Wielka prośba o sprawdzenie

Caneri · 18 Luty 2005 10:29

Proszę o sprawdzenie.

Problem ze stroną startową /about blanl/ i z plikiem se.dll - anyvirenkit nie może go usunąć.

Logfile of HijackThis v1.99.1

Scan saved at 11:28:24, on 05-02-18

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRAM FILES\ANTIVIRENKIT\AVKWCTL9.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\ANTIVIRENKIT\AVKSERVICE.EXE

C:\PROGRAM FILES\ANTIVIRENKIT\AVK.EXE

C:\PROGRAM FILES\ANTIVIRENKIT\AVKPOP.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\PULPIT\BEZEPIECZEńSTWO\HT\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {7A648C61-7B6A-11D9-8F35-003041DC3713} - C:\WINDOWS\SYSTEM\GAAG.DLL (file missing)

O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM…\Run: [internat.exe] internat.exe

O4 - HKLM…\Run: [systemTray] SysTray.Exe

O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM…\Run: [soundMan] soundman.exe

O4 - HKLM…\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM…\Run: [AVKWCtl] C:\PROGRA~1\ANTIVI~1\AVKWCTL9.EXE

O4 - HKLM…\Run: [AVK Mail Checker] “C:\PROGRAM FILES\ANTIVIRENKIT\AVKPOP.EXE”

O4 - HKLM…\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM…\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM…\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

asterisk · 18 Luty 2005 10:58

Sprawdz w msconfig czy on nie jest dodany do autostartu.

Caneri · 18 Luty 2005 11:04

w autostarcie mam taką linijek

sp rundll32 C:\Windows|temp\se.dll,DllInstall

a HJT jest taka linijka

O4 - HKLM…\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

Bazant · 18 Luty 2005 11:10

Log chyba czysty.

kuz5 · 18 Luty 2005 11:48

Mylisz sie

Usuń w trybie awaryjnym:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

Zrób update IE

Francuz · 18 Luty 2005 12:55

O4 - HKLM…\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

O2 - BHO: (no name) - {7A648C61-7B6A-11D9-8F35-003041DC3713} - C:\WINDOWS\SYSTEM\GAAG.DLL (file missing)

wykasuj

a dodatkowo zrób skan CWShrederem i

spyware doctorem dostępnym na http://www.download.com

Shark · 18 Luty 2005 13:54

Po pierwsze w trybie awaryjnym wyczyść katalog %TEMP%

Caneri · 18 Luty 2005 18:45

Jeszcze jedno pytanie czy to jest ten wirus?

http://wirusy.antivirenkit.pl/wirus/wirus.php?id=74

i czy usunięcie wpisów w HJT sugerowanych przez Francuz-a pomoże czy mam zrobić coś jeszcze (nie moge teraz usunąć bo sprawa dotyczy kompa urzędowego, sprawe zamknę dopiero w poniedziałek).

Za wszelką okazaną pomoc wielkie dzięki.

musg · 18 Luty 2005 19:54

Caneri · 21 Luty 2005 18:33

Już myślałem że się poddam

Skasowałem rejestry które wskazaliście

Przeskanowałem ad Aware

Nic

Wpisy i plik pojawiły się na nowo mimo iż nie byłem podłączony do neta

Pojawiły sie dodatkowe wpisy z plikiem acmd.dll

Uruchomiłem antywirusa z płyty skaował plik se.dll ale przy starcie systemu znowu się zainstalował o pliku acmd.dll nic nie wspomniał - a podejżewam że z niego instalował sie se.dll

Dopiero jak skasowałem pliki se.dll i acmd.dll hijacthisem (w zakładce config usuń pliki) i skasowałem wszystkie wpisy wymienione w topicu oraz związane z plikami to pomogło.

Wirus nazywa się StartPage.qr - Tak mi podano w GData - ale ich podpowiedzi na temat pozbycia się wirusa przez “Dodaj usuń programy - Search Asistent … -” kończyyły się komunkiatem “uninstall failed”.

Podejżewam że to jakaś nowa odmiana.

Uff…

WIELKIE DZIĘKI za wszelkie podpowiedzi

I dużo zdrowia w “Walce” z tym syfem

Pozdrawiam,