Bardzo prosze o


(system) #1

jestem sam w niemczech.komp miciagle odwala jakies numery ale juz troche nauczylem sie zwaszej strony. oto moj log\

Logfile of HijackThis v1.99.0

Scan saved at 01:58:19, on 2005-02-15

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Dokumente und Einstellungen\aaa\figgaz.exe

C:\WINDOWS\System32\PopUpBlocker6.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\Svhost.exe

C:\Programme\Kalendarz XP\Kalendarz.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\Versatel\Versatel.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Dokumente und Einstellungen\aaa\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel

O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\aaa\figgaz.exe

O4 - HKLM..\Run: [Microsoft Update] Svhost.exe

O4 - HKLM..\Run: [Popup Blocker System326 Monitoring] PopUpBlocker6.exe

O4 - HKLM..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM..\RunServices: [Microsoft Update] Svhost.exe

O4 - HKLM..\RunServices: [Popup Blocker System326 Monitoring] PopUpBlocker6.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU..\Run: [Microsoft Update] Svhost.exe

O4 - HKCU..\Run: [Popup Blocker System326 Monitoring] PopUpBlocker6.exe

O4 - Global Startup: Kalendarz XP.lnk = C:\Programme\Kalendarz XP\Kalendarz.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip..{F612284B-B786-4394-AD05-CCD4521EDA64}: NameServer = 62.72.64.237 62.72.64.241

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe


(Qbek50) #2

przydałby się SP2 8)


(Stachan) #3

:roll: wg mnie do usunięcia jest to:

C:\WINDOWS\System32\Svhost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/

O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - (no file)

O4 - HKLM..\Run: [Microsoft Update] Svhost.exe

O4 - HKLM..\RunServices: [Microsoft Update] Svhost.exe

O4 - HKCU..\Run: [Microsoft Update] Svhost.exe

Ponadto wykonaj zalecenie kolegi detektywa a także zrób gruntowne skany tymi aplikacjami:

http://download.nai.com/products/mcafee ... tinger.exe

http://www.gdata.pl/kmdownload/download ... etit&id=60

http://support.f-secure.com/enu/home/ols.shtml

http://www.download.com/ETD-Security-Sc ... 29424.html

http://housecall.trendmicro.com/houseca ... t_corp.asp

potem dla wszelkiej pewności zapodaj ponownie log.


(system) #4

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/

dlaczego mam wyrzucic moja strone startowa?jest to strona dostawcy internetu


(boczi) #5

W takim razie nie wyrzucaj.


(system) #6

boczi napisal;\

W takim razie nie wyrzucaj.

moge wyrzucic.pytalem tylko dlaczego mam to wyrzucic? reszte wyrzucilem


(boczi) #7

Nie wyrzucaj. Koledze adres strony wydał się podejrzany, często złośliwe programy zmieniają str. startową w IE na niepożądaną stronę. Nie mieszkamy w Niemczech, więc nie znamy tamtejszych providerów, hehe :slight_smile:


(system) #8

no wiec tak;usunalem wszystko co trzeba bylo.niewiele to dalo. po wlaczeniu kompa za kazdym pierwszymuruchomieniem ie avast wykrywa mi win-32trojano-803 w pliku c:\temp\NCasePacks.exe,otwiera sie strona izaraz wyskakuje nastepna http://www.free-webspacke.biz ktorej nie chce.przeskanowalem wszystkim z wyzej podanych linkow i za kazdym wlaczeniem kompa ETD pokazuje mi okolo30 objektow mimo ze je usuwam.to jeszcze nic;najgorsze ze czesto wyskakuje mi komunikat;GerericHost Process for Win32 services z zapytaniem czy chce wyslac raport do microsoftu po czym rozlacza mi internet.klikam po tym na uruchom ponownie i pojawia sie nastepny komunikat AD.TOOLS KEEP.exe-DLL installierungfelschfeler moj log wyglada teraz tak;

Logfile of HijackThis v1.99.0

Scan saved at 11:16:29, on 2005-02-15

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Dokumente und Einstellungen\aaa\figgaz.exe

C:\WINDOWS\System32\PopUpBlocker6.exe

C:\Program Files\AdTools Service\AdTools.exe

C:\DOKUME~1\aaa\LOKALE~1\Temp\SAHAGE~1.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Programme\Kalendarz XP\Kalendarz.exe

C:\Program Files\AdTools Service\AdToolsKeep.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\Versatel\Versatel.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Program Files\AdTools Service\AdTools.exe

C:\WINDOWS\System32\Svhost.exe

C:\Dokumente und Einstellungen\aaa\Desktop\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

F2 - REG:system.ini: Shell=explorer.exe 

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\aaa\figgaz.exe

O4 - HKLM\..\Run: [Popup Blocker System326 Monitoring] PopUpBlocker6.exe

O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\aaa\LOKALE~1\Temp\SAHAGE~1.EXE run

O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe

O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Popup Blocker System326 Monitoring] PopUpBlocker6.exe

O4 - HKCU\..\Run: [ETD Security Scanner] "C:\Programme\ETD Security Scanner\ETD Security Scanner.exe" /s

O4 - Global Startup: Kalendarz XP.lnk = C:\Programme\Kalendarz XP\Kalendarz.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/Bridge-c139.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F612284B-B786-4394-AD05-CCD4521EDA64}: NameServer = 62.72.64.237 62.72.64.241

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

co robic??


(boczi) #9

C:\Dokumente und Einstellungen\aaa\figgaz.exe

O4 - HKLM..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\aaa\figgaz.exe - znasz/zostawiasz, nie/usuwasz

C:\WINDOWS\System32\PopUpBlocker6.exe

   	C:\Program Files\AdTools Service\AdTools.exe

C:\DOKUME~1\aaa\LOKALE~1\Temp\SAHAGE~1.EXE

C:\Program Files\AdTools Service\AdToolsKeep.exe

C:\Program Files\AdTools Service\AdTools.exe

C:\WINDOWS\System32\Svhost.exe

 	O4 - HKLM\..\Run: [Popup Blocker System326 Monitoring] PopUpBlocker6.exe

O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

   	O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\aaa\LOKALE~1\Temp\SAHAGE~1.EXE run  	 

   	O4 - HKLM\..\Run: [Microsoft Update] Svhost.exe

O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe

   	O4 - HKCU\..\Run: [Popup Blocker System326 Monitoring] PopUpBlocker6.exe

   	O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CDT/ie/Bridge-c139.cab

Usuwasz to wszystko najlepiej w trybie awaryjnym Poza tym radzę zmienic przeglądarkę, np. na Firefox.


(Musg) #10

i pamietaj o waznej rzeczy./aby podczas usuwania wylaczyc >przywracanie systemu.Jesli nie masz tego wylaczonego ,to nie dziwne ze wszystko powraca.


(system) #11

sory za klopoty ale nie bardzo znam sie na tym .no i xp mamniestety po niemiecku.nie wiem jak wylaczyc przywracanie systemu i wejsc w tryb awaryjny?bo normalnie to nie chce mi usunac tego;C:\WINDOWS\System32\Svhost.exe


(Damian) #12

W tryb awaryjny wchodzi się wciskając klawisz F8 zaraz po uruchomieniu komputera.

Co do przywracania systemu to : Panel Sterowania>>>System(taka ikonka komputera z monitorkiem)>>>przywracanie systemu(zakładka znajdująca się bezpośrednio nad tą którą będziesz mieć otwartą)>>>ptaszkujesz okienko.


(Kuz5) #13

Usuń jeszcze to:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank


(system) #14

no wiec wszedlem w awaryjny ale za nic nie moge usunac;C:\WINDOWS\System32\Svhost.exe .przegladalem tez inne logi .prawie wszyscy to maja ale niezauwazylem zeby ktos mial to usuwac (moze przeoczylem,nie wiem)ogolnie komp chodzi lepiej.zainstalowalem firefoxa.jestem zadowolony.nie wyskakuje mi juzzadnaniechciana stronaale problem z GenericHost Process for Win32 services.nie zawsze ale dosc czesto.

p.s. zmienie chyba nick na "maruda" :? :lol:


(Qbek50) #15

to usuń w Dosie ten plik 8)


(Damian) #16

Tylko nie zwróciłeś uwagi na jeden istotny szczegół, a mianowicie...

Owszem,"wszyscy" mają ale proces SV CH OST.EXE ,a nie SV H OST.EXE . Zobacz czym jest twój proces:

Process File: svhost or svhost.exe

Process Name: W32.Mydoom.I@mm


(Dragonlnx) #17

http://www.forum.dobreprogramy.com/view ... hp?t=17763