Problem Windows NT 4.0 SP6a


(Su74) #1

Niedawno stwierdziłem na jednym z kompów w sieci, że coś zaczyna "świrować" :lol: Na pulpicie tworzy podwójne skróty oraz nie działa prawy przycisk myszy (w oknach zresztą też). Aktywny przycisk jest tylko w aplikacjach. Pada Antivirus scaner on-line znalazł mi coś takiego:

Incident Status Location

Adware:Adware/WinTools No disinfected C:\Program Files\Common Files\WinTools\WSup.exe

Adware:Adware/WinTools No disinfected C:\Program Files\Common Files\WinTools\WToolsA.exe

Adware:Adware/Ucmore No disinfected C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll

Adware:Adware/nCase No disinfected C:\WINNT\Downloaded Program Files\clientax.dll

Virus:Trj/Dropper.FQ Disinfected C:\WINNT\ms3.exe

Spyware:Spyware/BargainBuddy No disinfected C:\WINNT\system32\mac80ex.idf[msbe.dll]

Spyware:Spyware/BargainBuddy No disinfected C:\WINNT\system32\mac80ex.idf[uninstall.exe]

Spyware:Spyware/BargainBuddy No disinfected C:\WINNT\system32\mac80ex.idf[bargains.exe]

Spyware:Spyware/BargainBuddy No disinfected C:\WINNT\system32\msbe.dll

Adware:Adware/ExactSearch No disinfected C:\WINNT\system32\netut80ex.vxd[exdl.exe]

Adware:Adware/ExactSearch No disinfected C:\WINNT\system32\netut80ex.vxd[mqexdlm.srg]

Adware:Adware/ExactSearch No disinfected C:\WINNT\system32\netut80ex.vxd[exclean.exe]

Adware:Adware/Ucmore No disinfected C:\WINNT\ucmoreiex.exe

co mam zrobić????????

Załączam jeszcze log z hijacka

Logfile of HijackThis v1.99.1

Scan saved at 09:51:28, on 2005-04-20

Platform: Windows NT 4 SP6 (WinNT 4.00.1381)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\spoolss.exe

C:\Program Files\Borland\InterBase\bin\ibguard.exe

C:\WINNT\system32\RpcSs.exe

C:\WINNT\system32\tapisrv.exe

C:\WINNT\system32\rasman.exe

C:\WINNT\system32\MSTask.exe

C:\Program Files\Borland\InterBase\bin\ibserver.exe

C:\WINNT\System32\nddeagnt.exe

C:\WINNT\Explorer.exe

C:\WINNT\System32\ddhelp.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\TEMP\Rar$EX03.500\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:21;gopher=192.168.0.1:8080;http=192.168.0.1:6588;https=192.168.0.1:6588;socks=192.168.0.1:1080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O13 - WWW. Prefix: http://

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {EE8B6D5F-FEF2-11D0-B13F-00A024798EF3} (Microsoft Search Settings Control) - http://lg.home.microsoft.com/search/lob ... ttings.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 194.204.159.1 194.204.152.34

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 194.204.159.1 194.204.152.34

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 194.204.159.1 194.204.152.34

O20 - Winlogon Notify: drct16 - drct16.dll (file missing)

O23 - Service: ArcaBit NetMonitor (ABNetMon) - Unknown owner - C:\Program Files\MkS_Vir\NetMonSV.exe (file missing)

O23 - Service: Serwer Wieloschowka (ClipSrv) - Unknown owner - C:\WINNT\system32\clipsrv.exe (file missing)

O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe

O23 - Service: OracleOUIHomeClientCache - Unknown owner - C:\OraHome1\BIN\ONRSD.EXE

Będę bardzo wdzięczny za pomoc. Nie chciał bym przeinstalowywać systemu bo to komputer księgowości i ma zbyt wiele programów z ciągłością baz danych (np. Budżet ST, Home Banking, itp.) a poza tym to już prawie zabytek muzealny :lol:

Z góry dziękuję za pomoc


(Damian) #2

Wykasuj wszystko co znalazła Ci Panda.

Potem:

Wchodzisz w tryb awaryjny i fixujesz w hijacku:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe

O13 - WWW. Prefix: http://

O20 - Winlogon Notify: drct16 - drct16.dll (file missing)

Takie cuś znasz ?? Jak nie to kosz

O23 - Service: Serwer Wieloschowka (ClipSrv) - Unknown owner - C:\WINNT\system32\clipsrv.exe (file missing)

Następnie skanujesz system skanerami:

:arrow: CWShredder 2.14

:arrow: Spybot - Search & Destroy 1.4 RC1 PL

:arrow: Ad-aware SE Personal 1.05

:arrow:PestPatrol

i kasujesz wszystko co wynajdą, ap otem wklejasz nowy log z Hijacka.


(Su74) #3

Bardzo dziękuję, tylko jak w win NT mam wejść do trybu awaryjnego?? Obawiam się że NT 4.0 nie ma awaryjnego.

Pozdrowionka