Dodaj do ulubionych

Trojan.Secondthought.Ag

IP: *.internetdsl.tpnet.pl 11.10.04, 11:11
Witam, załapałem takiego trojana na dwóch plikach C:Win.\System32\2ndsrch.dll
i 2ndsrch(2) VIR, antywirus go nie wykrywa, nie wiem co mam z nim zrobić, na
google nic o nim nie ma. Pozdrawima
Obserwuj wątek
    • netsec Re: Trojan.Secondthought.Ag 11.10.04, 11:19
      Jeśli antywirus(jaki?) nie wykrywa, to skąd wiesz że te pliki to trojan?
      Jaki masz Windows?
      • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 11:26
        Ponieważ skanowałem online mks-em. Win.XP
    • netsec Re: Trojan.Secondthought.Ag 11.10.04, 11:26
      www.pestpatrol.com/pestinfo/other/2nd_thought.asp
      Dodatkowo ściągnij i zainstaluj Ad-Aware SE Personal Edition v1.05
      Pobieranie najnowszej wersji:
      www.download.com/3000-2144-10045910.html
      Przeskanuj Ad-Aware cały system.
      W celu zapewnienia maksymalnej skuteczności programu,
      należy przed skanowaniem wykonać aktualizacje bazy wykrywania.
      W trakcie uruchamiania skanowania, należy w zakładce
      "Preparing System Scan" wybrać "Perform full system scan".

      Po zakończeniu skanowania pojawi się lista obiektów do usunięcia.
      Każdą z pozycji należy zaznaczyć(haczykiem) a po zaznaczeniu
      wszystkich należy kliknąć Next, zaznaczone obiekty zostaną usunięte.
      • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 11:27
        Oki, tak zrobię
      • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 13:48
        No i pojawiła się lista obiektów do usunięcia i usunąłem jak zalecałeś, tylko
        że teraz nie mogę się połączyć z netem.
        • netsec Re: Trojan.Secondthought.Ag 11.10.04, 14:15
          Wykonałeś restart komputera po usunięciu?
          • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 14:41
            Wykonałem i nadal nie działa net.
          • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 14:42
            Wykonałem i dalej net nie chodzi.
            • netsec Re: Trojan.Secondthought.Ag 11.10.04, 14:54
              W takim razie przywróć pliki z kwarantanny.
              W główny ekranie Ad-aware "Open quarantine list", wybierasz kolejno pozycje
              które zostały tam dziś przeniesione i prawym klawiszem myszki klikasz "Restore
              Selected".
              Jeśli bedzie to możliwe to wklej log z HiJackThis.
              • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 15:15
                OKi
                • netsec Re: Trojan.Secondthought.Ag 11.10.04, 15:31
                  ale co OKI, działa czy nie?
                  • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 15:47
                    Oki, że tak zrobię.
                    Wstawiam tego Hijacka


                    Logfile of HijackThis v1.98.2
                    Scan saved at 15:42:36, on 2004-10-11
                    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                    Running processes:
                    C:\WINDOWS\System32\smss.exe
                    C:\WINDOWS\system32\winlogon.exe
                    C:\WINDOWS\system32\services.exe
                    C:\WINDOWS\system32\lsass.exe
                    C:\WINDOWS\system32\svchost.exe
                    C:\WINDOWS\System32\svchost.exe
                    C:\WINDOWS\Explorer.EXE
                    C:\WINDOWS\system32\spoolsv.exe
                    C:\WINDOWS\SOUNDMAN.EXE
                    C:\WINDOWS\System32\igfxtray.exe
                    C:\WINDOWS\System32\hkcmd.exe
                    C:\Program Files\QuickTime\qttask.exe
                    C:\Program Files\DrWeb\DRWEBSCD.EXE
                    C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
                    C:\Program Files\DrWeb\spiderml.exe
                    C:\PROGRA~1\DrWeb\spidernt.exe
                    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
                    C:\Program Files\iTunes\iTunesHelper.exe
                    C:\Program Files\Messenger\msmsgs.exe
                    C:\Program Files\DrWeb\SpiderNT.exe
                    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
                    C:\Program Files\OpenOffice.org1.1.1\program\soffice.exe
                    C:\Program Files\iPod\bin\iPodService.exe
                    C:\WINDOWS\system32\wuauclt.exe
                    C:\Program Files\Internet Explorer\iexplore.exe
                    A:\HijackThis.exe

                    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                    www.gazeta.pl/0,0.html
                    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                    www.srch-results.com/quicksearch.asp?keyphrase=
                    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
                    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                    R3 - URLSearchHook: SearchHook Class - {41B7B291-143E-43A1-9CCF-91655DFDE60F} -
                    C:\WINDOWS\System32\oakum.dll
                    O2 - BHO: VoiceIPObj Class - {00000250-0320-4DD4-BE4F-7566D2314352} -
                    C:\WINDOWS\VoiceIP.dll
                    O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                    Files\MyWay\myBar\1.bin\MYBAR.DLL
                    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                    C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
                    O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
                    C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
                    O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                    Files\MyWay\myBar\1.bin\MYBAR.DLL
                    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
                    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
                    O4 - HKLM\..\Run: [Reminder for Calendar 1.0] C:\Program Files\Kalendarz 1.0
                    beta\reminder.exe autodetect
                    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                    atboottime
                    O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
                    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04
                    \bin\jusched.exe
                    O4 - HKLM\..\Run: [cbwau] C:\WINDOWS\cbwau.exe
                    O4 - HKLM\..\Run: [srcpp32] C:\WINDOWS\srcpp32.exe
                    O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
                    O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
                    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone
                    Labs\ZoneAlarm\zlclient.exe"
                    O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
                    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                    O4 - Startup: 12Ghosts Clip.lnk = C:\Program Files\12Ghosts\12clip.exe
                    O4 - Startup: 12Ghosts Startup.lnk = C:\Program Files\12Ghosts\12startup.exe
                    O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1
                    \program\quickstart.exe
                    O4 - Startup: PowerReg Scheduler.exe
                    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                    Office\Office\OSA9.EXE
                    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no
                    file)
                    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
                    00401C608501} - (no file)
                    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                    C:\Program Files\Messenger\msmsgs.exe
                    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
                    00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                    O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) -
                    www.ipix.com/download/ipixx.cab
                    O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
                    www.bph.pl/pi/components/SignActivX.cab
                    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                    skaner.mks.com.pl/SkanerOnline.cab
                    O17 - HKLM\System\CCS\Services\Tcpip\..\{37E412CC-4A33-4B10-8C6C-516CB61A5BBD}:
                    NameServer = 194.204.159.1
                    O17 - HKLM\System\CS1\Services\Tcpip\..\{37E412CC-4A33-4B10-8C6C-516CB61A5BBD}:
                    NameServer = 194.204.159.1
                    O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-
                    4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll

                    • netsec Re: Trojan.Secondthought.Ag 11.10.04, 17:11
                      Ściągnij CWShredder 1.59.1
                      www.softpedia.com/public/cat/10/17/10-17-150.shtml
                      Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
                      połączenia do Internetu.

                      Wyłącz przywracanie systemu.
                      support.microsoft.com/default.aspx?scid=kb;pl;310405
                      Uruchom komputer w trybie awaryjnym:
                      support.microsoft.com/default.aspx?scid=KB;PL;315222
                      Po uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

                      Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje:

                      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                      www.srch-results.com/quicksearch.asp?keyphrase=
                      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
                      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                      R3 - URLSearchHook: SearchHook Class - {41B7B291-143E-43A1-9CCF-91655DFDE60F} -
                      C:\WINDOWS\System32\oakum.dll
                      O2 - BHO: VoiceIPObj Class - {00000250-0320-4DD4-BE4F-7566D2314352} -
                      C:\WINDOWS\VoiceIP.dll
                      O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                      Files\MyWay\myBar\1.bin\MYBAR.DLL
                      O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
                      C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
                      O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                      Files\MyWay\myBar\1.bin\MYBAR.DLL
                      O4 - HKLM\..\Run: [cbwau] C:\WINDOWS\cbwau.exe
                      O4 - HKLM\..\Run: [srcpp32] C:\WINDOWS\srcpp32.exe
                      O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
                      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no
                      file)
                      O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
                      00401C608501} - (no file)
                      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                      O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) -
                      www.ipix.com/download/ipixx.cab
                      O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-
                      4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll

                      Po zaznaczeniu wymienionych pozycji wykonaj FIX CHECKED i potwierdź TAK/OK.

                      Przejdź do Panelu Sterowania => Dodaj/Usuń programy i odinstaluj
                      wszystkie programy, co do których nie masz pewności, że Ci są potrzebne.

                      Uruchom wcześniej ściągnięty CwShredder i kliknij FIX.
                      Pytania w trakcie działania programu, potwierdzaj TAK/OK.

                      Po zakończeniu działania CWShredder, uruchom komputer w normalnym sposób.

                      Dopisz jeszcze jeden serwer DNS 194.204.152.34 we właściwościach Twojego
                      połączenia do Internetu (Połączenie Lokalne)

                      Ponownie przeskanuj Ad-Aware cały system.

                      Po usunięciu "śmieci" w Ad-aware, uruchom komputer ponownie.

                      Zaktualizuj system o krytyczne poprawki zalecane przez Microsoft
                      www.windowsupdate.com
                      • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 09:56
                        Powiedz mi dlaczego trzeba usunąć, jakieś zbędne programy?
                        • netsec Re: Trojan.Secondthought.Ag 12.10.04, 10:40
                          > Powiedz mi dlaczego trzeba usunąć, jakieś zbędne programy?

                          Programy które instalują się bez Twojej wiedzy czasami wykorzystując "dziury" w
                          systemie czasami pojawiają się w również w Dodaj/Usuń programy.
                          Część z nich podmienia strony startowe a niektóre zawierają moduły szpiegujące.
                          Generalnie po co Ci programy których nie chciałeś i które mogą szpiegować Twoje
                          działania na komputerze.
                          Nawet te programy które są darmowe mogą szpiegować, trzeba uważnie czytać przed
                          instalacją licencje na ich użytkowanie. Darmo nie zawsze znaczy rzeczywiści
                          darmo, przecież dla nas nasza prywatność jest chyba najcenniejsza .
                          • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 11:06
                            Faktycznie, masz rację. Co do tego co wczoraj mi zaleciłeś to zrobiłem to
                            wszystko:
                            "Ściągnij CWShredder 1.59.1
                            www.softpedia.com/public/cat/10/17/10-17-150.shtml
                            Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
                            połączenia do Internetu.

                            Wyłącz przywracanie systemu.
                            support.microsoft.com/default.aspx?scid=kb;pl;310405
                            Uruchom komputer w trybie awaryjnym:
                            support.microsoft.com/default.aspx?scid=KB;PL;315222
                            Po uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

                            Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje:

                            R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
                            www.srch-results.com/quicksearch.asp?keyphrase=
                            R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
                            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                            R3 - URLSearchHook: SearchHook Class - {41B7B291-143E-43A1-9CCF-91655DFDE60F} -
                            C:\WINDOWS\System32\oakum.dll
                            O2 - BHO: VoiceIPObj Class - {00000250-0320-4DD4-BE4F-7566D2314352} -
                            C:\WINDOWS\VoiceIP.dll
                            O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                            Files\MyWay\myBar\1.bin\MYBAR.DLL
                            O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} -
                            C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll
                            O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program
                            Files\MyWay\myBar\1.bin\MYBAR.DLL
                            O4 - HKLM\..\Run: [cbwau] C:\WINDOWS\cbwau.exe
                            O4 - HKLM\..\Run: [srcpp32] C:\WINDOWS\srcpp32.exe
                            O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
                            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no
                            file)
                            O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
                            00401C608501} - (no file)
                            O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
                            O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) -
                            www.ipix.com/download/ipixx.cab
                            O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0-
                            4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll

                            Po zaznaczeniu wymienionych pozycji wykonaj FIX CHECKED i potwierdź TAK/OK.

                            Przejdź do Panelu Sterowania => Dodaj/Usuń programy i odinstaluj
                            wszystkie programy, co do których nie masz pewności, że Ci są potrzebne.

                            Uruchom wcześniej ściągnięty CwShredder i kliknij FIX.
                            Pytania w trakcie działania programu, potwierdzaj TAK/OK.

                            Po zakończeniu działania CWShredder, uruchom komputer w normalnym sposób.

                            Dopisz jeszcze jeden serwer DNS 194.204.152.34 we właściwościach Twojego
                            połączenia do Internetu (Połączenie Lokalne)"

                            - do tąd, potem chciałem zeskanować Ad-awarem, ale przy próbie wyskakuje mi
                            komunikat "Zamykanie systemu" zarządzenie NT\System
                            • netsec Re: Trojan.Secondthought.Ag 12.10.04, 11:23
                              Czy możesz wkleić aktualnego loga z HiJackThis?
                              • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 11:40
                                Logfile of HijackThis v1.98.2
                                Scan saved at 11:37:50, on 2004-10-12
                                Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                                MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                                Running processes:
                                C:\WINDOWS\System32\smss.exe
                                C:\WINDOWS\system32\winlogon.exe
                                C:\WINDOWS\system32\services.exe
                                C:\WINDOWS\system32\lsass.exe
                                C:\WINDOWS\system32\svchost.exe
                                C:\WINDOWS\System32\svchost.exe
                                C:\WINDOWS\Explorer.EXE
                                C:\WINDOWS\system32\spoolsv.exe
                                C:\WINDOWS\SOUNDMAN.EXE
                                C:\WINDOWS\System32\igfxtray.exe
                                C:\WINDOWS\System32\hkcmd.exe
                                C:\Program Files\QuickTime\qttask.exe
                                C:\Program Files\DrWeb\DRWEBSCD.EXE
                                C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
                                C:\Program Files\DrWeb\spiderml.exe
                                C:\PROGRA~1\DrWeb\spidernt.exe
                                C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
                                C:\Program Files\Messenger\msmsgs.exe
                                C:\Program Files\DrWeb\SpiderNT.exe
                                C:\WINDOWS\system32\ZoneLabs\vsmon.exe
                                C:\Program Files\OpenOffice.org1.1.1\program\soffice.exe
                                C:\Documents and Settings\Małgorzata\Pulpit\HijackThis.exe

                                R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
                                www.gazeta.pl/0,0.html
                                O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                                C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
                                O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
                                O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
                                O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
                                O4 - HKLM\..\Run: [Reminder for Calendar 1.0] C:\Program Files\Kalendarz 1.0
                                beta\reminder.exe autodetect
                                O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
                                atboottime
                                O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
                                O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04
                                \bin\jusched.exe
                                O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
                                O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
                                O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone
                                Labs\ZoneAlarm\zlclient.exe"
                                O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
                                O4 - Startup: 12Ghosts Clip.lnk = C:\Program Files\12Ghosts\12clip.exe
                                O4 - Startup: 12Ghosts Startup.lnk = C:\Program Files\12Ghosts\12startup.exe
                                O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1
                                \program\quickstart.exe
                                O4 - Startup: PowerReg Scheduler.exe
                                O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                                Office\Office\OSA9.EXE
                                O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                                C:\Program Files\Messenger\msmsgs.exe
                                O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
                                00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                                O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
                                www.bph.pl/pi/components/SignActivX.cab
                                O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                                skaner.mks.com.pl/SkanerOnline.cab
                                O17 - HKLM\System\CCS\Services\Tcpip\..\{37E412CC-4A33-4B10-8C6C-516CB61A5BBD}:
                                NameServer = 194.204.159.1,194.204.152.34
                                O17 - HKLM\System\CS1\Services\Tcpip\..\{37E412CC-4A33-4B10-8C6C-516CB61A5BBD}:
                                NameServer = 194.204.159.1,194.204.152.34

                                • netsec Re: Trojan.Secondthought.Ag 12.10.04, 12:40
                                  W tym logu wszystko wyglada ok.
                                  Uruchom ponownie HiJackThis przejdź do Config później do Misc Tools i kliknij
                                  Generate StartupList log.
                                  Program zapyta czy wygenerować listę, potwierdź a zawartość listy wklej na forum.
                                  • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 13:25
                                    Proszę bardzo.

                                    StartupList report, 2004-10-12, 13:23:28
                                    StartupList version: 1.52.2
                                    Started from : C:\Documents and Settings\Małgorzata\Pulpit\HijackThis.EXE
                                    Detected: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                                    Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
                                    * Using default options
                                    ==================================================

                                    Running processes:

                                    C:\WINDOWS\System32\smss.exe
                                    C:\WINDOWS\system32\winlogon.exe
                                    C:\WINDOWS\system32\services.exe
                                    C:\WINDOWS\system32\lsass.exe
                                    C:\WINDOWS\system32\svchost.exe
                                    C:\WINDOWS\System32\svchost.exe
                                    C:\WINDOWS\Explorer.EXE
                                    C:\WINDOWS\system32\spoolsv.exe
                                    C:\WINDOWS\SOUNDMAN.EXE
                                    C:\WINDOWS\System32\igfxtray.exe
                                    C:\WINDOWS\System32\hkcmd.exe
                                    C:\Program Files\QuickTime\qttask.exe
                                    C:\Program Files\DrWeb\DRWEBSCD.EXE
                                    C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
                                    C:\Program Files\DrWeb\spiderml.exe
                                    C:\PROGRA~1\DrWeb\spidernt.exe
                                    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
                                    C:\Program Files\Messenger\msmsgs.exe
                                    C:\Program Files\DrWeb\SpiderNT.exe
                                    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
                                    C:\Program Files\OpenOffice.org1.1.1\program\soffice.exe
                                    C:\Documents and Settings\Małgorzata\Pulpit\HijackThis.exe

                                    --------------------------------------------------

                                    Listing of startup folders:

                                    Shell folders Startup:
                                    [C:\Documents and Settings\Małgorzata\Menu Start\Programy\Autostart]
                                    12Ghosts Clip.lnk = C:\Program Files\12Ghosts\12clip.exe
                                    12Ghosts Startup.lnk = C:\Program Files\12Ghosts\12startup.exe
                                    OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1
                                    \program\quickstart.exe
                                    PowerReg Scheduler.exe

                                    Shell folders Common Startup:
                                    [C:\Documents and Settings\All Users\Menu Start\Programy\Autostart]
                                    Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

                                    --------------------------------------------------

                                    Checking Windows NT UserInit:

                                    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
                                    UserInit = C:\WINDOWS\system32\userinit.exe,

                                    --------------------------------------------------

                                    Autorun entries from Registry:
                                    HKLM\Software\Microsoft\Windows\CurrentVersion\Run

                                    SoundMan = SOUNDMAN.EXE
                                    IgfxTray = C:\WINDOWS\System32\igfxtray.exe
                                    HotKeysCmds = C:\WINDOWS\System32\hkcmd.exe
                                    Reminder for Calendar 1.0 = C:\Program Files\Kalendarz 1.0 beta\reminder.exe
                                    autodetect
                                    QuickTime Task = "C:\Program Files\QuickTime\qttask.exe" -atboottime
                                    DrWebScheduler = "C:\Program Files\DrWeb\DRWEBSCD.EXE"
                                    SunJavaUpdateSched = C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
                                    SpIDerMail = "C:\Program Files\DrWeb\spiderml.exe"
                                    SpIDerNT = C:\PROGRA~1\DrWeb\spidernt.exe /agent
                                    Zone Labs Client = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

                                    --------------------------------------------------

                                    Autorun entries from Registry:
                                    HKCU\Software\Microsoft\Windows\CurrentVersion\Run

                                    MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background

                                    --------------------------------------------------

                                    Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

                                    Shell=*INI section not found*
                                    SCRNSAVE.EXE=*INI section not found*
                                    drivers=*INI section not found*

                                    Shell & screensaver key from Registry:

                                    Shell=Explorer.exe
                                    SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
                                    drivers=*Registry value not found*

                                    Policies Shell key:

                                    HKCU\..\Policies: Shell=*Registry key not found*
                                    HKLM\..\Policies: Shell=*Registry value not found*

                                    --------------------------------------------------


                                    Enumerating Browser Helper Objects:

                                    (no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx -
                                    {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

                                    --------------------------------------------------

                                    Enumerating Task Scheduler jobs:

                                    Oczyszczanie dysku.job

                                    --------------------------------------------------

                                    Enumerating Download Program Files:

                                    [QuickTime Object]
                                    InProcServer32 = C:\Program Files\QuickTime\QTPlugin.ocx
                                    CODEBASE = www.apple.com/qtactivex/qtplugin.cab

                                    [MSSecurityAdvisor Class]
                                    InProcServer32 = C:\WINDOWS\System32\mssecadv.dll
                                    CODEBASE = download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de-
                                    373c3e5552fc/msSecAdv.cab?1094199547156

                                    [SignActivX Control]
                                    InProcServer32 = C:\WINDOWS\DOWNLO~1\SIGNAC~1.OCX
                                    CODEBASE = www.bph.pl/pi/components/SignActivX.cab

                                    [Shockwave Flash Object]
                                    InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
                                    CODEBASE = download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

                                    [MainControl Class]
                                    InProcServer32 = C:\WINDOWS\System32\SkanerOnline.dll
                                    CODEBASE = skaner.mks.com.pl/SkanerOnline.cab

                                    --------------------------------------------------

                                    Enumerating Winsock LSP files:

                                    Protocol #16: C:\WINDOWS\system32\DRWEBSP.DLL
                                    Protocol #17: C:\WINDOWS\system32\DRWEBSP.DLL
                                    Protocol #18: C:\WINDOWS\system32\DRWEBSP.DLL
                                    Protocol #19: C:\WINDOWS\system32\DRWEBSP.DLL

                                    --------------------------------------------------

                                    Enumerating ShellServiceObjectDelayLoad items:

                                    PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
                                    CDBurn: C:\WINDOWS\system32\SHELL32.dll
                                    WebCheck: C:\WINDOWS\System32\webcheck.dll
                                    SysTray: C:\WINDOWS\System32\stobject.dll

                                    --------------------------------------------------
                                    End of report, 5 886 bytes
                                    Report generated in 0,485 seconds

                                    Command line options:
                                    /verbose - to add additional info on each section
                                    /complete - to include empty sections and unsuspicious data
                                    /full - to include several rarely-important sections
                                    /force9x - to include Win9x-only startups even if running on WinNT
                                    /forcent - to include WinNT-only startups even if running on Win9x
                                    /forceall - to include all Win9x and WinNT startups, regardless of platform
                                    /history - to list version history only
                                • netsec Re: Trojan.Secondthought.Ag 12.10.04, 14:35
                                  Ten log jest również ok.
                                  Czy coś się teraz dzieje, czy dalej jest problem z siecią?
                                  • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 15:11
                                    Problem jest taki, że sieć działa ponieważ nawet przy ikonce połączenia widać
                                    że połączenie jest, outlook działa, wysyła i odbiera pocztę, tylko że przy
                                    próbie wejścia na jakąś stronę, np. www.wp.pl, IE poszukuje końcówki czyli
                                    szuka com, net, otg itp a później wyświetla się hasło "Internet Explorer nie
                                    mógł otworzyć strony wyszukiwania"

                                    A te trojany widać tam gdzieś jeszcze?
                                    • netsec Re: Trojan.Secondthought.Ag 12.10.04, 16:02
                                      Czy jeśli wpiszesz pełny link www.onet.pl to strona otwiera się poprawnie?
                                      • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:04
                                        Nie otwiera się.
                                        • netsec Re: Trojan.Secondthought.Ag 12.10.04, 16:07
                                          Odinstaluj program DrWeb.
                                          • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:09
                                            a to coś da?
                                            • netsec Re: Trojan.Secondthought.Ag 12.10.04, 16:12
                                              Tu masz deinstalator tego smiecia www.2nd-thought.com/uninstall.html
                                              • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:25
                                                W awaryjnym to zrobić?
                                                • netsec Re: Trojan.Secondthought.Ag 12.10.04, 16:46
                                                  Ściagasz ten plik www.2nd-thought.com/files/uninstall.exe
                                                  i uruchamiasz, po tym trzeba wykonac restart komputera.
                                                  • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:51
                                                    Tak zrobiłem, wyskoczyło to hasło, kliknąłem ok, zrestartowałem kompa i dalej
                                                    nic.
                                                  • netsec Re: Trojan.Secondthought.Ag 12.10.04, 17:09
                                                    Czy jeśli zainstalujesz firefox (alternatywna przeglądarka)
                                                    prdownloads.sourceforge.net/mozillapl/FirefoxSetup-1.0PR-pl-PL.exe?download
                                                    to przegladanie stron www w niej działa.
                                                    Czy jeśli wyłączysz Windowsową zaporę to dalej przegladanie stron w IE nie działa?
                                                  • netsec Re: Trojan.Secondthought.Ag 12.10.04, 17:11
                                                    Wyłącz zonealarm, może to on blokuje dostęp do sieci dla Internet Explorer'a
                                                  • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 21:09
                                                    Oki, sprawdzę, ale to dopiero jutro. Ale to i tak chyba coś jest nie tak, nawet
                                                    jak by pod inną przeglądarką działał net.
                                        • netsec Re: Trojan.Secondthought.Ag 12.10.04, 16:11
                                          Dodatkowo sprawdź czy w dodaj/usuń programy nie masz czegoś z nazwą
                                          "2nd-thought.com" lub "SecondThought".
                                          • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:19
                                            Nie mam niczego takiego, program odinstalowałem, zaraz zobaczę czy coś się
                                            zmieniło. A może nadinstalować system, może to coś zmieni?
                                          • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:24
                                            Odinstalowałem DrWeba, i dalej nic się nie dzieje.
                                            • Gość: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:45
                                              Wrzuciłem ten programik, ale wyskakuje mi taki komunikat "Second Search has
                                              been uninstalled from your computer. Please restart your computer to complite
                                              the uninstallation procedure".
Inne wątki na temat:

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka