GoĹÄ: Zbych IP: *.internetdsl.tpnet.pl 11.10.04, 11:11 Witam, załapałem takiego trojana na dwóch plikach C:Win.\System32\2ndsrch.dll i 2ndsrch(2) VIR, antywirus go nie wykrywa, nie wiem co mam z nim zrobić, na google nic o nim nie ma. Pozdrawima Odpowiedz Link Zgłoś Obserwuj wątek Podgląd Opublikuj
netsec Re: Trojan.Secondthought.Ag 11.10.04, 11:19 Jeśli antywirus(jaki?) nie wykrywa, to skąd wiesz że te pliki to trojan? Jaki masz Windows? Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 11:26 Ponieważ skanowałem online mks-em. Win.XP Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 11.10.04, 11:26 www.pestpatrol.com/pestinfo/other/2nd_thought.asp Dodatkowo ściągnij i zainstaluj Ad-Aware SE Personal Edition v1.05 Pobieranie najnowszej wersji: www.download.com/3000-2144-10045910.html Przeskanuj Ad-Aware cały system. W celu zapewnienia maksymalnej skuteczności programu, należy przed skanowaniem wykonać aktualizacje bazy wykrywania. W trakcie uruchamiania skanowania, należy w zakładce "Preparing System Scan" wybrać "Perform full system scan". Po zakończeniu skanowania pojawi się lista obiektów do usunięcia. Każdą z pozycji należy zaznaczyć(haczykiem) a po zaznaczeniu wszystkich należy kliknąć Next, zaznaczone obiekty zostaną usunięte. Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 11:27 Oki, tak zrobię Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 13:48 No i pojawiła się lista obiektów do usunięcia i usunąłem jak zalecałeś, tylko że teraz nie mogę się połączyć z netem. Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 11.10.04, 14:15 Wykonałeś restart komputera po usunięciu? Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 14:41 Wykonałem i nadal nie działa net. Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 14:42 Wykonałem i dalej net nie chodzi. Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 11.10.04, 14:54 W takim razie przywróć pliki z kwarantanny. W główny ekranie Ad-aware "Open quarantine list", wybierasz kolejno pozycje które zostały tam dziś przeniesione i prawym klawiszem myszki klikasz "Restore Selected". Jeśli bedzie to możliwe to wklej log z HiJackThis. Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 15:15 OKi Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 11.10.04, 15:47 Oki, że tak zrobię. Wstawiam tego Hijacka Logfile of HijackThis v1.98.2 Scan saved at 15:42:36, on 2004-10-11 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\DrWeb\DRWEBSCD.EXE C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe C:\Program Files\DrWeb\spiderml.exe C:\PROGRA~1\DrWeb\spidernt.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\DrWeb\SpiderNT.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\OpenOffice.org1.1.1\program\soffice.exe C:\Program Files\iPod\bin\iPodService.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\iexplore.exe A:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.gazeta.pl/0,0.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.srch-results.com/quicksearch.asp?keyphrase= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: SearchHook Class - {41B7B291-143E-43A1-9CCF-91655DFDE60F} - C:\WINDOWS\System32\oakum.dll O2 - BHO: VoiceIPObj Class - {00000250-0320-4DD4-BE4F-7566D2314352} - C:\WINDOWS\VoiceIP.dll O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Reminder for Calendar 1.0] C:\Program Files\Kalendarz 1.0 beta\reminder.exe autodetect O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" - atboottime O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04 \bin\jusched.exe O4 - HKLM\..\Run: [cbwau] C:\WINDOWS\cbwau.exe O4 - HKLM\..\Run: [srcpp32] C:\WINDOWS\srcpp32.exe O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe" O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: 12Ghosts Clip.lnk = C:\Program Files\12Ghosts\12clip.exe O4 - Startup: 12Ghosts Startup.lnk = C:\Program Files\12Ghosts\12startup.exe O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1 \program\quickstart.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5- 00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E- 00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - www.ipix.com/download/ipixx.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - www.bph.pl/pi/components/SignActivX.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{37E412CC-4A33-4B10-8C6C-516CB61A5BBD}: NameServer = 194.204.159.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{37E412CC-4A33-4B10-8C6C-516CB61A5BBD}: NameServer = 194.204.159.1 O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0- 4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 11.10.04, 17:11 Ściągnij CWShredder 1.59.1 www.softpedia.com/public/cat/10/17/10-17-150.shtml Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego połączenia do Internetu. Wyłącz przywracanie systemu. support.microsoft.com/default.aspx?scid=kb;pl;310405 Uruchom komputer w trybie awaryjnym: support.microsoft.com/default.aspx?scid=KB;PL;315222 Po uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera. Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.srch-results.com/quicksearch.asp?keyphrase= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: SearchHook Class - {41B7B291-143E-43A1-9CCF-91655DFDE60F} - C:\WINDOWS\System32\oakum.dll O2 - BHO: VoiceIPObj Class - {00000250-0320-4DD4-BE4F-7566D2314352} - C:\WINDOWS\VoiceIP.dll O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [cbwau] C:\WINDOWS\cbwau.exe O4 - HKLM\..\Run: [srcpp32] C:\WINDOWS\srcpp32.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5- 00401C608501} - (no file) O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - www.ipix.com/download/ipixx.cab O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0- 4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll Po zaznaczeniu wymienionych pozycji wykonaj FIX CHECKED i potwierdź TAK/OK. Przejdź do Panelu Sterowania => Dodaj/Usuń programy i odinstaluj wszystkie programy, co do których nie masz pewności, że Ci są potrzebne. Uruchom wcześniej ściągnięty CwShredder i kliknij FIX. Pytania w trakcie działania programu, potwierdzaj TAK/OK. Po zakończeniu działania CWShredder, uruchom komputer w normalnym sposób. Dopisz jeszcze jeden serwer DNS 194.204.152.34 we właściwościach Twojego połączenia do Internetu (Połączenie Lokalne) Ponownie przeskanuj Ad-Aware cały system. Po usunięciu "śmieci" w Ad-aware, uruchom komputer ponownie. Zaktualizuj system o krytyczne poprawki zalecane przez Microsoft www.windowsupdate.com Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 09:56 Powiedz mi dlaczego trzeba usunąć, jakieś zbędne programy? Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 12.10.04, 10:40 > Powiedz mi dlaczego trzeba usunąć, jakieś zbędne programy? Programy które instalują się bez Twojej wiedzy czasami wykorzystując "dziury" w systemie czasami pojawiają się w również w Dodaj/Usuń programy. Część z nich podmienia strony startowe a niektóre zawierają moduły szpiegujące. Generalnie po co Ci programy których nie chciałeś i które mogą szpiegować Twoje działania na komputerze. Nawet te programy które są darmowe mogą szpiegować, trzeba uważnie czytać przed instalacją licencje na ich użytkowanie. Darmo nie zawsze znaczy rzeczywiści darmo, przecież dla nas nasza prywatność jest chyba najcenniejsza . Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 11:06 Faktycznie, masz rację. Co do tego co wczoraj mi zaleciłeś to zrobiłem to wszystko: "Ściągnij CWShredder 1.59.1 www.softpedia.com/public/cat/10/17/10-17-150.shtml Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego połączenia do Internetu. Wyłącz przywracanie systemu. support.microsoft.com/default.aspx?scid=kb;pl;310405 Uruchom komputer w trybie awaryjnym: support.microsoft.com/default.aspx?scid=KB;PL;315222 Po uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera. Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.srch-results.com/quicksearch.asp?keyphrase= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: SearchHook Class - {41B7B291-143E-43A1-9CCF-91655DFDE60F} - C:\WINDOWS\System32\oakum.dll O2 - BHO: VoiceIPObj Class - {00000250-0320-4DD4-BE4F-7566D2314352} - C:\WINDOWS\VoiceIP.dll O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\PROGRA~1\TEXTware\QUICKF~1\PlugIns\IEHelp.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [cbwau] C:\WINDOWS\cbwau.exe O4 - HKLM\..\Run: [srcpp32] C:\WINDOWS\srcpp32.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5- 00401C608501} - (no file) O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - www.ipix.com/download/ipixx.cab O18 - Protocol: textwareilluminatorbase - {CE5CD329-1650-414A-8DB0- 4CBF72FAED87} - C:\WINDOWS\System32\textwareilluminatorbaseProtocol.dll Po zaznaczeniu wymienionych pozycji wykonaj FIX CHECKED i potwierdź TAK/OK. Przejdź do Panelu Sterowania => Dodaj/Usuń programy i odinstaluj wszystkie programy, co do których nie masz pewności, że Ci są potrzebne. Uruchom wcześniej ściągnięty CwShredder i kliknij FIX. Pytania w trakcie działania programu, potwierdzaj TAK/OK. Po zakończeniu działania CWShredder, uruchom komputer w normalnym sposób. Dopisz jeszcze jeden serwer DNS 194.204.152.34 we właściwościach Twojego połączenia do Internetu (Połączenie Lokalne)" - do tąd, potem chciałem zeskanować Ad-awarem, ale przy próbie wyskakuje mi komunikat "Zamykanie systemu" zarządzenie NT\System Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 12.10.04, 11:23 Czy możesz wkleić aktualnego loga z HiJackThis? Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 11:40 Logfile of HijackThis v1.98.2 Scan saved at 11:37:50, on 2004-10-12 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\DrWeb\DRWEBSCD.EXE C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe C:\Program Files\DrWeb\spiderml.exe C:\PROGRA~1\DrWeb\spidernt.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\DrWeb\SpiderNT.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\OpenOffice.org1.1.1\program\soffice.exe C:\Documents and Settings\Małgorzata\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.gazeta.pl/0,0.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Reminder for Calendar 1.0] C:\Program Files\Kalendarz 1.0 beta\reminder.exe autodetect O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" - atboottime O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04 \bin\jusched.exe O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe" O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: 12Ghosts Clip.lnk = C:\Program Files\12Ghosts\12clip.exe O4 - Startup: 12Ghosts Startup.lnk = C:\Program Files\12Ghosts\12startup.exe O4 - Startup: OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1 \program\quickstart.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E- 00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - www.bph.pl/pi/components/SignActivX.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{37E412CC-4A33-4B10-8C6C-516CB61A5BBD}: NameServer = 194.204.159.1,194.204.152.34 O17 - HKLM\System\CS1\Services\Tcpip\..\{37E412CC-4A33-4B10-8C6C-516CB61A5BBD}: NameServer = 194.204.159.1,194.204.152.34 Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 12.10.04, 12:40 W tym logu wszystko wyglada ok. Uruchom ponownie HiJackThis przejdź do Config później do Misc Tools i kliknij Generate StartupList log. Program zapyta czy wygenerować listę, potwierdź a zawartość listy wklej na forum. Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 13:25 Proszę bardzo. StartupList report, 2004-10-12, 13:23:28 StartupList version: 1.52.2 Started from : C:\Documents and Settings\Małgorzata\Pulpit\HijackThis.EXE Detected: Windows XP Dodatek SP2 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\DrWeb\DRWEBSCD.EXE C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe C:\Program Files\DrWeb\spiderml.exe C:\PROGRA~1\DrWeb\spidernt.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\DrWeb\SpiderNT.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\OpenOffice.org1.1.1\program\soffice.exe C:\Documents and Settings\Małgorzata\Pulpit\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Documents and Settings\Małgorzata\Menu Start\Programy\Autostart] 12Ghosts Clip.lnk = C:\Program Files\12Ghosts\12clip.exe 12Ghosts Startup.lnk = C:\Program Files\12Ghosts\12startup.exe OpenOffice.org 1.1.1.lnk = C:\Program Files\OpenOffice.org1.1.1 \program\quickstart.exe PowerReg Scheduler.exe Shell folders Common Startup: [C:\Documents and Settings\All Users\Menu Start\Programy\Autostart] Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SoundMan = SOUNDMAN.EXE IgfxTray = C:\WINDOWS\System32\igfxtray.exe HotKeysCmds = C:\WINDOWS\System32\hkcmd.exe Reminder for Calendar 1.0 = C:\Program Files\Kalendarz 1.0 beta\reminder.exe autodetect QuickTime Task = "C:\Program Files\QuickTime\qttask.exe" -atboottime DrWebScheduler = "C:\Program Files\DrWeb\DRWEBSCD.EXE" SunJavaUpdateSched = C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe SpIDerMail = "C:\Program Files\DrWeb\spiderml.exe" SpIDerNT = C:\PROGRA~1\DrWeb\spidernt.exe /agent Zone Labs Client = "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run MSMSGS = "C:\Program Files\Messenger\msmsgs.exe" /background -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -------------------------------------------------- Enumerating Task Scheduler jobs: Oczyszczanie dysku.job -------------------------------------------------- Enumerating Download Program Files: [QuickTime Object] InProcServer32 = C:\Program Files\QuickTime\QTPlugin.ocx CODEBASE = www.apple.com/qtactivex/qtplugin.cab [MSSecurityAdvisor Class] InProcServer32 = C:\WINDOWS\System32\mssecadv.dll CODEBASE = download.microsoft.com/download/0/5/c/05c905f4-dd30-427d-a3de- 373c3e5552fc/msSecAdv.cab?1094199547156 [SignActivX Control] InProcServer32 = C:\WINDOWS\DOWNLO~1\SIGNAC~1.OCX CODEBASE = www.bph.pl/pi/components/SignActivX.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx CODEBASE = download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab [MainControl Class] InProcServer32 = C:\WINDOWS\System32\SkanerOnline.dll CODEBASE = skaner.mks.com.pl/SkanerOnline.cab -------------------------------------------------- Enumerating Winsock LSP files: Protocol #16: C:\WINDOWS\system32\DRWEBSP.DLL Protocol #17: C:\WINDOWS\system32\DRWEBSP.DLL Protocol #18: C:\WINDOWS\system32\DRWEBSP.DLL Protocol #19: C:\WINDOWS\system32\DRWEBSP.DLL -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 5 886 bytes Report generated in 0,485 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 12.10.04, 14:35 Ten log jest również ok. Czy coś się teraz dzieje, czy dalej jest problem z siecią? Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 15:11 Problem jest taki, że sieć działa ponieważ nawet przy ikonce połączenia widać że połączenie jest, outlook działa, wysyła i odbiera pocztę, tylko że przy próbie wejścia na jakąś stronę, np. www.wp.pl, IE poszukuje końcówki czyli szuka com, net, otg itp a później wyświetla się hasło "Internet Explorer nie mógł otworzyć strony wyszukiwania" A te trojany widać tam gdzieś jeszcze? Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 12.10.04, 16:02 Czy jeśli wpiszesz pełny link www.onet.pl to strona otwiera się poprawnie? Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:04 Nie otwiera się. Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:09 a to coś da? Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 12.10.04, 16:12 Tu masz deinstalator tego smiecia www.2nd-thought.com/uninstall.html Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:25 W awaryjnym to zrobić? Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 12.10.04, 16:46 Ściagasz ten plik www.2nd-thought.com/files/uninstall.exe i uruchamiasz, po tym trzeba wykonac restart komputera. Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:51 Tak zrobiłem, wyskoczyło to hasło, kliknąłem ok, zrestartowałem kompa i dalej nic. Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 12.10.04, 17:09 Czy jeśli zainstalujesz firefox (alternatywna przeglądarka) prdownloads.sourceforge.net/mozillapl/FirefoxSetup-1.0PR-pl-PL.exe?download to przegladanie stron www w niej działa. Czy jeśli wyłączysz Windowsową zaporę to dalej przegladanie stron w IE nie działa? Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 12.10.04, 17:11 Wyłącz zonealarm, może to on blokuje dostęp do sieci dla Internet Explorer'a Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 21:09 Oki, sprawdzę, ale to dopiero jutro. Ale to i tak chyba coś jest nie tak, nawet jak by pod inną przeglądarką działał net. Odpowiedz Link Zgłoś
netsec Re: Trojan.Secondthought.Ag 12.10.04, 16:11 Dodatkowo sprawdź czy w dodaj/usuń programy nie masz czegoś z nazwą "2nd-thought.com" lub "SecondThought". Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:19 Nie mam niczego takiego, program odinstalowałem, zaraz zobaczę czy coś się zmieniło. A może nadinstalować system, może to coś zmieni? Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:24 Odinstalowałem DrWeba, i dalej nic się nie dzieje. Odpowiedz Link Zgłoś
GoĹÄ: Zbych Re: Trojan.Secondthought.Ag IP: *.internetdsl.tpnet.pl 12.10.04, 16:45 Wrzuciłem ten programik, ale wyskakuje mi taki komunikat "Second Search has been uninstalled from your computer. Please restart your computer to complite the uninstallation procedure". Odpowiedz Link Zgłoś
