Wirus ;-\

musg · 8 Czerwiec 2005 16:20

tak czy siak bedziesz łapał wirusy i innych kolesi ,bo nie masz update windy sp2

brak krytycznych poprawek itd.

Zrob tak jak poradził boczi i bedzie dobrze.

zsm · 25 Lipiec 2005 15:29

proszę o sprawdzenie mi loga …

Logfile of HijackThis v1.99.1

Scan saved at 17:32:02, on 2005-07-25

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\qwerty\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

O4 - HKLM…\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda … 2292443435

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE

musg · 25 Lipiec 2005 15:33

no jest czysty,a cos cie gnebi nowego?

boczi · 25 Lipiec 2005 15:34

Log OK, czy masz jakiś problem z systemem? :?

Zainstaluj SP2.

Kosmetycznie skasuj:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

   	O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

   	O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Kosmetyka

MSN Messenger, jeśli nie używasz, usuń:

http://amnezja.org/modules.php?name=New … e&sid=4369

Start -> uruchom -> msconfig możesz odznaczyć :

nwiz.exe /install

zsm · 25 Lipiec 2005 15:49

eh, kurde … nie rozumiem mojego komputera ;/ … zrobiłem z jakas godzinę temu formata … było jak na razie wszytsko dobrze, nigdzie nawet nie wchodziłem w internet, ani nic nie instalowałem … wyłączył komputer … pozniej jak go włączyłem miałem juz znów tego samego wirusa co wcześniej ’ hellmsn ’ … no to go usunąłem tak jak wczesniej mi pisaliście, w trybie awaryjnym, wyłączyłem przywracanie systemu, ładnie wszytsko oczyściłem, w rejestrze równiez, miałem to samo co wcześniej … uruchomiłem ponownie komputer i znów mam tego samego wirusa ;/;/;/ … whyy ? ; (( … co mam zrobić ? ;/

boczi · 25 Lipiec 2005 15:55

Proponuję zainstalować firewall i SP2… Mogłeś zintegrować płytę XP z SP2.

Skan antywirusem z najnowszą bazą wirusów.

Skan skanerami online i programami ANTY.

Zainstaluj też Microsoft Antispyware.

Ściągnij najnowsze łatki na system: http://www.windowsupdate.com

Prawdopodobnie masz W32/Mytob.U.worm

http://www.pogotovie.pl/encyklopedia_de … rus_id=911

Wywal MSN Messenger!

I zobacz, czy masz taki plik jak:

C:\ HELLMSN.EXE

Jak będzie, usuń.

Oraz wyszukaj, czy jest: taskgmr.exe

nie mylić z taskmgr.exe!

musg · 25 Lipiec 2005 15:56

daj screna --czy to aby napewno ten sam wirus?

Złączono Posta : 25.07.2005 (Pon) 18:07

wejdz w start>>uruchom>>wpisz regedit wejdziesz w rejestr i sprawdz czy posiadasz takie wpisy w podanych ponizej lokalizacjach:

zsm · 25 Lipiec 2005 16:14

hm, firewall ? a gdzie mogę sciągnać to ? bo juz sp2 ściągam, bo mam sp1 … a ten skan z najnowszą bazą wirusów ? gdzie moge to znaleźć ? i gdzie tez moge znaleźć Microsoft Antispyware ? łatki zainstalowałem juz … no dokładnie mam tego samego wirusa jak napisałeś : http://img293.imageshack.us/my.php?image=wirus3ce.jpg ;/ … no i tez mam ten plik na dysku C i w tym ’ regedit ’ no, ale juz to raz usunąłem jak pisałem wczesnmiej w trybie awaryjnymi, z wyłączeniem systemu i znów to jest ? ;/

musg · 25 Lipiec 2005 16:23

daj dodatkowy log z:

http://www.silentrunners.org/

boczi · 25 Lipiec 2005 16:28

Twój Norton.

Skanery online i programy anty:

http://forum.dobreprogramy.pl/viewtopic.php?t=23036

Najnowszy MS Antiwspyware:

http://amnezja.org/modules.php?name=New … e&sid=5188

O przywracaniu systemu i awaryjnym:

http://www.searchengines.pl/phpbb203/in … pic=12510#

zsm · 25 Lipiec 2005 16:49

to chyba to ? ;p …

a co do skanowania to wziąłem szczepinkę i mi wykryło i skasowało … a swoim antywirusem to wykryłoi mi tego hellmsn …

“Silent Runners.vbs”, revision 39, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by “{++}”

Startup items buried in registry:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

“WINTASKS” = “taskgmr.exe” [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

“NvCplDaemon” = “RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup” [MS]

“NvMediaCenter” = “RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit” [MS]

“KernelFaultCheck” = “C:\WINDOWS\system32\dumprep 0 -k” [MS]

“ccApp” = ““C:\Program Files\Common Files\Symantec Shared\ccApp.exe”” [“Symantec Corporation”]

“AcctMgr” = “C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup” [“Symantec Corporation”]

“WINTASKS” = “taskgmr.exe” [null data]

“DownloadAccelerator” = “C:\PROGRA~1\DAP\DAP.EXE /STARTUP” [“SpeedBit Ltd.”]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{0000CC75-ACF3-4cac-A0A9-DD3868E06852}(Default) = “DAPHelper Class” [from CLSID]

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\DAP\DAPBHO.dll” [“Speedbit Ltd.”]

{BDF3E430-B101-42AD-A544-FADC6B084872}(Default) = “NAV Helper”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll” [“Symantec Corporation”]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

“{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania”

-> {CLSID}\InProcServer32(Default) = “deskpan.dll” [file not found]

“{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu”

-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”]

“{A70C977A-BF00-412C-90B7-034C51DA2439}” = “NvCpl DesktopContext Class”

-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\nvcpl.dll” [“NVIDIA Corporation”]

“{FFB699E0-306A-11d3-8BD1-00104B6F7516}” = “Play on my TV helper”

-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\nvcpl.dll” [“NVIDIA Corporation”]

“{1CDB2949-8F65-4355-8456-263E7C208A5D}” = “Desktop Explorer”

-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”]

“{1E9B04FB-F9E5-4718-997B-B8DA88302A47}” = “Desktop Explorer Menu”

-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”]

“{1E9B04FB-F9E5-4718-997B-B8DA88302A48}” = “nView Desktop Context Menu”

-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”]

HKLM\Software\Classes*\shellex\ContextMenuHandlers\

Symantec.Norton.Antivirus.IEContextMenu(Default) = “{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll” [“Symantec Corporation”]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

Symantec.Norton.Antivirus.IEContextMenu(Default) = “{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll” [“Symantec Corporation”]

Active Desktop and Wallpaper:

Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\

“Wallpaper” = “C:\WINDOWS\web\wallpaper\Idylla.bmp”

Enabled Screen Saver:

HKCU\Control Panel\Desktop\

“SCRNSAVE.EXE” = “C:\WINDOWS\System32\logon.scr” [MS]

Enabled Scheduled Tasks:

“Funkcja One Button Checkup pakietu Norton SystemWorks” -> launches: “C:\Program Files\Norton SystemWorks\OBC.exe /CUSTOM /SCHEDULE” [“Symantec Corporation”]

“Symantec NetDetect” -> launches: “C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE” [“Symantec Corporation”]

“Symantec Drmc” -> launches: “C:\Program Files\Common Files\Symantec Shared\SymDrmc.exe /CUSTOM /SCHEDULE” [null data]

“Norton AntiVirus - Skanuj komputer” -> launches: “C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exe /task:“C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus\Tasks\mycomp.sca”” [“Symantec Corporation”]

Winsock2 Service Provider DLLs:

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]

000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS]

000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\

“{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}” = “Norton AntiVirus” [from CLSID]

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll” [“Symantec Corporation”]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\

“{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}” = “Norton AntiVirus”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll” [“Symantec Corporation”]

“{62999427-33FC-4BAF-9C9C-BCE6BD127F08}” = “DAP Bar”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\DAP\DAPIEBar.dll” [empty string]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{669695BC-A811-4A9D-8CDF-BA8C795F261C}\

“ButtonText” = “Run DAP”

“Exec” = “C:\PROGRA~1\DAP\DAP.EXE” [“SpeedBit Ltd.”]

Running Services (Display Name, Service Name, Path {Service DLL}):

Norton Unerase Protection, NProtectService, “C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE” [“Symantec Corporation”]

NVIDIA Display Driver Service, NVSvc, “C:\WINDOWS\System32\nvsvc32.exe” [“NVIDIA Corporation”]

SAVScan, SAVScan, ““C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe”” [“Symantec Corporation”]

Speed Disk service, Speed Disk service, “C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE” [“Symantec Corporation”]

Symantec Event Manager, ccEvtMgr, ““C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe”” [“Symantec Corporation”]

Symantec Settings Manager, ccSetMgr, ““C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe”” [“Symantec Corporation”]

Usługa Auto Protect programu Norton AntiVirus, navapsvc, ““C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe”” [“Symantec Corporation”]

This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

The search for DESKTOP.INI DLL launch points on all local fixed drives

took 3 seconds.

The search for all Registry CLSIDs containing dormant Explorer Bars

took 9 seconds.

---------- (total run time: 33 seconds)

musg · 25 Lipiec 2005 16:58

jest ten wpis:

wejdz w rejestr(wiesz jak) i idziesz tą sciezka kolejno:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

,az dojdziesz do wpisu,bedzie tak wygladał w prawym oknie:

WINTASKS" = "taskgmr.exe

prawoklik–usun

reszta ok

zsm · 25 Lipiec 2005 17:08

he, ale jak wchodzę w rejestr to nie ma czegoś tam takiego jak ’ HKCU ’ … tylko mam poczatki takie : ’ HKEY ’ … a jak wisuję w ’ znajdź ’ to też nie wyszukuje … ;/ i co teraz ? ;/

musg · 25 Lipiec 2005 17:23

to to samo tylko skrotowo napisane (sorki za skrot)

zaczynasz od hkey current user a dalej tak samo jak tą sciezka:

*SOFTWARE\Microsoft\Windows\CurrentVersion\Run*

i znajdujesz wpis

zsm · 25 Lipiec 2005 17:33

no okay … usunąłem … a co z pozostałymi ? bo tez tam mam ? … i normalnie moge czy te w rejestrze tez trzeba w trybie awaryjnym ? a, i jeszcze jedno w trybie awaryjnym zwykłym czy z obsługą sieci ? czy to nie ma róznicy ? … a, i jeszcze jak mam wywalić: MSN Messenger!

HKEY_CURRENT_USER Software Microsoft OLE

WINTASK = taskgmr.exe

HKEY_LOCAL_MACHINE Software Microsoft OLE

WINTASK = taskgmr.exe

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run

WINTASK = taskgmr.exe

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run

WINTASK = taskgmr.exe

HKEY_CURRENT_USER SYSTEM CurrentControlSet Control Lsa

WINTASK = taskgmr.exe

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Lsa

WINTASK = taskgmr.exe

HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion RunService

WINTASK = taskgmr.exe

boczi · 25 Lipiec 2005 17:36

Jak pisałem - TYM, ale to nie sprawa priorytetowa.

musg · 25 Lipiec 2005 17:38

jak masz bo( nie wiem czy masz) to usuwasz dokladnie tak samo idac odpowiednimi sciezkami:

zablokuj go tym progsem:

http://www.amnezja.org/modules.php?name … =0&thold=0

i bedzie ok–wywalac nie trzeba

zsm · 25 Lipiec 2005 18:23

kur wa mać … ;/ no zrobiłem to wszytsko, wszytsko ładnie się usunęło i znów mam gooooooo ;/;/;/ … po prostu juz nie wiem co mam robić ? ;/;/;/

Kyniu6 · 25 Lipiec 2005 18:29

chłopok tu sie nie przeklina.

http://forum.dobreprogramy.pl/rules.php#0

musg · 25 Lipiec 2005 18:45

sprobuj jeszcze tego fixa:

http://securityresponse.symantec.com/av … mytbar.exe

i raz jeszcze po tym log:

http://www.silentrunners.org/