Może to i błahe,ale proszę o pomoc


(Szczepanos) #1

No właśnie,łączę się z siecią przez modem, ale i tak złapałem wirusa trojan.download i full malwaru,głównie CWS(HOMEOLDSP).Usunąłem dużo przy pomosy AdAware,CW shreddera i HiJacka.Pozostał jeden problem mianowicie co jakiś czas system chce się łączyć z jakąś stroną w necie,a że jest odłączone połączenie, to męczy mnie:"Strona jest nieosiągalna,pozostań offline"...

Aha wcześniej odinstalowałem IE, a zainstalowałem Modzillę.

mój log HiJack:

Logfile of HijackThis v1.99.1

Scan saved at 09:43:10, on 2005-03-15

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\atievxx.exe

C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\ctfmon.exe

C:\programy\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Name - {198EE985-531B-4CFC-9B2D-465B027A210D} - C:\WINDOWS\System32\msthi.dll

O2 - BHO: Name - {1FEDCAB1-D3F6-441D-BBCF-1FA6AA07F31B} - C:\WINDOWS\System32\msthi.dll

O2 - BHO: Name - {29340E59-A326-4A7F-BB4D-C7DA4BC2F924} - C:\WINDOWS\System32\msthi.dll

O2 - BHO: Name - {570DFCF5-4D79-4B04-9622-C372BDF962E0} - C:\WINDOWS\System32\msthi.dll

O2 - BHO: Name - {87FD8803-CE56-4F79-9D42-E7FCD5A097E4} - C:\WINDOWS\System32\msthi.dll

O2 - BHO: Name - {9206D302-9233-44D4-9B4F-F4E1915BCED7} - C:\WINDOWS\System32\msthi.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\docntrop.dll

O4 - HKLM..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe

O4 - HKLM..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe

O4 - HKLM..\Run: [security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

podejrzewam to F2,ale po usunieciu przez HiJacka(też w trybie awaryjnym),powraca po ponownym uruchomieniu kompa,a usunięte nie usuwa problemu.

z góry dzięki za pomoc.

pozdrawiam#braav


(Musg) #2

uuuuuu :frowning:

to nie byla dobra decyzja

usun jeszcze w sposob jak napisales

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\docntrop.dll


O4 - HKLM..\Run: [MSN Messenger] C:\WINDOWS\System32\msmsgs.exe

i jesli nie uzywasz messengera to go wywal tym progsem

http://xp-antispy.org/index.php?option= ... mirrorid=6

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

msmsgs.exe-tego nie powinno byc w tym wpisie wiec wywal f2

do usuniecia rowniez

O2 - BHO: Name - {198EE985-531B-4CFC-9B2D-465B027A210D} - C:\WINDOWS\System32\msthi.dll

O2 - BHO: Name - {1FEDCAB1-D3F6-441D-BBCF-1FA6AA07F31B} - C:\WINDOWS\System32\msthi.dll

O2 - BHO: Name - {29340E59-A326-4A7F-BB4D-C7DA4BC2F924} - C:\WINDOWS\System32\msthi.dll

O2 - BHO: Name - {570DFCF5-4D79-4B04-9622-C372BDF962E0} - C:\WINDOWS\System32\msthi.dll

O2 - BHO: Name - {87FD8803-CE56-4F79-9D42-E7FCD5A097E4} - C:\WINDOWS\System32\msthi.dll

O2 - BHO: Name - {9206D302-9233-44D4-9B4F-F4E1915BCED7} - C:\WINDOWS\System32\msthi.dll

scanujesz system i dajesz raz jeszcze log


(Comend@nte) #3

Wyszukaj na dysku ten plik - msmsgs.exe ale usun z kazdej innej lokalizacji niz C:\Program Files\Messenger


(Kuz5) #4

Zainstaluj sp2

Kosmetycznie możesz wyłączyć CTFMON.EXE: Panel sterowania => Opcje regionalne=> Języki => Szczegóły => Zaawansowane => zaznaczasz wyłącz zaawansowane usługi tekstowe


(Misterdam) #5

Nie wiem może niedowidzę, ale gdzie masz antywira i firewalla? Gdzie łaty?


(Damian) #6

Przeskanuj komputer dodatkowo tym:

http://www.mks.com.pl/baza.html?show=de ... n&&id=2854

http://nowe.pl/modules/mydownloads/visi ... =1&lid=719


(Misterdam) #7

Jak masz jakiegoś np downloadera to nie ma dziwu, że po każdym łączeniu masz nowe śmieci. To że łączysz się przez modem nie zwalnia od tego żeby komputer był nie zabezpieczony, poza tym nie masz żadnego SPacka co jeszcze bardziej umniejsza twoje szanse w walce z tymi śmieciami.


(Szczepanos) #8

>musg:dzięki,ale:

ok.zrobiłem,co radziłeś,no i usunąłem msmsgs.exe,siedział w windows/system32,i wróciłem do IE, sprawa się powtarza,wciąż próbuje się łączyć,log teraz wygląda:

Logfile of HijackThis v1.99.1

Scan saved at 17:26:14, on 2005-03-15

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\atievxx.exe

C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\programy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

F2 - REG:system.ini: Shell=explorer.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM..\Run: [LWBMOUSE] C:\Program Files\iWare\iWare Mouse\3.2\lwbwheel.exe

O4 - HKLM..\Run: [security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000


(Comend@nte) #9

Log juz czysty, co to za strona ??

Mozesz właczyc w tym czasie neta i sprawdzic ??


(Szczepanos) #10

>Comend@ante:

Łączy z okienkiem(nie stroną) o treści "Apply for loan online" kiedy klikam na "apply", pojawia się strona z wynikami szukania:

http://www.instantsearch.cc/search.php? ... 14&qq=loan


(Comend@nte) #11

Musze Ci powiedziec ze skadś to znam bo gdzies widziałem. W logu nie widac ale poszukaj na dysku pliku popuper.exe i jesli bedzie to wywal.

Pewny nie jestem bo w tym momecie nie moge tego zweryfikować, po południu bede wiedział prawie na pewno


(Musg) #12

wyglada mi to na konto studenckie w citibanku.Znasz cos takiego?Moze instalowales cos w tym stylu?


(Szczepanos) #13

TAK.to był popupper.exe.siedział w C:\WINDOWS.poszedł w diabły i problem wydaje się byc z głowy.jak na razie nie odzywa się już próba połączenia. :smiley:

Dzięki Commend@nte i musg.duch Che wiecznie żywy :evil: :evil:

pozdrawiam


(Musg) #14

koniecznie zainstaluj sp2 jak juz masz czysty log +firewall+program antywirusowy

http://www.dobreprogramy.pl/index.php?dz=1&t=30

http://www.dobreprogramy.pl/index.php?dz=1&t=55

poczytaj sobie i cos wybierz


(Comend@nte) #15

No udało sie utrafić, pamiec mnie nie zawiodła :slight_smile:

Poszukaj jeszcze na dysku jakis backupow tego pliku bo lubia sie tez pałetac. popuper_bak lub cos w tym stylu.

Che tu tylko sprzata :wink: