

      WAS DELETED!

  AKLSP.DLL

      [DETECTION] The Trojan horse TR/Dldr.Agent.BR.2

      WAS DELETED!

D:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\HC44RAYD

  prompt[1].htm

      [DETECTION] The Trojan horse TR/Dldr.IstBar.A

      WAS DELETED!

D:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K9QJ41IJ

  0006_adult[1].cab

  ArchiveType: CAB (Microsoft)

    --> istactivex.dll

        [DETECTION] The Trojan horse TR/Dldr.Smal.qd.2.A

D:\WINDOWS\SYSTEM32\CONFIG\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0PAZG52B

  test[1].exe

      [DETECTION] Contains signature of the worm Worm/Rbot.VZ.1

      WAS DELETED!

D:\WINDOWS\Temp

  installer.exe

      [DETECTION] The Trojan horse TR/Dldr.Dyfuca.DB

      WAS DELETED!

  AKRULES.DLL

      [DETECTION] The Trojan horse TR/Dldr.Agent.BT

      WAS DELETED!

  AKLSP.DLL

      [DETECTION] The Trojan horse TR/Dldr.Agent.BR.2

      WAS DELETED!

D:\WINDOWS\Temp\ICD1.TMP

  istactivex.dll

      [DETECTION] The Trojan horse TR/Dldr.Smal.qd.2.A

      WAS DELETED!

D:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\05YBGPIR

  bunSetup[1].cab

  ArchiveType: CAB (Microsoft)

    --> lsp_.dll

        NOTE! Bad header

    --> sporder_.dll

        NOTE! Bad header

    --> xmlparse_.dll

        NOTE! Bad header

    --> xmltok_.dll

        NOTE! Bad header

    --> SAHAgent_.exe

        NOTE! Bad header

    --> SAHUninstall_.exe

        NOTE! Bad header

    --> SahHtml_.exe

        NOTE! Bad header

    --> WEBInstaller.dll

        NOTE! Bad header

    --> setup.inf

        NOTE! Bad header

D:\Documents and Settings\Tomek\Ustawienia lokalne\Temp

  installer.exe

      [DETECTION] The Trojan horse TR/Dldr.Dyfuca.DB

      WAS DELETED!

  I5.TMP

      [DETECTION] The Trojan horse TR/Drop.SurfSide.A

      WAS DELETED!

D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\HC44RAYD

  test[1].exe

      [DETECTION] Contains signature of the worm Worm/Rbot.VZ.1

      WAS DELETED!

  SSK_B5[1].EXE

      [DETECTION] The Trojan horse TR/Drop.SurfSide.A

      WAS DELETED!

  package8032_SIAC[1].exe

      [DETECTION] The Trojan horse TR/LowZones.1.D

      WAS DELETED!

  actalert[1].exe

      [DETECTION] The Trojan horse TR/Dldr.Dyfuca.DP

      WAS DELETED!

D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\GDIJO9YB

  prompt[1].htm

      [DETECTION] The Trojan horse TR/Dldr.IstBar.A

      WAS DELETED!

  CANAQLRJ.HTM

      [DETECTION] Contains signature of the HTML script virus HTML/Exploit.Mhtml

      WAS DELETED!

  2004_12_26.data[1].zip

  ArchiveType: ZIP

      NOTE! No files to extract.

D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\K9QJ41IJ

  3[1].cab

  ArchiveType: CAB (Microsoft)

    --> OSDEB.OSD

        NOTE! Bad header

    --> v3.dll

        NOTE! Bad header

    --> v3cab.inf

        NOTE! Bad header

  0006_adult[1].cab

  ArchiveType: CAB (Microsoft)

    --> istactivex.dll

        [DETECTION] The Trojan horse TR/Dldr.Smal.qd.2.A

  Installer[1].exe

      [DETECTION] The Trojan horse TR/Dldr.Lookme.G.1

      WAS DELETED!

  nem220[1].dll

      [DETECTION] The Trojan horse TR/Dldr.Dyfuca.BH.1

      WAS DELETED!

  125021[1].exe

      [DETECTION] The Trojan horse TR/Dldr.Small.JZ.4

      WAS DELETED!

D:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\0PAZG52B

  VT00[1].exe

      [DETECTION] The Trojan horse TR/Dldr.Small.QD.2

      WAS DELETED!

  optimize[1].exe

      [DETECTION] The Trojan horse TR/Dldr.Dyfuca.BH.2

      WAS DELETED!

D:\Program Files\Internet Optimizer

  OPTIMIZE.EXE

      [DETECTION] The Trojan horse TR/Dldr.Dyfuca.BH.2

      WAS DELETED!

  ACTALERT.EXE

      [DETECTION] The Trojan horse TR/Dldr.Dyfuca.DP

      WAS DELETED!

D:\Program Files\Internet Optimizer\UPDATE

  ACTALERT.EXE

      [DETECTION] The Trojan horse TR/Dldr.Dyfuca.DP

      WAS DELETED!



E:\Moje Rzeczy

  spacemarine40k.zip

  ArchiveType: ZIP

      NOTE! No files to extract.




End of scan: 27 grudnia 2004 11:08

Time taken: 11:23 min



1045 directories were scanned

18084 files were scanned

   0 warning messages were issued

  31 files were deleted

   0 files were repaired

  33 detections

golden_finger · 27 Grudzień 2004 17:08

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch 

O1 - Hosts: 69.20.16.183 auto.search.msn.com 

O1 - Hosts: 69.20.16.183 search.netscape.com 

O1 - Hosts: 69.20.16.183 ieautosearch 


O4 - HKLM\..\Run: [IMJPMIG8.1] D:\WINDOWS\IME\imjp8_1


O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll 

O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll 

O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll 

O10 - Unknown file in Winsock LSP: d:\windows\system32\aklsp.dll

W dalszym ciągu musisz usuwać wskazane, jak poprzednio.

Wyrejestruj plik DLL (kopiuj poniższą linie, Start - Uruchom, Wklej i OK) - jeśli nie będzie chciał się wyrejestrować to nie przejmuj się tym, może nie jest zarejestrowany:

regsvr32 /u c:/windows/system32/aklsp.dll

Sciągnij i zainstaluj http://www.ewido.net/en/

Ponadto:

http://dobreprogramy.pl/index.php?dz=2&t=55&id=188

http://dobreprogramy.pl/index.php?dz=2&t=55&id=107

http://dobreprogramy.pl/index.php?dz=2&t=39&id=768

Sciągnij nową wersję HijackThis: http://www.tomcoyote.org/hjt/

:x-mas: