Problem z usunięciem CWS-wkleiłam log'a


(Krysiakuc) #1
  1. Najpierw przeczyściłam (darmowym antywirusem Spyware Doctor) swój komputer usunęłam jakieś ponad 3000 tysiące infekcji i przy okazji jakiś odpowiedzialny za internet. Bo go nie mam przy włączaniu systemu (mam WIN 98) włacza mi się komunikat o błędzie w odnalezieniu plik C:\PROGRAM~1\NEWDOT~1\NEWDOT~1.DLL (przeszukałam internet w poszukiwaniu informacji co to jest i niezbyt mi się to udało) Prosze o pomoc.

  2. Po przeskanowaniu "doktorem" pozostała mi tylko jedna infekcja wg tego programu o zagrożeniu WYSOKIM o takiej nazwie: CWS.Home Search Assistant. Jak to usunąć.

Był u mnie informatyk od internetu i stwierdził że połączenia z internetem (u nas droga radiową)jest wszystko w porządku a nie działa przegladarka i trzeba na nowo wgrać windowsa.


(Bbieniol) #2

Wrzuć zestaw logów - HijackThis + Silent Runners


(Leon$) #3

CWShredder - narzędzie do usuwania trojanów CWS

http://www.searchengines.pl/phpbb203/index.php?showtopic=14185&st=0entry65409

:slight_smile:


(Krysiakuc) #4

Złączono Posta : 03.10.2006 (Wto) 7:44

"Leon$ napisał CWShredder - narzędzie do usuwania trojanów CWS.

Ten program też już używałam i niestety nie zlikwidował on mi tego trojana. Przeczytałam oo nim w necie i niestety nie pomógł. Ale dziękuję.

Złączono Posta : 03.10.2006 (Wto) 7:58

Silent Runners - tego nie mogę uruchomić. Bo teraz jestem na innym komuterze a na moim nie ma neta a przy uruchamianiu tego programu on jest potrzebny. Można jakoś inaczej.

Złączono Posta : 03.10.2006 (Wto) 14:25

Sprawa przedstawia się następująco Mam wgrany 1 - Spyware Doctor - fajny bo wykrywa tego CWS. Ale nie może sobie z nim poradzić i nie usuwa. Ok. 2 - CWShredder - bomba przepuściłam program i on nie widzi tego konia. Dobra. 3 (informatyk) wgrał mi NOD32 - ale on też nie widzi problemu. Tak więc co dalej. Co prawda udało mi się w necie odnaleźć podobny post ale niestety nie udało się rozwiązać komus podobnego problemu (albo ja nie umiem czytać) :oops: . Nadal nie mam neta. Z góry dziękuję za jakąkolwiek pomoc


(Gutek) #5

Odpal LSP-Fix zaznacz “I know what I’m doing” następnie w okienku Keep zaznacz plik który chcesz usunąć newdotnet7_22.dll’ i za pomocą strzałki (>>) przenieś go do okienka Remover i kliknij Finish

w trybie awaryjnym usuń folder a wpisy HJT

Dodatkowo O15 może będzie stawiać opór więc ściągnij KillTrusted 0.7

EDIT: na prośbę Bieniola

usuń HJT


(Krysiakuc) #6
Logfile of HijackThis v1.99.1

Scan saved at 09:46:43, on 06-10-05

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v5.00 (5.00.2614.3500)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\PDESK\PDESK.EXE

C:\PROGRAM FILES\ESET\NOD32KUI.EXE

C:\PROGRAM FILES\SHARP\SHARPDESK\SHARPTRAY.EXE

C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE

C:\PSIWIN\PSCONSV.EXE

C:\PROGRAM FILES\OPENOFFICE.ORG1.1.1\PROGRAM\SOFFICE.EXE

C:\ARBIGO\DOSPRINT\DOSPRINT.EXE

C:\PSIWIN\ELOGERR.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\MOJE DOKUMENTY\WALKA Z WIRUSAMI\LOG\HIJACKTHIS\HIJACKTHIS.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk\PDesk.exe /Autolaunch

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe

O4 - HKLM\..\RunServices: [NOD32kernel] "C:\Program Files\Eset\nod32krn.exe"

O4 - HKCU\..\Run: [SharpTray] "C:\Program Files\Sharp\Sharpdesk\SharpTray.exe"

O4 - HKCU\..\Run: [Spyware Doctor] "C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE" /Q

O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1\program\quickstart.exe

O4 - Startup: PsiWin 2.3 Connection Server.lnk = C:\Psiwin\Psconsv.exe

O4 - Startup: Dosprint.lnk = C:\arbigo\DOSPRINT\DOSPRINT.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O15 - Trusted IP range: 81.222.131.59

O15 - Trusted IP range: 81.222.131.59 (HKLM)

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.204.159.1,10.20.1.1

[code]

Złączono Posta _: 05.10.2006 (Czw) 10:07_Po przeskanowaniu systemu NOD32 “C:WINDOWS\WIN386.SWP -error opening (file locked)[4] W notesie [4] File cannot be opened it may be in use by another applications or operating system. Po chwili następny komunikat “NOD 32 KUL Error occurred during communication with NOD32 kernel service” Spyware Doctor - nadal wykrywa infekcję CWS - CWS.Home Search Assistant Netu nadal nie mam. Proszę o dalsze instrukcje i pomoc. DZIĘKUJĘ Złączono Posta : 05.10.2006 (Czw) 14:51"Silent Runners.vbs”, revision 48, http://www.silentrunners.org/Operating System: Windows 98 Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “SharpTray” = ““C:\Program Files\Sharp\Sharpdesk\SharpTray.exe”” [null data] “Spyware Doctor” = ““C:\PROGRAM FILES\SPYWARE DOCTOR\SWDOCTOR.EXE” /Q” [“PC Tools Research Pty Ltd”] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “ScanRegistry” = “C:\WINDOWS\scanregw.exe /autorun” [MS] “TaskMonitor” = “C:\WINDOWS\taskmon.exe” [file not found] “SystemTray” = “SysTray.Exe” [MS] “LoadPowerProfile” = “Rundll32.exe powrprof.dll,LoadCurrentPwrScheme” [MS] “Zasobnik systemowy” = “SysTray.Exe” [MS] “Matrox Powerdesk” = “C:\WINDOWS\SYSTEM\PDesk\PDesk.exe /Autolaunch” [“Matrox Graphics Inc.”] “nod32kui” = ““C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE” ["Eset "] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++} “LoadPowerProfile” = “Rundll32.exe powrprof.dll,LoadCurrentPwrScheme” [MS] “SchedulingAgent” = “C:\WINDOWS\SYSTEM\mstask.exe” [file not found] “NOD32kernel” = ““C:\Program Files\Eset\nod32krn.exe”” [file not found] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{63542C48-9552-494A-84F7-73AA6A7C99C1}” = “OpenOffice Property Sheet Handler” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\PROGRAM FILES\OPENOFFICE.ORG1.1.1\PROGRAM\SHLXTHDL.DLL” [“Sun Microsystems, Inc.”] “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] “{3a9ae750-cf44-11cf-8835-0020afc04e78}” = “My Psion” -> {HKLM…CLSID} = “My Psion” \InProcServer32(Default) = “C:\PSIWIN\pw32expl.dll” [“Symbian Ltd.”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] NOD32 Context Menu Shell Extension(Default) = “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” -> {HKLM…CLSID} = “NOD32 Context Menu Shell Extension” \InProcServer32(Default) = “C:\Program Files\Eset\nodshex.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] NOD32 Context Menu Shell Extension(Default) = “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” -> {HKLM…CLSID} = “NOD32 Context Menu Shell Extension” \InProcServer32(Default) = “C:\Program Files\Eset\nodshex.dll” [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is enabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “C:\WINDOWS\Tapeta programu Internet Explorer.bmp” WIN.INI & SYSTEM.INI launch points: ----------------------------------- SYSTEM.INI [boot] “SCRNSAVE.EXE=C:\WINDOWS\YRIA.SCR” [null data] Startup items in “Startup” & “All Users…Startup” folders: ----------------------------------------------------------- C:\WINDOWS\Menu Start\Programy\Autostart “OpenOffice.org 1.1.1” -> shortcut to: “C:\Program Files\OpenOffice.org1.1.1\program\quickstart.exe” [null data] “PsiWin 2.3 Connection Server” -> shortcut to: “C:\Psiwin\Psconsv.exe” [“Symbian Ltd.”] “Dosprint” -> shortcut to: “C:\arbigo\DOSPRINT\DOSPRINT.EXE /TRAY” [“Alternet software”] Enabled Scheduled Tasks: ------------------------ “Rozpoczęcie aplikacji dostrajania” -> launches: “walign” [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “C:\WINDOWS\SYSTEM\rnr20.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: C:\WINDOWS\SYSTEM\imon.dll [null data], 01 - 07, 14 C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 08 C:\WINDOWS\SYSTEM\msafd.dll [MS], 09 - 11 C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 12 - 13 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ “MenuText” = “Sun Java Console” “CLSIDExtension” = “{08B0E5C0-4FCB-11CF-AAA5-00401C608501}” -> {HKLM…CLSID} = “Web Browser Applet Control” \InProcServer32(Default) = “C:\WINDOWS\SYSTEM\MSJAVA.DLL” [MS] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\Version = (invalid data) The Internet Explorer version cannot be found! C:\WINDOWS\INF\IERESET.INF (used to “Reset Web Settings”) The contents of IERESET.INF cannot be reliably checked! Added lines (compared with English-language version): [strings]: START_PAGE_URL = “http://www.eu.microsoft.com/poland/” [strings]: SEARCH_PAGE_URL = “http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch” [strings]: SAFESITE_VALUE = “ie.search.msn.com” [strings]: MS_START_PAGE_URL = “http://www.eu.microsoft.com/poland/” Missing lines (compared with English-language version): [DeleteAutosearch.reg]: 1 line [strings]: 4 lines Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ PJL Language Monitor\Driver = “PJLMON.DLL” [MS] SHARP AL-1200(USB) series Language Monitor\Driver = “SC0CLMON.DLL” [“SHARP”] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer “No” at the first message box. ---------- (total run time: 19 seconds, including 12 seconds for message boxes)


(Bbieniol) #7

Do usunięcia te wpisy:

Co do tych:

To potraktuj je narzędziem KillTrusted (zlinkowany przez Gutek2222 w poście wyżej) :slight_smile:


(Krysiakuc) #8

"O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm" - TO UDAŁO I SIĘ USUNĄĆ.

NATOMIAST TYCH

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O15 - Trusted IP range: 81.222.131.59

O15 - Trusted IP range: 81.222.131.59 (HKLM)

ZA ŻADNE SKARBY NIE MOGĘ.

Dostosowałam sie do usunięcia 015 KillTrusted 0.7 ale niestety nie moge go uruchomić z tej aplikacji występuje mi taki błąd w WIN RAR komunikaty diagnostyczne - “nieoczekiwany koniec archiwum”

Próbowałam użyć KillTrasted wersja konsolowa i podało mi to:

"“nieoczekiwany koniec archiwum”

“C:\Moje dokumenty\walka z wirusami\konsola\kt console. np: wieloczęściowe lub uszkodzone archiwum ZIP”

"Nie mogę wykonać “C:\windowsk\temp rar $EX00.945\KTconsole.exe”

I CO O TYM SĄDZICIE


(adam9870) #9

Tym, że nie mogłeś usunąć wpisów O14 się nie przejmuj bo to tylko kosmetyka :wink:

Wpisy O15 spróbuj skasować używając narzędzia SmitFraudFix. Skorzystaj w nim z opcji 3. Delete Trusted zone.


(Krysiakuc) #10

015 usunięte dziękuję, za wszelką pomoc.