Win32/Dialed.PZ - jak usunąć?

defx · 22 Maj 2007 10:39

Witam!

Dziś NOD32 wykrył mi następującego trojana:

Win32/Dialed.PZ

jako ścieżka dostępu gdzie się znajduje podaje jakiś adres strony www, a jak usunę cookie i temp to pokazuje , ze wirus siedzi w Temporary InternetFiles… usunę całą zawartość i nic, znowu ten komunikat.

Procesów niemam żadnych dziwnych pouruchamianych

system: Win98SE

Bardzo proszę o szybką pomoc bo komp strrasznie muli:(

Joan · 22 Maj 2007 10:57

skan http://www.ewido.net/en/download/ po update, raport proszę. wklej logi HijackThis i SilentRunners

defx · 23 Maj 2007 09:10

Pousuwałem ręcznie pare rzeczy.

to zostało - oto log:

Logfile of HijackThis v1.99.1

Scan saved at 10:47:18, on 07-05-23

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\NOVELL\CLIENT32\NWRECMSG.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM FILES\ESET\NOD32KRN.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\ESET\NOD32KUI.EXE

C:\PROGRAM FILES\SERWER WYDRUKóW GRAFICZNYCH DLA CDN KLASYKA\RPWINKLA.EXE

C:\PROGRAM FILES\OPENOFFICE.ORG1.1.2\PROGRAM\SOFFICE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\TEMP\7ZOB030.TMP\HIJACKTHIS.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM…\Run: [internat.exe] internat.exe

O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM…\Run: [systemTray] SysTray.Exe

O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE

O4 - HKLM…\Run: [Tweak UI] RUNDLL32.EXE C:\WINDOWS\SYSTEM\TWEAKUI.CPL,TweakMeUp

O4 - HKLM…\Run: [Transparent] Trans.exe

O4 - HKLM…\Run: [WINWSA32] rundll32 WINWSA32.DLL,run

O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM…\RunServices: [schedulingAgent] mstask.exe

O4 - HKLM…\RunServices: [NOD32kernel] “C:\Program Files\Eset\nod32krn.exe”

O4 - HKLM…\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray

O4 - HKCU…\Run: [Dzieńdobry!] C:\PROGRAM FILES\VSD SOFTWARE\DZIEńDOBRY!\DZIENDOBRY.EXE /auto

O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Program Files\OpenOffice.org1.1.2\program\quickstart.exe

O4 - Startup: Skrót do RpWinKla.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.5.0_10\BIN\SSV.DLL

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAM FILES\JAVA\JRE1.5.0_10\BIN\SSV.DLL

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www5.incredimail.com/contents/se … loader.cab

O16 - DPF: {4723200F-7E63-423B-8FE3-6969DCEDC2D0} (EcodInitializerControl.EcodInitCtl) - https://www.ecod.pl/webapp/EcodInit.cab

O16 - DPF: {A7E929B7-AE94-4C38-9BD2-FF77237BCA97} (ECODFakturaCtl.ECODFaktura) - https://www.ecod.pl/webapp/ecodfaktura.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.204.152.34,194.204.159.1

Złączono Posta : 23.05.2007 (Sro) 11:12

Mam win98SE, a tamten program działa od win2000

Joan · 23 Maj 2007 15:06

usun ten plik z dysku w awaryjnym, wpis zafixuj, daj logi hijack + silentrunners