woroo
(Dami6)
3 Styczeń 2006 21:18
#1
cześć! piszę cos takiego pierwszy raz, wiec proszę o wyrozumiałość 'śli coś robię nie tak;)
problem (albo raczej zagwostkę) mam taki, że kilka dni temu miałem jakiegoś wirusa, trojana czy coś takiego, podczas przeglądania stron www Norton Antivirus zaczął wariować, nie mógł usuwać tych plików itp. no ale powyłączałem wszystko, wywaliłem Temporary Internet Files, przeskanowałem kompa Nortonem i nic nie znalazł. Następnego dnia zmieniła mi się strona startowa w przeglądarce (wiedziałem więc że coś jest nie tak) przeskanowałem kompa jeszcze raz Nortonem - nic nie wykrył; przeskanowałem programem Ad-aware - znalazł jakieś dwa “szkodliwe” wpisy to je wywaliłem; i przeskanowałem jeszcze Panda Antivirus Online - też nic nie znalazło. No i może już wszystko ok, ale dla pewności zrobiłem loga:
Logfile of HijackThis v1.99.1 Scan saved at 22:08:10, on 06-01-03 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\NISSERV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\NISUM.EXE C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\SYMPROXYSVC.EXE C:\WINDOWS\TASKMON.EXE C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\IAMAPP.EXE C:\PROGRAM FILES\LAVASOFT\AD-AWARE 6\AD-WATCH.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\AVERTV\AVERTV.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\HIJACK\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\PROGRAM FILES\DAP\DAPBHO.DLL O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM…\Run: [Resume copy] copyfstq.exe /startup O4 - HKLM…\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [iamapp] C:\Program Files\Norton Personal Firewall\IAMAPP.EXE O4 - HKLM…\Run: [Ad-watch] C:\PROGRAM FILES\LAVASOFT\AD-AWARE 6\Ad-watch.exe O4 - HKLM…\RunServices: [scriptBlocking] “C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe” -reg O4 - HKLM…\RunServices: [ccEvtMgr] “C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe” O4 - HKLM…\RunServices: [ccSetMgr] “C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe” O4 - HKLM…\RunServices: [nisserv] C:\Program Files\Norton Personal Firewall\NISSERV.EXE O4 - HKLM…\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = multicon.pl O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.254,81.219.100.1
nie znam się na tym więc pros ze o sprawdzenie czy wszystko tu jest ok, z góry dzięki. W szczególności zastanawiają mnie te wpisy przy R0 i R1 zawierające adres “http://lookfor.cc/sp.php?pin=28129 ”, nie wiem co to za adres, czy jego wysępowanie w tym miejscu jest normalne??
Pozdrawiam i z góry dzięki za pomoc;)
kacz2n
(Kacz2n)
3 Styczeń 2006 21:37
#2
W hijacku fix:
Katalog na czerwono do kasacji.
Po wszystkim nowy log.
Gutek
(Gutek)
3 Styczeń 2006 22:13
#3
kacz2n to nie jest dokładne sprawdzanie
zostaw to Download Accelerator Plus i jest OK - http://www.speedbit.com/DefaultT.asp ?
woroo
(Dami6)
3 Styczeń 2006 23:10
#4
zrobiłem fix dla tych wspomnianych, a ten DAP to jeszcze zostawiłem bo usuwając ten folder to chyba jak rozumiem wywalę sobie ten program (?),
czy może masz coś innego kacz2n na myśli mówiąc “kasacja”??
a po tym wszystkim mój log wyglada tak:
Logfile of HijackThis v1.99.1 Scan saved at 00:07:20, on 06-01-04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCSETMGR.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\NISSERV.EXE C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\NISUM.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\SYMPROXYSVC.EXE C:\WINDOWS\TASKMON.EXE C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAM FILES\NORTON PERSONAL FIREWALL\IAMAPP.EXE C:\PROGRAM FILES\HIJACK\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\PROGRAM FILES\DAP\DAPBHO.DLL O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAM FILES\DAP\DAPIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM…\Run: [Resume copy] copyfstq.exe /startup O4 - HKLM…\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [iamapp] C:\Program Files\Norton Personal Firewall\IAMAPP.EXE O4 - HKLM…\Run: [Ad-watch] C:\PROGRAM FILES\LAVASOFT\AD-AWARE 6\Ad-watch.exe O4 - HKLM…\RunServices: [scriptBlocking] “C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe” -reg O4 - HKLM…\RunServices: [ccEvtMgr] “C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe” O4 - HKLM…\RunServices: [ccSetMgr] “C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe” O4 - HKLM…\RunServices: [nisserv] C:\Program Files\Norton Personal Firewall\NISSERV.EXE O4 - HKLM…\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = multicon.pl O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.254,81.219.100.1
Gutek
(Gutek)
3 Styczeń 2006 23:15
#5
Już Ok, DAP zostaw kacz2n sie pomylił
woroo
(Dami6)
3 Styczeń 2006 23:23
#6
Wielkie dzięki za pomoc:)
kacz2n
(Kacz2n)
5 Styczeń 2006 09:56
#7
Czasmi też się mylę :oops: sorki