uparty wirus :]

**Posty:** 113 · przez **mia012** 05 Wrz 2005, 15:59

Witam

Od dłuższego czasu gnębi mnie takie cudo : cwis.exe
kacper wykrywa go oczywiście ale na nic sie zdaje gdyż po wykasowaniu go za kilka godzin znowu sie pojawia i tak dzień w dzień ja go usuwam on sie pojawia nie wiadomo skąd

juz głupoty dostaje bo go tepie w HJ i dalej nic :]
wstawiam obrazek oraz zamieszczam loga .Prosze powiedzcie mi jak to stępić raz na zawsze
pozdro

Kod: Zaznacz wszystko: Logfile of HijackThis v1.99.1 Scan saved at 15:53:43, on 05-09-05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-HACKER\KAVPF.EXE C:\PROGRAM FILES\NEOSTRADA TP\NEOSTRADATP.EXE C:\PROGRAM FILES\NEOSTRADA TP\COMCOMP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAM FILES\NEOSTRADA TP\WATCH.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\BITSPIRIT\BITSPIRIT.EXE C:\WINDOWS\PULPIT\HIJACKTHIS\HIJACKTHIS.EXE C:\PROGRAM FILES\ACCESSORIES\MSPAINT.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Ouna] C:\Program Files\soms\cwis.exe O4 - Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe O8 - Extra context menu item: Pobierz z &BitSpirit - C:\PROGRAM FILES\BITSPIRIT\bsurl.htm O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\adsuntdt.mht!http://adextension.com/ext2/lca.chm::/Bridge-c139.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ms-its:mhtml:file://c:\adsuntdt.mht!http://adextension.com/ext2/mta.chm::/MediaTicketsInstaller.cab

**Posty:** 7956 · przez **Magik** 05 Wrz 2005, 16:05

Wywalasz

Kod: Zaznacz wszystko: O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\adsuntdt.mht!http://adextension.com/ext2/lca.chm::/Bridge -c139.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ms-its:mhtml:file://c:\adsuntdt.mht!http://adextension.com/ext2/mta.chm::/MediaT icketsInstaller.cab O4 - HKCU\..\Run: [Ouna] C:\Program Files\soms\cwis.exe

cwis.exe

ten proces nie jest znany w zadnej bazie knowledge

mia012 napisał(a):kacper wykrywa go oczywiście ale na nic sie zdaje gdyż po wykasowaniu go za kilka godzin znowu sie pojawia i tak dzień w dzień

na koniec
sprobuj ten proces killbox'em wytepic

PZDR

**Posty:** 113 · przez **mia012** 05 Wrz 2005, 17:15

D!eselek 1.9T napisał(a):cwis.exe ten proces nie jest znany w zadnej bazie knowledge

ahaaaa ... czyli źle ? tzn ze nikt cwis.exe nie opisał i kit wie co to jest

?

wykonałam zalecenia ... poczekamy do jutra może sie nie pojawi znowu

jeszcze nie dziękuje bo to 'stworzonko' jest naprawde uparte :mrgreen:

**Posty:** 7956 · przez **Magik** 05 Wrz 2005, 17:20

mia012 napisał(a):ahaaaa ... czyli źle ? tzn ze nikt cwis.exe nie opisał i kit wie co to jest

No bynajmniej ani spece ani goglarka wiec ciekawostka to jest......Ale do Symantec'a juz poszedl mail w tej sprawie

mia012 napisał(a):wykonałam zalecenia ... poczekamy do jutra może sie nie pojawi znowu Smile jeszcze nie dziękuje bo to 'stworzonko' jest naprawde uparte Mr. Green

Poki oddycham sluze rada i pomoca

pzdr

**Posty:** 113 · przez **mia012** 08 Wrz 2005, 15:46

to moge jeszcze ludzi podreczyć xD ? prosze mój dzisjejszy log a w nim mój ulubiony wirusik czy co to jest :

Kod: Zaznacz wszystko: Logfile of HijackThis v1.99.1 Scan saved at 15:44:23, on 05-09-08 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\TASKMON.EXE C:\PROGRAM FILES\NEOSTRADA TP\TASKBARICON.EXE C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-HACKER\KAVPF.EXE C:\PROGRAM FILES\NEOSTRADA TP\NEOSTRADATP.EXE C:\PROGRAM FILES\NEOSTRADA TP\COMCOMP.EXE C:\PROGRAM FILES\BITSPIRIT\BITSPIRIT.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAM FILES\NEOSTRADA TP\WATCH.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAM FILES\SOMS\CWIS.EXE C:\WINDOWS\PULPIT\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [internat.exe] internat.exe O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Ouna] C:\Program Files\soms\cwis.exe O4 - Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe O8 - Extra context menu item: Pobierz z &BitSpirit - C:\PROGRAM FILES\BITSPIRIT\bsurl.htm O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\adsuntdt.mht!http://adextension.com/ext2/lca.chm::/Bridge-c139.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ms-its:mhtml:file://c:\adsuntdt.mht!http://adextension.com/ext2/mta.chm::/MediaTicketsInstaller.cab

hmmm ... może napisze co on powoduje --> zwolnienie netu i zamulenie kompa. nie wiem jak sie tego dziadostwa pozbyć ... niby kacper usuwa ale za kilka godzin/dni znowu to jest. tak sie zastanawiam czy to coś siedzi w moim kompie 'na stałe' czy też każdorazowo mi się sciaga.

**Posty:** 7956 · przez **Magik** 08 Wrz 2005, 15:49

Hejo

wywalaj

Kod: Zaznacz wszystko: C:\PROGRAM FILES\SOMS\CWIS.EXE R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O4 - HKCU\..\Run: [Ouna] C:\Program Files\soms\cwis.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\adsuntdt.mht!http://adextension.com/ext2/lca.chm::/Bridge -c139.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ms-its:mhtml:file://c:\adsuntdt.mht!http://adextension.com/ext2/mta.chm::/MediaT icketsInstaller.cab

mia012 napisał(a):to moge jeszcze ludzi podreczyć xD

nawet we snie :wink:

**Posty:** 8694 · przez **Red** 08 Wrz 2005, 15:55

ciagle nie usuniete:

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\adsuntdt.mht!http://adextension.com/ext2/lca.chm::/Bridge-c139.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - ms-its:mhtml:file://c:\adsuntdt.mht!http://adextension.com/ext2/mta.chm::/MediaTicketsInstaller.cab

ciachnij to hijackiem naciskajac fix przy kazdym wpisie

O4 - HKCU\..\Run: [Ouna] C:\Program Files\soms\cwis.exe

znajdz w program files soms i usun go w trybie awaryjnym f8

**Posty:** 113 · przez **mia012** 08 Wrz 2005, 16:15

hyhyh usunełam tamto w HJ i co sie okazało po właczeniu antyvirusa ze moje maleństwo jeszcze siedzi w katalogu soms. ehhh odroczyłam usuwanie kacprem bo wiem co ebdzie za niedługi czas. spróbuje poraz enty usunąc z trybu awaryjnego .... ale czy to pomoże ?

nie wiem moze tego sie pozbywam tak naprawde a jakoś mi sie sciaga

Red napisał(a):ciachnij to hijackiem naciskajac fix przy kazdym wpisie

ja to ciagle usuwam i za kazdym razem gdy mam tego syfa cwisa mam takze i to i usuwać moge długo i namiętnie

**Posty:** 7956 · przez **Magik** 08 Wrz 2005, 16:17

mia012 napisał(a):ale czy to pomoże ? nie wiem moze tego sie pozbywam tak naprawde a jakoś mi sie sciaga

ja jeszcze tak zapytam przy okazji, podczas usuwania wylacz slonce przywracanie systemu jesli masz wlaczone

mia012 napisał(a):spróbuje poraz enty usunąc z trybu awaryjnego ....

do tego jeszcze zobacz start :arrow:

uruchom

msconfig i wylacz jesli sie uruchamia przy starcie

Powodzenia

**Posty:** 8694 · przez **Red** 08 Wrz 2005, 16:21

D!eselek 1.9T napisał(a):ja jeszcze tak zapytam przy okazji, podczas usuwania wylacz slonce przywracanie systemu jesli masz wlaczone

w 98 nie ma tej funkcji

mia012 napisał(a):jeszcze siedzi w katalogu soms.

usun caly ten katalog ,recznie w trybie awaryjnym bez netu

**Posty:** 7956 · przez **Magik** 08 Wrz 2005, 16:27

Red napisał(a):w 98 nie ma tej funkcji

W dzisiejszych czasach gdzie nie spojrze, kolorowa choinka XP, malo kto uzywa tego "dziadka"........To juz raczej automat, ze ktos ma eXPerience
Racja, SR dopiero w wersji ME doszlo:)

[ Dodano: Dzisiaj o 16:30 ]

mia012 napisał(a):to na windowsie 98 jest cos takiego jak przywracanie systemu ??

j/w

Przeoczenie

mia012 napisał(a):a własnie D!eselek Symantec odpisali cos ?

maja jeszcze 2 dni, trzeba czekac cierpliwie, bo odpisuja zawsze.......Jakbym napsial do Pandy juz bym pewnie odp. dostal ale z tym programem jak i firma na kilometr ode mnie

P.S

mia012 napisał(a):D!eselek

Łukasz:)

**Posty:** 113 · przez **mia012** 08 Wrz 2005, 16:42

no do pandy to ja nigdy w zyciu nie napisze jak sie rozpedziła to pół plików systemowych mi zdjadła i poszła na śmietnik xD
ja mam za komp zeby dac XPeka zreszta miałam kiedys ale komp sie tak długo uruchamiał ze wole jednak 98.
jeśli sie wirus znowu pojawi to napisze i ja do kogoś od kacpra i niech sie z tym meczą oni

oki tak czy siak Łukaszu (^^) przyznaj sobie pochwałe :mrgreen:

i tematu nie zamykaj

**Posty:** 7956 · przez **Magik** 08 Wrz 2005, 17:05

mia012 napisał(a):przyznaj sobie pochwałe

tego zrobic nie moge........to moze zrobic jedynie autor topicku, ale w tym dziale "plusy" sa wylaczone

mia012 napisał(a):i tematu nie zamykaj

stracic mozliwosc konwersacjo...oj nieeeeeeeeeeeeeeeeeeeee

mia012 napisał(a):jeśli sie wirus znowu pojawi to napisze i ja do kogoś od kacpra i niech sie z tym meczą oni

Mozesz jedynie wyslac zapytanie o wirka lub podeslac plik do analizy-->tego nie ejstem pewien, bo placi mi Symantec

(moze otrzyamsz instrukcje "czyszczenia")

PZDR

[ Dodano: Dzisiaj o 17:06 ]
BTW, jak ze stajni Nortona odp otrzymam od razu wkleje

uparty wirus :]

uparty wirus :]

Kto jest na forum