Do Netsec-ka

IP: *.internetdsl.tpnet.pl 19.11.04, 12:53
W zeszłym tyg. rozmawialiśmy na temat tego Hijacka, miałem wstawić go po
wykasowaniu programów, więc tak też zrobiłem i wstawiłem. Niestety jakoś nie
zajrzałeś tam, więc wstawiłem jako nową wiadomość. Nie usunąłem tylko win.
Update ponieważ nie mogłem go znaleść w dodaj usuń.
Pozdrawiam


Logfile of HijackThis v1.98.2
Scan saved at 13:23:44, on 04-11-15
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\NVSVC.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAM FILES\WINDOWS ADTOOLS\WINADTOOLS.EXE
C:\PROGRAM FILES\WINDOWS ADTOOLS\WINRATCHET.EXE
C:\TEMP\MSBB.EXE
C:\WINDOWS\TWXIF.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\PULPIT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} -
C:\WINDOWS\2_0_1browserhelper2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\SYSTEM\\NVCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1
\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [LexStart] LexStart.EXE
O4 - HKLM\..\Run: [Windows AdTools] C:\PROGRAM FILES\WINDOWS
ADTOOLS\WINADTOOLS.EXE
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [twxif] C:\WINDOWS\twxif.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [NVSvc] C:\WINDOWS\SYSTEM\\nvsvc.exe -runservice
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} -
C:\Program Files\IrfanView\Ebay\Ebay.htm
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility
Class) - security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
www.bph.pl/pi/components/SignActivX.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-
its:mhtml:file://c:\nosuxyz.mht!
213.158.119.18/auto/loudtorg.chm::/bridge-c46.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.204.159.1
    • netsec Re: Do Netsec-ka 19.11.04, 13:33
      Uruchom kompa w trybie awaryjnym i usuń w HiJack te pozycje:

      O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} -
      C:\WINDOWS\2_0_1browserhelper2.dll
      O4 - HKLM\..\Run: [Windows AdTools] C:\PROGRAM FILES\WINDOWS
      ADTOOLS\WINADTOOLS.EXE
      O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
      O4 - HKLM\..\Run: [twxif] C:\WINDOWS\twxif.exe
      O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} -
      C:\Program Files\IrfanView\Ebay\Ebay.htm
      O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
      O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-
      its:mhtml:file://c:\nosuxyz.mht!
      213.158.119.18/auto/loudtorg.chm::/bridge-c46.cab

      Po tym skasuj folder C:\PROGRAM FILES\WINDOWS ADTOOLS

      Sprawdź czy baza wirusów w Nortonie aktualizuje się, coś z tym programem jest
      nie tak. Jaka to wersja?

      Uruchom normalnie kompa i wklej nowy hijack.
      • Gość: Logan Re: Do Netsec-ka IP: *.internetdsl.tpnet.pl 23.11.04, 14:10
        Zrobilem tak jak pisałeś.
        Aktualizowałem Nortona, a wersja to 2001.
        Z Nortonem faktycznie jest problem, jak uruchamiam go z paska (tym przy
        zegarze), to wyskakuje mi informacja, że jest jakiś błąd i wywala mi go. Ale
        teraz dało się jakoś go uruchomić ze startu.

        Logfile of HijackThis v1.98.2
        Scan saved at 14:09:49, on 04-11-23
        Platform: Windows 98 Gold (Win9x 4.10.1998)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINDOWS\SYSTEM\KERNEL32.DLL
        C:\WINDOWS\SYSTEM\MSGSRV32.EXE
        C:\WINDOWS\SYSTEM\SPOOL32.EXE
        C:\WINDOWS\SYSTEM\MPREXE.EXE
        C:\WINDOWS\SYSTEM\MSTASK.EXE
        C:\WINDOWS\SYSTEM\NVSVC.EXE
        C:\WINDOWS\SYSTEM\LEXBCES.EXE
        C:\WINDOWS\SYSTEM\RPCSS.EXE
        C:\WINDOWS\SYSTEM\mmtask.tsk
        C:\WINDOWS\EXPLORER.EXE
        C:\WINDOWS\TASKMON.EXE
        C:\WINDOWS\SYSTEM\INTERNAT.EXE
        C:\WINDOWS\SYSTEM\SYSTRAY.EXE
        C:\PROGRAM FILES\NORTON ANTIVIRUS\NAVAPW32.EXE
        C:\WINDOWS\RUNDLL32.EXE
        C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
        C:\WINDOWS\SYSTEM\DDHELP.EXE
        C:\WINDOWS\PULPIT\HIJACKTHIS.EXE

        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
        www.wp.pl/
        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
        C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX
        O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} -
        C:\PROGRAM FILES\IMESH\IMESH5\IMESHBHO.DLL
        O2 - BHO: LBBHO - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINDOWS\LBBHO.DLL
        O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program
        Files\NewDotNet\newdotnet6_38.dll
        O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAM
        FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINDOWS\SYSTEM\MSDXM.OCX
        O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -
        C:\PROGRAM FILES\MYWAY\MYBAR\1.BIN\MYBAR.DLL
        O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
        O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
        O4 - HKLM\..\Run: [internat.exe] internat.exe
        O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
        O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
        powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
        C:\WINDOWS\SYSTEM\\NVCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1
        \NAVAPW32.EXE /LOADQUIET
        O4 - HKLM\..\Run: [LexStart] LexStart.EXE
        O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1
        \NEWDOT~2.DLL,NewDotNetStartup -s
        O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
        powrprof.dll,LoadCurrentPwrScheme
        O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
        O4 - HKLM\..\RunServices: [NVSvc] C:\WINDOWS\SYSTEM\\nvsvc.exe -runservice
        O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common
        Files\Symantec Shared\Script Blocking\SBServ.exe" -reg
        O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
        Office\Office\OSA9.EXE
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        C:\WINDOWS\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
        00aa003c157a} - C:\WINDOWS\web\related.htm
        O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} -
        C:\Program Files\IrfanView\Ebay\Ebay.htm
        O10 - Hijacked Internet access by New.Net
        O10 - Hijacked Internet access by New.Net
        O10 - Hijacked Internet access by New.Net
        O10 - Hijacked Internet access by New.Net
        O10 - Hijacked Internet access by New.Net
        O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility
        Class) - security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
        O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
        security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
        O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
        www.bph.pl/pi/components/SignActivX.cab
        O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.204.159.1

        • netsec Re: Do Netsec-ka 23.11.04, 16:30
          Odinstaluj Nortona 2001 to staroć i zainstaluj AVAST 4.5.
          forum.gazeta.pl/forum/72,2.html?f=23618&w=16221071
          Przeskanuj cały system.
        • netsec Re: Do Netsec-ka 23.11.04, 16:31
          Odinstaluj w Dodaj/usuń programy New Net.
          • Gość: Logan Re: Do Netsec-ka IP: *.internetdsl.tpnet.pl 24.11.04, 09:19
            Ale to jest komputer firmowy, więc musi być program z licencją.
            A co to są programy New Net?
            • kalinowski11 Re: Do Netsec-ka 24.11.04, 09:25
              New Net to jest "syfek" :)
              www.pchell.com/support/savenow.shtml
            • netsec Re: Do Netsec-ka 24.11.04, 09:39
              Myślisz że w komputerze firmowym nie może zainstalować się wirus trojan czy
              ad-aware.
              Jeśli wiesz lepiej to po co pytasz?
              • Gość: Logan Re: Do Netsec-ka IP: *.internetdsl.tpnet.pl 24.11.04, 11:36
                Wszędzie może się zainstalować. Tylko nie wiem po co to pytanie sarkastyczne?
                • netsec Re: Do Netsec-ka 25.11.04, 12:11
                  Pytałeś odpowiedziałem, po resztę zwróć się do działu IT odpowiedzialnego za
                  oprogramowanie na firmowym sprzęcie.
Pełna wersja