Co to za intruz ?

Co to za intruz ?

---

sato1975 - 17 Lut 2005 00:51
Witam

Na tray`u zainstalował sie jakiś program rezydentny
Antydialer Koala podaje komunikat:

Wykryty został niebezpieczny program który jest dialerem

Program
USER32.EXE
Ścieżka
C:\WINDOWS\USER32.EXE

Dodatkowo na pulpicie pojawił się program *.exe
AVG wykrywa :
Hiden extention .EXE

Co z tym zrobić i jak usunąć ?

Pozdro

PS Razem z hasen1 poczyniliśmy następujące kroki:
msconfig - wyłączenie dodatkowych wpisów
Usunięcie plików z WINDOWS\TEMP i Temporaly Internet Files
Przeczytaliśmy ze 30 tematów w tym forum i :ass:
Co to za k%$#@ się przykleiła 8O

System - W98se.
Nie możemy uruchomić kompa w trybie awaryjnym

---

---

wifil - 17 Lut 2005 00:59
jv16 powertools - usuniesz wszystko co zechcesz z autostartu i które chcesz z zainstalowanych programów, a póżniej usuniesz zbędne wpisy w rejestrze. to dobry program do takich śmieci...

Nie zaszkodzi też Spybot Search&Destroy

---

Kolobos - 17 Lut 2005 00:59
http://www.megasecurity.org/trojans/u/user32/User32.html

Przeskanuj komputer:
skaner.mks.com.pl
SpyBot S&D
Ad-Aware
Wklej tutaj log z hijackthis

---

elktro - 17 Lut 2005 01:07
witam
nie zapominaj o rejestrze. takie progsy maja swoja kopie instalacyjna gdzies na kompie i jak go usuniesz z autostartu to wpis w rejestrze zainstaluje go na nowo za kazdym uruchomieniem kompa. Przerąbana sprawa szukać tego badziewia po kompie, lepiej poszukac opisu usunięcia tego (jak znajdziesz nazwę)

Pozdrawiam

---

---

sato1975 - 17 Lut 2005 01:38
Scan z hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 00:37:57, on 05-02-17
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\MIXER.EXE
C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\GRISOFT\AVG FREE\AVGEMC.EXE
C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\TOOLS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\PROGRAM FILES\MYWEBSEARCH\SRCHASTT\2.BIN\MWSSRCAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\PROGRAM FILES\MYWEBSEARCH\BAR\2.BIN\MWSBAR.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\PROGRAM FILES\MYWEBSEARCH\SRCHASTT\2.BIN\MWSSRCAS.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [System32] "user32.exe" -user
O4 - HKLM\..\Run: [KAntyDialer] C:\PROGRAM FILES\AK\KOALA ANTYDIALER 1.0\KANTYDIALER.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

Pozdro

MYśle że to jest
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\PROGRAM FILES\MYWEBSEARCH\BAR\2.BIN\MWSBAR.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\PROGRAM FILES\MYWEBSEARCH\SRCHASTT\2.BIN\MWSSRCAS.DLL (file missing)

---

Kolobos - 17 Lut 2005 01:50
Usun:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\PROGRAM FILES\MYWEBSEARCH\SRCHASTT\2.BIN\MWSSRCAS.DLL (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\PROGRAM FILES\MYWEBSEARCH\BAR\2.BIN\MWSBAR.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\PROGRAM FILES\MYWEBSEARCH\SRCHASTT\2.BIN\MWSSRCAS.DLL (file missing)
Ale to sa juz tylko same wpisy, plikow juz nie ma
A tutaj jest Twoj problem:
O4 - HKLM\..\Run: [System32] "user32.exe" -user
Usuniecie tego wpisu powinno rozwiazac problem

Odwiedz tez www.windowsupdate.com lub tez sciagnij nowa wersje IE.

---

sato1975 - 17 Lut 2005 02:09
no i po problemie :sm2:

Kolobos jak to mówią rosjanie " Good Job"

I oczywiście punkty za pomoc

Pozdro i wielkie dzięki