Wykryty wirus przez program AVAST.
650ccm - 06 Sty 2006 20:55
Witam.Szukalem w elektrodzie czegos na temat takiego pliku c:\windows\system\dgngo.dll ale nic nie znalazlem. Avast wykryl ze to jakis wirus. Czy moge usunac ten plik? Czy moze jest on jakis wazny i moze komputer przestac dzialac? Prosze o jakas porade i sory jakby ten post juz byl. Pozdrawiam
Tommy82 - 06 Sty 2006 21:12
skopiuj go do jakiegos innego katalogu ten wywal
i odpal kompa (dla bezpieczenstwa mozesz sobie zrobic dyskietke systemowa)
jak bedzie dzialal to wszystko oki
jak nie to przywroc plik albo z konsoli albo po odpaleniu z dyskietki i po wszystkim
650ccm - 06 Sty 2006 21:18
Wiesz ja nie znam sie na komputerach i te slowa twoje sa mi troche obce:) Czyli co skopiowac na dyskietke ten plik a ten ktory jest usunac. i Jakby cos sie dzialo to jak sie to odpala z konsoli?? A jak nie bedzie sie chcial uruchomic to wystarczy ze dyskietke startowa wloze i uruchomi sie?
Pozdro
tronic1 - 06 Sty 2006 21:32
http://www.spywareinfo.com/~merijn/
Z tej strony pobierz plik HijackThis,uruchom,wybierz opcję Scan and Save log i ten log wklej na forum.
650ccm - 06 Sty 2006 23:19
Wklejam to co wyskoczylo mi w oknie notatnika. Logfile of HijackThis v1.99.1
Scan saved at 22:11:06, on 06-01-06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\SBPCI\CTMIX32.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAM FILES\COMMON FILES\ACD SYSTEMS\EN\DEVDETECT.EXE
C:\PROGRAM FILES\GADU-GADU\GG.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\DGNQO.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\DGNQO.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [Device Detector] DEVDETECT.EXE -autorun
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe"
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.113.107,85.255.112.72
Niestety jutro bede dopiero wieczorem wiec dopiero wtedy dam odpowiedz. Prosze o wmiare dokladne wyjasnienie co mam zrobic bo ja przyznaje ze niezabardzo znam sie na komputerach.
Pozdrawiam i z gory dzieki.
Kolobos - 06 Sty 2006 23:37
Zainstaluj aktualizacje:
http://www.windowsupdate.com/
Usun w hijackthis te wpisy:
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\DGNQO.DLL
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\DGNQO.DLL
O4 - HKCU\..\Run: [UnSpyPC] "C:\Program Files\UnSpyPC\UnSpyPC.exe" <- usun katalog UnSpyPC
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.113.107,85.255.112.72
Przeskanuj system tym:
http://www.webroot.com/shoppingcart/tryme.php?bjpc=64011&vcode=DT02&WRSID=fa418c3f36c473de8c7d2176ac7ada66 <- zrob update przed skanowaniem, po przeskanowaniu odinstaluj.
650ccm - 06 Sty 2006 23:58
"Kolobos" dzieki troche sie poprawilo. Ale mam jeszcze jeden problem gdyz jak chce otworzyc cos co szukam w googlach otwiera mi sie jakas kolejna wyszukiwarka. Nie mozna otworzyc tej strony ktora sie chce bo caly czas wlacza sie jakas natretna wyszukiwarka. Co to moze byc?
Kolobos - 07 Sty 2006 00:06
Wklej nowy log i naciskaj wyslij raz, a nie trzy...
Przy poprzednich postach nacisnij ZMIEN i usun to co zdublowales.
650ccm - 07 Sty 2006 00:42
Logfile of HijackThis v1.99.1
Scan saved at 23:39:41, on 06-01-06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\SBPCI\CTMIX32.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\PROGRAM FILES\COMMON FILES\ACD SYSTEMS\EN\DEVDETECT.EXE
C:\PROGRAM FILES\GADU-GADU\GG.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAM FILES\ODTWARZACZ MULTIMEDIALNY\MPLAYER2.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [Device Detector] DEVDETECT.EXE -autorun
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.113.107,85.255.112.72
Kolobos - 07 Sty 2006 01:27
Miales usunac:
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.113.107,85.255.112.72
To falszywe DNS'y stad otwiera Ci sie inna strona niz powinna.
650ccm - 07 Sty 2006 20:12
Witam. Dzieki za porade. Widze ze ten wirus ma swoje wlasne serwery i po wykasowaniu go usuwa serwery. Niestety nie spisalem starych. Musze poczekac do poniedzialku i spisac numery w firmie od ktorej mam internet. Aha i jeszcze jedno. Czy kazdy uzytkownik radiowej sieci internetowej z jednej firmy ma te same ustawienia serwerow DNS?? Pozdrawiam
Dodano po 2 [godziny] 21 [minuty]:
Juz usunalem to co mowiles i w miejsce tego wpisu co kazales usunac pojawil sie taki sam tylko ze z wlasciwymi numerami DNS. Nie wiem dlaczego ale nie moge usunac tych dwoch pozycji :
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
Jak to usunac? A czy ta pozycja 017 jest dobra jak sie pozmienialy numery Dns na poprawne??
Pozdrawiam
Kolobos - 08 Sty 2006 14:03
Jezeli nie sa do DNSy jakiegos trojana/rootkita to jest ok, najlepiej napisz jakie masz teraz.
O14 usun sobie recznie w pliku IERESET.INF kasujesz w nim dwa wpisy, ktore masz podane w hijackthis.
650ccm - 08 Sty 2006 18:17
Teraz mam takie numery DNS: 194.204.159.1 i drugi 194.204.152.34 . Takie numery mialem na umowie z internetu bo mam radiowke. Sprobuje zaraz usunac te pliki i dam znac. Pozdro
Dodano po 4 [minuty]:
Nie moge nigdzie znalezc tego pliku IERESET.INF mam windowsa 98Se. Jezeli moglbys podpowiedziec bylbym wdzieczny.
Kolobos - 08 Sty 2006 18:28
Zainstaluj sobie Internet Explorer 6 (http://www.windowsupdate.com) albo zmien przegladarke na Opere lub Firefox i nie uzywaj juz IE.
Dnsy masz juz dobre, a co do pliku to jest ukryty wiec wlacz w opcjach folderow pokazywanie plikow ukrytych, plik jest w:
C:\windows\inf
650ccm - 08 Sty 2006 18:54
Ok.Usunalem z tego katalogu ten plik iereset.inf . Teraz Hijack niby nie pokazuje juz tego pliku zaraz zobacze czy czyta strony:)
Dodano po 9 [minuty]:
Dzieki wielkie " Kolobos". Teraz otwiera mi wszystkie strony. Troche wolno ale to mimo wszystko radiowka no i komp teraz za szybki nie jest. Takze jeszcze raz dzieki:)