Izulcia
(Izabela Szostak)
23 Wrzesień 2005 17:32
#1
Witam, jest to kontynuacja tego tematu http://forum.dobreprogramy.pl/viewtopic … 529#335529
Dodam ze Avast caly czas blokuje DCOM exploit, a ZA udalo sie zainstalowac.
Logfile of HijackThis v1.99.1
Scan saved at 19:31:50, on 2005-09-23
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\x\Pulpit\wwdc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Documents and Settings\x\Moje dokumenty\izulcia@neostrada.pl\hijackthis1\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127379531178
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CAB18B5-7ED6-44EA-9E1D-C0F17B0CADEA}: NameServer = 194.204.159.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F4EACE9-CD4B-4093-9B32-23BBEEB79F4B}: NameServer = 194.204.152.34 217.98.63.164
O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Diablos
(123448)
23 Wrzesień 2005 17:40
#2
te rzeczy fiksujesz w trybie awaryjnym z wyłączonym przywracaniem systemu:
znasz tą aplikacje? jak nie to usuń
reszta logu jest ok.
BTW
jak blokuje to dobrze. nie obawiaj się
a przeglądasz jakieś strony które potencjalnie mogą być zawirusowane? lub coś w tym stylu? dostajesz mail`e od osób których nie znasz.
kiedy ostatnio skanowałaś system antywirem?
detektyw
(Qbek50)
23 Wrzesień 2005 17:44
#3
Wyłącz przywracanie systemu:
Mój komputer -> Właściwości-> Przywracanie systemu -> Wyłącz przywracanie systemu na wszystkich dyskach i zaptaszczasz wszystko
Reset budy - wchodzisz w tryb awaryjny
F8 przy startowaniu trzymasz i z menu wybierasz tryb awaryjny.
W hijacku poprzez Fix Checked kasujesz wpisy:
kosmetycznie mozesz wyłączyć w autostarcie:
Start - Uruchom -> wpisujesz “msconfig” i w zakładce uruchamianie odchaczasz:
Messengera jak nie używasz usuwasz tym:
http://www.amnezja.org/modules.php?name … e&sid=1014
Złączono Posta : 23.09.2005 (Pią) 19:44
po co to ma usuwać ? :?
Diablos
(123448)
23 Wrzesień 2005 17:45
#4
detektyw:
po co to ma usuwać ?
naprawiłem swój błąd i zedytowałem post zanim dołączyłeś posta
Izulcia
(Izabela Szostak)
23 Wrzesień 2005 17:55
#5
A jakie to sa strony? Nie otwieram stron XXX :oops:
Maile sprawdzam przez www.
Ostatnio dosyc czesto uzywalam antywirusow, po powrocie kompa z serwisu tylko Avasta i Spybota.
Zaraz usune podane wpisy.
Dziekuje za dotychczasowa pomoc
Diablos
(123448)
23 Wrzesień 2005 18:01
#6
strony xxx nie tylko mogą mieć szkodliwy kod w sobie :roll:
inne “egzotyczne” odnośniki do których przez przypadek się wejdzie mogą również być nie przyjemne.
http://forum.dobreprogramy.pl/viewtopic … 529#335529 - na tej stronie napisałaś że nie masz problemów z portami. chodzi mi o ten cytat:
wg mnie ten program jest zbędny a najlepszym rozwiązaniem blokującym otwarte porty które nie nadają się do niczego i mogą być złe w skutakach zablokuje firewall. a ja nie widze żebyś korzystała w tej chwili z firewalla. polecam Kerio lub Outpost.
Izulcia
(Izabela Szostak)
24 Wrzesień 2005 11:22
#7
Wszystko wrocilo do normy. Dziekuje za pomoc. Pozdrawiam, w razie czego jeszcze tu wroce :lol:
EDIT: Juz wrocilam. Okazalo sie, ze panda wykryla pare rzeczy. Wiekszosc udalo sie usunac w trybie awaryjnym. Oto log z ostatniego skanu Panda (tlen juz odinstalowany, a poprzednio zostal usuniety tool2.exe, teraz przenioslo sie na tool1):
Adware:adware/cws.searchmeup Nie wyleczalny C:\WINDOWS\tool1.exe
Adware:adware/savenow Nie wyleczalny Windows Registry
Adware:Adware/DoZa Nie wyleczalny C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl
Adware:Adware/WUpd Nie wyleczalny C:\RECYCLER\S-1-5-21-583907252-746137067-1343024091-1003\Dc99.exe
kuz5
(Kuz5)
24 Wrzesień 2005 13:09
#8
Plik na czerwono usun recznie z dysku w trybie awaryjnym z wyłączonym przywracaniem
Wyczyść kosz
Wyczyść rejestr programem jv16 PowerTools
Opcje rejestru =>Klikamy “Czyszczenie rejestru” (opcja pokazana na na poniższym obrazku) następnie klikamy “Kontynuuj” po czym klikamy “Start” po tym jak program sprawdzi rejestr klikamy Wybierz => Wybór specjalny i klikamy “Pozycje które można bezpiecznie usunąć” i na koniec klikamy “Usuń”
Izulcia
(Izabela Szostak)
24 Wrzesień 2005 17:27
#9
Robie wszystko tak jak napisales. Wyswietlilo sie 1800 wpisow bezpiecznych do usuniecia, ale jak klikne ‘usun’ to nic sie nie dzieje. Dlaczego?
boczi
(boczi)
24 Wrzesień 2005 17:30
#10
Zaznaczyłaś wszystkie? (Ctrl+A)
Lub “zaptaszasz” wybrane.
Izulcia
(Izabela Szostak)
24 Wrzesień 2005 17:37
#11
Tak, wszystkie sa zaznaczone tak jak mowil kuz5 (Wybierz\wybor specjalny\pozycje ktore mozna bezpieczne usunac). Jak klikne ‘usun’ nic sie nie dzieje. Jak zaznacze jeden wpis, tez nie chce sie usunac…
boczi
(boczi)
24 Wrzesień 2005 17:41
#12
Spróbuj w trybie awarjnym [F8] w czasie bootowania komputera.
Lub pobierz nowszą wersję jv16 (z Vortalu, ta jest niestety tylko 30-dniowa) i sprawdź. PS - obsługa trochę inna - ale równie prosta.
Izulcia
(Izabela Szostak)
24 Wrzesień 2005 18:29
#13
Jest czysciutko, serdecznie dziekuje za pomoc. Pozdrawiam.