Gość: Tomek IP: *.neoplus.adsl.tpnet.pl 03.07.05, 17:44 Co robić ?Po właczenie internetu po chwili poczta zaczyna mi wysyłać setki listów Norton Antivirus cały czas pokazuje ze je wysyła ale nie wykrywa zadnych wirusów... Odpowiedz Link Zgłoś czytaj wygodnie posty
Gość: Kolobos Re: Wirus ??? IP: *.warszawa.sdi.tpnet.pl 03.07.05, 17:58 Przeskanuj tym: download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe housecall.trendmicro.com/housecall/start_corp.asp www.windowsecurity.com/trojanscan/ www.pandasoftware.com/activescan/pol/activescan_principal.htm Na koniec wklej log z hijackthis: www.mgregor.republika.pl/ Najlepiej zrobiony w wchili wysylania. Odpowiedz Link Zgłoś
Gość: Tomek Re: Wirus ??? IP: *.neoplus.adsl.tpnet.pl 03.07.05, 22:22 Żaden anty wirus nie wykrywa tego czegoś... cały czas norton śledzi ze mi sie wysyłają setki listów ale nie pokazuje ze to jest wirus czy tez trojan... moze macie na to jakąs rade :/ Odpowiedz Link Zgłoś
neder Re: Wirus ??? 03.07.05, 22:41 wklej loga z HJ. Kolobos to już z resztą napisał. pzdr. Odpowiedz Link Zgłoś
Gość: Tomek Re: Wirus ??? log IP: *.neoplus.adsl.tpnet.pl 03.07.05, 23:05 Logfile of HijackThis v1.99.1 Scan saved at 22:55:32, on 2005-07-03 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\PROGRA~1\NEOSTR~1\CnxMon.exe C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\System\CSRSS.EXE C:\WINDOWS\system32\csmrs.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe D:\Programy zainstalowane\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Kerio\Personal Firewall\PERSFW.EXE C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\wscntfy.exe D:\Programy zainstalowane\Norton\navapsvc.exe C:\Program Files\Neostrada TP\NeostradaTP.exe C:\Program Files\Neostrada TP\ComComp.exe C:\Program Files\Neostrada TP\Watch.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Messenger\msmsgs.exe C:\Documents and Settings\Admin\Pulpit\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.onet.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programy zainstalowane\Norton\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programy zainstalowane\Norton\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1 \SNDMon.exe /Consumer O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [.svchost] C:\WINDOWS\System\CSRSS.EXE O4 - HKLM\..\Run: [WIN95DEFVIEW] C:\WINDOWS\system32\csmrs.exe O4 - HKLM\..\Run: [gcasServ] "D:\Programy zainstalowane\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32 \spool\drivers\w32x86\3\hpztsb06.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840 \dslmon.exe O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E- 00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120332146687 O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - www.windowsecurity.com/trojanscan/axscan.cab O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8E5E6337-A3BA-429B-A115-A9796D498B8C}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - D:\Programy zainstalowane\Norton\navapsvc.exe O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe Odpowiedz Link Zgłoś
Gość: Tomek Re: Wirus ??? IP: *.neoplus.adsl.tpnet.pl 03.07.05, 23:19 Chciałbym jeszcze dodać ze zainstalowałem własnie firewall'a i nawet nie pierdnął ;) jak mi sie znów tysiące listów zaczęło wysyłać... "fak" ze tak sie wyraze ;) Odpowiedz Link Zgłoś
neder Re: Wirus ??? log 03.07.05, 23:26 ja tu widzę syfka w logu ;p > C:\WINDOWS\system32\csmrs.exe " When first run, W32/Dedler-B will copy itself to the Windows system folder as CSMRS.EXE" www.sophos.com/virusinfo/analyses/w32dedlerb.html poczytaj, usuń, zobacz czy ciagle będzie to samo. i jeszcze na twoim miejscu odinstalowałabym aplikację neostrady, uruchamia tylko mnóstwo procesów a jest zbędna. jak utworzyć połączenie ręczne masz tutaj forum.gazeta.pl/forum/72,2.html?f=34&w=15679891&a=15680440 po ustanowieniu połaczenia ręcznego musisz odinstalować całą aplikację neo (dodaj/usuń programy), sterowniki do modemu, czyli to co najważniejsze i faktycznie potrzebne zostanie. Odpowiedz Link Zgłoś
Gość: Tomek Re: Wirus ??? log IP: *.neoplus.adsl.tpnet.pl 03.07.05, 23:44 Popatrzyłem usunąłem i dalej jest kupa... taaaka wielka ;) Odpowiedz Link Zgłoś
Gość: Kolobos Re: Wirus ??? log IP: *.warszawa.sdi.tpnet.pl 04.07.05, 07:30 W hijackthis usun te wpisy: O4 - HKLM\..\Run: [.svchost] C:\WINDOWS\System\CSRSS.EXE O4 - HKLM\..\Run: [WIN95DEFVIEW] C:\WINDOWS\system32\csmrs.exe Nastepnie zamykasz w menadzerze zadan te dwa procesy: CSRSS.EXE csmrs.exe I kasujesz pliki: C:\WINDOWS\System\CSRSS.EXE C:\WINDOWS\system32\csmrs.exe Wiec jeszcze jeden do kasacji :-) O tego masz: www.symantec.com/avcenter/venc/data/pwsteal.ldpinch.e.html Zobacz czy wylaczyl Ci ktoras z podanych uslug. Te maile to co Ci wysyla? Outlook? Odpowiedz Link Zgłoś
Gość: Tomek Re: Wirus ??? log IP: *.neoplus.adsl.tpnet.pl 04.07.05, 09:25 teraz po usunięciu tego co mi napisałeś (dzięki) nic sie nie wysyła... A nie wiem co wysyłało te maile w outlooku nic sie nie wyświetlało ze jakieś maile były wysłane ale norton mi pokazywał stan na bieżąco ze sie jakieś tam maile wysyłają i było ich bardzo dużo... teraz nie działa mi funkcja live update w windowsie nigdzie sie jej nie da właczyć,w panelu sterowania pokazuje ze funkcja update jest ustawiona na automatycznie ale po właczeniu komputera pokazuje sie dymek ze update nie jest właczone :/. Jeszcze w nortonie po właczeniu komputera funkcja auto-protect włącza sie nienaturalnie długo około 10 minut... przedtem było to zaraz po właczeniu systemu... Odpowiedz Link Zgłoś
Gość: Kolobos Re: Wirus ??? log IP: *.warszawa.sdi.tpnet.pl 04.07.05, 10:35 Sciagaj poprawki recznie z www.windowsupdate.com o ile Ci dziala? Nortona wywal i zastap go: www.kerio.com/kpf_home.html www.avast.com/eng/avast_4_home.html Poczytaj dokladnie o obu tych trojanach czy co to bylo i zobacz co dokladnie zablokowaly bo w tym drugim widzialem liste uslug i plikow, ktore blokowal dlatego napisalem Ci w poprzednim poscie zebys sprawdzil. Odpowiedz Link Zgłoś
Gość: Tomek Re: Wirus ??? log IP: *.neoplus.adsl.tpnet.pl 04.07.05, 12:15 Wywaliłem Nortona i zainstalowałem Avasta....A co do Update Własnie ręcznie tez sie nie da zrobić :/ nic nie pisze aby te wirusy blokowały update :/ nie wiem gdzie to jeszcze moge poszperać aby odblokować update bo w panelu sterowania pisze ze jest na automatycznie a dymek cały czas wyskakuje ze są wyłączone :| Odpowiedz Link Zgłoś
Gość: Kolobos Re: Wirus ??? log IP: *.warszawa.sdi.tpnet.pl 04.07.05, 12:35 No jak nie jak tak, dostales nawet link... www.sophos.com/virusinfo/analyses/w32dedlerb.html W32/Dedler-B will attempt to disable and delete the following security related services: wuauserv <- aktualizacje automatyczne Wiec pewnie usunal Ci ta usluge, zobacz czy masz ta usluge i zobacz czy jest wlaczona. Sporbuj tez Start->Uruchom->cmd i tam wpisz: net stop wuauserv regsvr32 wups.dll regsvr32 wuapi.dll regsvr32 wuaueng.dll net start wuauserv I zobacz czy zadziala jak nie to bede musial poszukac jak to naprawic ;-) Odpowiedz Link Zgłoś
Gość: Tomek Re: Wirus ??? log IP: *.neoplus.adsl.tpnet.pl 04.07.05, 13:16 Jestem Ci dozgonnie wdzięczny Kolobos, zadziałało i teraz wszystko jest lux w systemie :D Dzięki Odpowiedz Link Zgłoś