Exploit-MhtRedir.gen Co z tym zrobić?

[Gość: Johny]

Mój antywirus wykrył takiego drania przeniósł do kwarantanny ale stamtąd nie
da się ruszyć skurczybyk. Znacie sposób na niego? Na stronie:
vil.nai.com/vil/content/v_101202.htm
nie zamieścili nic informacji o nim. Może ktoś z was zna tego wirusa?

[Gość: e.111]

Gość portalu: Johny napisał(a):

> nie zamieścili nic informacji o nim. Może ktoś z was zna tego wirusa?
...to nie wirus a trojan.Zmien sobie narazie przegladarke na inna bo na
wykorzystana dziure w IE nie ma jeszcze patcha i bedziesz go co chwila lapal...
de.mcafee.com/virusInfo/default.asp?id=regional&continent_k=0&track_by=2&period_id=1

[netsec]

Spróbuj uruchomić komputer w trybie awaryjnym.
W kwarantannie jest opcja usuń, która powinna zadziałać w trybie awaryjnym.
McAfee zabronił dostępu tego pliku i stąd ten problem.
Zaktualizuj Mcafee do najnowszej wersji bazy 4351. Koniecznie zaktualizuj system
przez WindowsUpdate o krytyczne poprawki. Inaczej będziesz w kółko coś łapał .
Włącz firewall, a jeśli nie masz to zainstaluj.

[netsec]

Ta poprawka zabezpiecza przed atakiem tego intruza www.microsoft.com/technet/security/bulletin/ms04-013.mspx

[Gość: Johny]

Dzięki za rady. Udało mi się usunąć tego paskude (tryb awaryjny), ale coś nie
moge zaktualizować mcafee'go. Zatrzymuje się na pobieraniu engmin.zip i nic.
Czy to rzeczywiście musi tak długo trwać czy jednak jest jakiś błąd?

[netsec]

Ściągnij aktualizacje off line download.mcafee.com/updates/superDat.asp

[Gość: Johny]

No dobra ściągnąłem sobie ten plik i co dalej? McAfee sam się nie zaktualizował
automatycznie. Co powinienem zrobić? Może ci się wyda głupie to pytanie, ale
nie jestem wielkim znawcą komputerów.

[netsec]

Gość portalu: Johny napisał(a):

> No dobra ściągnąłem sobie ten plik i co dalej? McAfee sam się nie
> zaktualizowałautomatycznie. Co powinienem zrobić?
> Może ci się wyda głupie to pytanie, ale nie jestem wielkim znawcą komputerów.

Ściągnięty plik SDAT jest aktualizacją bazy wirusów i silnika dla programu Mcafee. Uruchom i zaktualizuj program antywirusowy. Po tym proponuje uruchomienie systemu w trybie awaryjnym i przeskanowanie wszystkich dysków.
Czy zainstalowałeś poprawkę z microsoft o której pisałem.
Zaktualizuj system w WindowsUpdate!

[Gość: Johny]

Zrobiłem jak radziłeś. McAfee się zaktualizował, wykrył jeszcze jednego wirusa,
ale go usunął, że nawet nie wiem jak się nazywał. Poprzez Windows Update
zainstalowałem 4 krytyczne poprawki, tylko nie umiem sobie poradzić z Outlook
Expressem. Podejrzewam, że trzeba wybrać do zainstalowania jeden z tych:
• Microsoft Outlook Express 5.5 SP2: Download the Update
• Microsoft Outlook Express 6: Download the Update
• Microsoft Outlook Express 6 SP1: Download the Update
• Microsoft Outlook Express 6 SP1 (64 bit Edition): Download the Update
• Microsoft Outlook Express 6 on Windows Server 2003: Download the Update
• Microsoft Outlook Express 6 on Windows Server 2003 (64 bit edition): Download
the Update
Sprawdzałem- mam Outlook Express 6. Zainstalowałem więc drugi z tej listy, ale
otwierając go krzyczy, że trzeba nmieć zainstalowany tenże. Co robić, znzczy że
to chyba inny muszę zainstalować, tylko który?

[netsec]

Sprawdź wersje Internet Explorera w menu Pomoc => Internet Explorer -
Informacje.W zależności od wersji Internet Explorer’a, taką masz również wersje
Outlook Express. Jeśli masz najnowszego (zalecanego) Internet Explorer’a 6.0
SP1 to w linijce Wersje aktualizacji będziesz miał SP1. Inaczej zainstaluj IE
6.0 SP1 a potem wszystkie krytyczne aktualizacje z WindowsUpdate.

[Gość: Johny]

Muszę przyznać że znasz się na rzeczy. Wszystko zrobiłem jak należy, nie wiem
tylko czemu wciąż przy zamykaniu systemu wyskakuje dziwny komunikat: "błąd
sysupd.exe inicjowanie dll się nie powiodło". Nie wiesz o co może mu chodzić?

[netsec]

Gość portalu: Johny napisał(a):

> Muszę przyznać że znasz się na rzeczy. Wszystko zrobiłem jak należy, nie wiem
> tylko czemu wciąż przy zamykaniu systemu wyskakuje dziwny komunikat: "błąd
> sysupd.exe inicjowanie dll się nie powiodło". Nie wiesz o co może mu chodzić?

Ściągnij HijackThis 209.133.47.200/~merijn/files/HijackThis.exe
Loga z HijackThis daj na forum, zobaczymy co tam siedzi.

[Gość: Johny]

Nie za bardzo o jakie loga ci chodzi ale dam wszystko co skopiowało się do
notatnika:
Logfile of HijackThis v1.97.7
Scan saved at 10:35:27, on 2004-04-24
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Common Files\CMEII\CMESys.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\D-Link AirPlus\AirPlus.exe
C:\Program Files\Date Manager\DateManager.exe
C:\Program Files\Common Files\GMT\GMT.exe
C:\Program Files\PrecisionTime\PrecisionTime.exe
C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\sysupd.exe
C:\DOCUME~1\Janusz\Ustawienia lokalne\Temp\msbb.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
www.blazefind.com/search.php?search=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.onet.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
www.blazefind.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: TvmBho Class - {707E6F76-9FFB-4920-A976-EA101271BC25} -
C:\Program Files\TV Media\TvmBho.dll
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program
Files\TV Media\TvmBho.dll
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1
\iesearchbar\iesearchbar.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} -
C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -
C:\WINDOWS\Downloaded Program Files\bridge.dll
O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} -
c:\progra~1\iesearchbar\iesearchbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network
Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program
Files\bridge.dll",Load
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [msbb] C:\DOCUME~1\Janusz\Ustawienia lokalne\Temp\msbb.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common
Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ivuzql] C:\WINDOWS\ivuzql.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date
Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Program
Files\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program
Files\Microsoft Office\Office\1045\OLFSNT40.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .mpeg: C:\Program Files\Internet
Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) -
www2.flingstone.com/cab/2000XP/bridge.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[netsec]

Gość portalu: Johny napisał(a):

> Nie za bardzo o jakie loga ci chodzi ale dam wszystko co skopiowało się do
> notatnika:
> Logfile of HijackThis v1.97.7
> Scan saved at 10:35:27, on 2004-04-24
> Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
>
> Running processes:
> C:\WINDOWS\System32\smss.exe
> C:\WINDOWS\system32\winlogon.exe
> C:\WINDOWS\system32\services.exe
> C:\WINDOWS\system32\lsass.exe
> C:\WINDOWS\system32\svchost.exe
> C:\WINDOWS\System32\svchost.exe
> C:\WINDOWS\system32\spoolsv.exe
> C:\WINDOWS\Explorer.EXE
> C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
> C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
> C:\Program Files\Ahead\InCD\InCD.exe
> C:\Program Files\Common Files\CMEII\CMESys.exe
> C:\WINDOWS\System32\RunDll32.exe
> C:\Program Files\Messenger\msmsgs.exe
> C:\Program Files\D-Link AirPlus\AirPlus.exe
> C:\Program Files\Date Manager\DateManager.exe
> C:\Program Files\Common Files\GMT\GMT.exe
> C:\Program Files\PrecisionTime\PrecisionTime.exe
> C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
> C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
> C:\Program Files\Network Associates\VirusScan\Mcshield.exe
> C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
> C:\WINDOWS\System32\nvsvc32.exe
> C:\WINDOWS\sysupd.exe
> C:\DOCUME~1\Janusz\Ustawienia lokalne\Temp\msbb.exe
> C:\Program Files\Gadu-Gadu\gg.exe
> C:\Program Files\Internet Explorer\IEXPLORE.EXE
> C:\HijackThis.exe
>
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
> www.blazefind.com/search.php?search=%s
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
> www.onet.pl/
> R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
> www.blazefind.com
> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
> R3 - URLSearchHook: TvmBho Class - {707E6F76-9FFB-4920-A976-EA101271BC25} -
> C:\Program Files\TV Media\TvmBho.dll
> O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} -
C:\WINDOWS\bi.dl
> l
> O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
> Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
> O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program
> Files\TV Media\TvmBho.dll
> O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1
> \iesearchbar\iesearchbar.dll
> O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} -
> C:\WINDOWS\2_0_1browserhelper2.dll
> O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -
> C:\WINDOWS\Downloaded Program Files\bridge.dll
> O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} -
> c:\progra~1\iesearchbar\iesearchbar.dll
> O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
> C:\WINDOWS\System32\msdxm.ocx
> O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
> \NvCpl.dll,NvStartup
> O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
> O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
> O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network
> Associates\VirusScan\SHSTAT.EXE" /STANDALONE
> O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program
> Files\bridge.dll",Load
> O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
> O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
> O4 - HKLM\..\Run: [msbb] C:\DOCUME~1\Janusz\Ustawienia lokalne\Temp\msbb.exe
> O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network
Associates\Common
>
> Framework\UpdaterUI.exe" /StartedFromRunKey
> O4 - HKLM\..\Run: [ivuzql] C:\WINDOWS\ivuzql.exe
> O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
> O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
> O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
> O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
> O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
> O4 - HKCU\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
> O4 - Global Startup: D-Link AirPlus.lnk = ?
> O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date
> Manager\DateManager.exe
> O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
> O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
> Office\Office\OSA9.EXE
> O4 - Global Startup: PrecisionTime.lnk = C:\Program
> Files\PrecisionTime\PrecisionTime.exe
> O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program
> Files\Microsoft Office\Office\1045\OLFSNT40.EXE
> O9 - Extra button: Related (HKLM)
> O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
> O9 - Extra button: Messenger (HKLM)
> O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
> O12 - Plugin for .mpeg: C:\Program Files\Internet
> Explorer\PLUGINS\npqtplugin3.dll
> O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) -
> www2.flingstone.com/cab/2000XP/bridge.cab
> O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
> download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Uruchom HijackThis zrób SCAN i zaznacz pozycje jak niżej a potem Fix Checked.
Możesz spokojnie wykonać tę operacje, HijackThis wykonuje backup tych
zmian.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
www.blazefind.com/search.php?search=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
www.blazefind.com
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1
\iesearchbar\iesearchbar.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} -
C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} -
C:\WINDOWS\Downloaded Program Files\bridge.dll
O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} -
c:\progra~1\iesearchbar\iesearchbar.dll
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program
Files\bridge.dll",Load
O4 - HKLM\..\Run: [msbb] C:\DOCUME~1\Janusz\Ustawienia lokalne\Temp\msbb.exe
O4 - HKLM\..\Run: [ivuzql] C:\WINDOWS\ivuzql.exe
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) -
www2.flingstone.com/cab/2000XP/bridge.cab


Odszukaj plik hosts i sprawdź czy w nim jest tylko jeden wpis:
127.0.0.1 localhost
inne wpisy skasuj.
Czasami niektórzy wirusy modyfikują plik hosts, tym samym blokują dostęp
do niektórych stron z aktualizacjami i narzędziami antywirusowymi.
Teraz zrób restart komputera i uruchom ponownie HijackThis loga daj na forum.

Dodatkowo po restarcie z menu START => Uruchom wpisz %TEMP% i
skasuj wszystkie pliki, które można skasować.
Przed kasowaniem upewnij się, że masz włączone w Opcje folderów
pokazywanie ukrytych plików i folderów.

Daj znać jak poszło

+++
(o|o)
/--oOO--(_)--OOo--\
> Net |
\-----oOo-oOo-----/

[Gość: Johny]

Zrobiłem jak radziłeś, nie wiem tylko jak zlokalizować plik hosts o którym
pisałeś.
Oto nowe loga:

Logfile of HijackThis v1.97.7
Scan saved at 17:59:03, on 2004-04-24
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Common Files\CMEII\CMESys.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\sysupd.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\D-Link AirPlus\AirPlus.exe
C:\Program Files\Date Manager\DateManager.exe
C:\Program Files\Common Files\GMT\GMT.exe
C:\Program Files\PrecisionTime\PrecisionTime.exe
C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: TvmBho Class - {707E6F76-9FFB-4920-A976-EA101271BC25} -
C:\Program Files\TV Media\TvmBho.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program
Files\TV Media\TvmBho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network
Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common
Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date
Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Program
Files\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program
Files\Microsoft Office\Office\1045\OLFSNT40.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .mpeg: C:\Program Files\Internet
Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[netsec]

Gość portalu: Johny napisał(a):

> Zrobiłem jak radziłeś, nie wiem tylko jak zlokalizować plik hosts o którym
> pisałeś.

menu START => Wyszukaj => Pliki lub Foldery

[netsec]

Gość portalu: Johny napisał(a):

> Zrobiłem jak radziłeś, nie wiem tylko jak zlokalizować plik hosts o którym
> pisałeś.
> Oto nowe loga:
>
> Logfile of HijackThis v1.97.7
> Scan saved at 17:59:03, on 2004-04-24
> Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
> MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
>
> Running processes:
> C:\WINDOWS\System32\smss.exe
> C:\WINDOWS\system32\winlogon.exe
> C:\WINDOWS\system32\services.exe
> C:\WINDOWS\system32\lsass.exe
> C:\WINDOWS\system32\svchost.exe
> C:\WINDOWS\System32\svchost.exe
> C:\WINDOWS\system32\spoolsv.exe
> C:\WINDOWS\Explorer.EXE
> C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
> C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
> C:\Program Files\Ahead\InCD\InCD.exe
> C:\Program Files\Common Files\CMEII\CMESys.exe
> C:\WINDOWS\System32\RunDll32.exe
> C:\WINDOWS\sysupd.exe
> C:\Program Files\Messenger\msmsgs.exe
> C:\Program Files\D-Link AirPlus\AirPlus.exe
> C:\Program Files\Date Manager\DateManager.exe
> C:\Program Files\Common Files\GMT\GMT.exe
> C:\Program Files\PrecisionTime\PrecisionTime.exe
> C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
> C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
> C:\Program Files\Network Associates\VirusScan\Mcshield.exe
> C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
> C:\WINDOWS\System32\nvsvc32.exe
> C:\Program Files\Internet Explorer\IEXPLORE.EXE
> C:\HijackThis.exe
>
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
> www.onet.pl/
> R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
> R3 - URLSearchHook: TvmBho Class - {707E6F76-9FFB-4920-A976-EA101271BC25} -
> C:\Program Files\TV Media\TvmBho.dll
> O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
> Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
> O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program
> Files\TV Media\TvmBho.dll
> O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
> C:\WINDOWS\System32\msdxm.ocx
> O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
> \NvCpl.dll,NvStartup
> O4 - HKLM\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
> O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network
> Associates\VirusScan\SHSTAT.EXE" /STANDALONE
> O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
> O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
> O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network
Associates\Common
>
> Framework\UpdaterUI.exe" /StartedFromRunKey
> O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
> O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
> O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
> O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
> O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
> O4 - HKCU\..\Run: [TV Media] C:\Program Files\TV Media\Tvm.exe
> O4 - Global Startup: D-Link AirPlus.lnk = ?
> O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date
> Manager\DateManager.exe
> O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
> O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
> Office\Office\OSA9.EXE
> O4 - Global Startup: PrecisionTime.lnk = C:\Program
> Files\PrecisionTime\PrecisionTime.exe
> O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program
> Files\Microsoft Office\Office\1045\OLFSNT40.EXE
> O9 - Extra button: Related (HKLM)
> O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
> O9 - Extra button: Messenger (HKLM)
> O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
> O12 - Plugin for .mpeg: C:\Program Files\Internet
> Explorer\PLUGINS\npqtplugin3.dll
> O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
> download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



Uruchom ponownie HijackThis zrób SCAN i zaznacz pozycje jak niżej a potem Fix
Checked.

R3 - URLSearchHook: TvmBho Class - {707E6F76-9FFB-4920-A976-EA101271BC25} -
C:\Program Files\TV Media\TvmBho.dll
O2 - BHO: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Program
Files\TV Media\TvmBho.dll
O4 - HKLM\..\Run: [CMESys] "C:\Program Files\Common Files\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe
O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date
Manager\DateManager.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Program
Files\PrecisionTime\PrecisionTime.exe


Odinstaluj w Panelu Sterowania przez Dodaj/Usuń programy PrecisionTime i
DateManager. Obydwie zawierają aplikacje szpiegujące firmy Gator Corporation.
Chyba że musisz ich używać.
Sprawdź czy teraz McAfee się aktualizuje.

[netsec]

Zapomniałem jeszcze o jednym .W trybie awaryjnym znajdź i skasuj plik
C:\WINDOWS\sysupd.exe

[Gość: Johny]

Ok - przy wyszukiwaniu sysupd.exe znalazł mi dodatkowo jeszcze 1 plik -
sysupd.exe-3B2AF10B.pf - też go skasować?
PrecisionTime usunięte, nie da się usunąć DateManager - krzyczy, że nie moze
otworzyć Install.log.file
Przy wyszukiwaniu plików host mam problem - jak wpisuję w wyszukiwarce hosts
znajduje 2 pliki, a jak host ponad 60 i jeden wygląda jak folder - nazywa się
localhost, jest tam jakaś dłuższa ścieżka dostępu ale nigdzie nie widzę tych
cyferek
McAfee chyba się odblokował bo bez problemów zakończył aktualizację (choć już
miał najnowsze aktualizacje)
Aha jeszcze jedno, na dysku c: pojawiło się mnóstwo backupów (min. Date
Managera)- mogę to wszystko pousuwać?
Pozdrawiam

[netsec]

Gość portalu: Johny napisał(a):

> Ok - przy wyszukiwaniu sysupd.exe znalazł mi dodatkowo jeszcze 1 plik -
> sysupd.exe-3B2AF10B.pf - też go skasować?

Tak skasować

> PrecisionTime usunięte, nie da się usunąć DateManager - krzyczy, że nie moze
> otworzyć Install.log.file

Poźniej napisze jak to usunąć.

> Przy wyszukiwaniu plików host mam problem - jak wpisuję w wyszukiwarce hosts
> znajduje 2 pliki, a jak host ponad 60 i jeden wygląda jak folder - nazywa się
> localhost, jest tam jakaś dłuższa ścieżka dostępu ale nigdzie nie widzę tych
> cyferek

Prawidłowe pliki mają nazwę hosts i hosts.sam i są w
C:\windows\system32\drivers\etc
Folder HOST zostaw, narazie sprawdź wpisy w pliku hosts jak napisałem.
Powinien być tylko jeden wpis.

> McAfee chyba się odblokował bo bez problemów zakończył aktualizację (choć już
> miał najnowsze aktualizacje)

OK

> Aha jeszcze jedno, na dysku c: pojawiło się mnóstwo backupów (min. Date
> Managera)- mogę to wszystko pousuwać?

Raczej tak, przeskanuj jeszcze raz cały system McAfee.
Daj znać jak poszło ;)

[netsec]

Gość portalu: Johny napisał(a):

> PrecisionTime usunięte, nie da się usunąć DateManager - krzyczy, że nie moze
> otworzyć Install.log.file

Zainstaluj Ad-aware
download.com.com/redir?pid=10214379&merid=69274&mfgid=69274&edId=3&siteId=4&oId=3000-8022-
10214379&ontId=8022<ype=dl_dlnow&lop=link&dlrs=1&destUrl=%2F3001-8022-
10214379.html

Przed skanowaniem zrób Check for update

[netsec]

netsec napisał:

> Gość portalu: Johny napisał(a):
>
> > PrecisionTime usunięte, nie da się usunąć DateManager - krzyczy, że nie mo
> ze
> > otworzyć Install.log.file
>
> Zainstaluj Ad-aware
> download.com.com/redir?pid=10214379&merid=69274&mfgid=69274&edId=3&siteId=4&oId=3000-8022-
> 10214379&ontId=8022<ype=dl_dlnow&lop=link&dlrs=1&destUrl=%2F3001-8022-
> 10214379.html
>
> Przed skanowaniem zrób Check for update

Ten link do ad-aware zmieści się :)
download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=button

[Gość: Johny]

Zainstalowałem tego Ad-aware'a z ostatniego linku i co dalej? Czy on sam
automatycznie działa czy trzeba coś zrobić? Tak w ogóle to po co ten cały ad-
aware?
Piszesz żeby zrobić Check for update, ale gdzie?
Date Manager dalej nie chce się usunąć.

[netsec]

Gość portalu: Johny napisał(a):

> Zainstalowałem tego Ad-aware'a z ostatniego linku i co dalej? Czy on sam
> automatycznie działa czy trzeba coś zrobić?

Uruchom ad-aware na pierwszej stronie po prawej stronie masz
"Check for updates now" klikasz, pokaże się okienko i dalej Connect , później
potwierdzasz OK. Rozpocznie się ściganie aktualizacji, potrwa tylko chwile.
Aktualizacje kończysz klikając Finish. Powrócisz do poprzedniego okna w którym
uruchamiasz skanowanie START => NEXT (teraz ad-aware rozpocznie skanowanie)
Po zakończeniu skanowania "Scan Complete" klikasz Next.
Teraz ad-aware wyświetli listę intruzów do usunięcia, zaznacz każdą pozycje i
kliknij Next ,potwierdź usunięcie OK. Po tym powrócisz do pierwszego okna ad-
aware, możesz zamknąć okno

> Tak w ogóle to po co ten cały ad-aware?

Jest to obowiązkowy i najlepszy program do usuwania z systemu wszelkiego
rodzaju szpiegów, czyli tak zwanych spy-ware i ad-ware, które są instalowane
bardzo często wraz z programami P2P, jak na przykład KaZaA.

Jest to darmowa wersja podstawowa programu, która posiada kilka opcji
wyłączonych, co w zupełności nie przeszkadza w sprawnym oczyszczeniu systemu ze
śmieci.

Program automatycznie tworzy bezpieczną kopię usuwanych składników, które można
w każdej chwili przywrócić do systemu, jeśli zajdzie potrzeba. Skanuje
dokładnie wszystkie foldery dysku oraz rejestr w poszukiwaniu wszelkich znanych
szpiegów.

> Date Manager dalej nie chce się usunąć.

Czy wykonałeś wszystkie wcześniejsze zalecenia?

[Gość: Johny]

Ad-aware wykrył 146 robali. Date Manager sam zniknął - nie ma go już wśród
programów.
Netsec jesteś geniuszem - chyba wyleczyłeś mój komputer. Wielkie dzięki.
Czy teraz mój komputer jest dobrze zabezpieczony przed intruzami, czy muszę na
coś jeszcze zwrócić uwagę?
Pozdrowienia.

[netsec]

Gość portalu: Johny napisał(a):

> Netsec jesteś geniuszem - chyba wyleczyłeś mój komputer. Wielkie dzięki.
> Czy teraz mój komputer jest dobrze zabezpieczony przed intruzami, czy muszę
> na coś jeszcze zwrócić uwagę?

1. Regularnie sprawdzaj stan aktualizacji systemu przez WindowsUpdate.
2. Sprawdzaj czy Mcafee się aktualizuje.
3. Co pewien czas skanuj system zaktualizowanym Ad-Aware.
4. Zainstaluj dodatkowy firewall.
Zakładam, że wbudowany w XP firewall (zaporę) masz włączoną.

Powodzenia