alfred1
(Anitex Sc)
5 Luty 2007 15:30
#1
witam. mam ogromne proglemy z PS.
prosiłbym o sprawdzenie logów. z góry dzieki.
pozdrawiam
P.S, jestem tu nowy wiec prosze nie krzyczec na mnie
Logfile of HijackThis v1.99.1 Scan saved at 16:28:26, on 2007-02-05 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\nueorbo.exe C:\WINDOWS\System32\adirss.exe C:\WINDOWS\System32\lnwin.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\SAGEM WiFi manager\WLANUTL.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\domek\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [msvcc25] svcchost.exe O4 - HKLM…\Run: [Microsoft Security Monitor Process] C:\WINDOWS\msmp.exe O4 - HKLM…\Run: [services] C:\WINDOWS\System32\nueorbo.exe O4 - HKLM…\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe O4 - HKLM…\Run: [sysinter] C:\WINDOWS\System32\adirss.exe O4 - HKLM…\Run: [lnwin.exe] C:\WINDOWS\System32\lnwin.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\RunServices: [msvcc25] svcchost.exe O4 - HKLM…\RunServices: [Microsoft Security Monitor Process] C:\WINDOWS\msmp.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk = ? O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup … 1699464483 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup … 1699429293 O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_28.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_28.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\atievxx.exe (file missing) O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e mc-110-12-0000144 (file missing) O23 - Service: PJ64 (Project64) - Unknown owner - C:\WINDOWS\PJ64.exe (file missing)
“Silent Runners.vbs”, revision R50, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ “{A04542C8-0255-1045-0707-000003060030}” = ““C:\Program Files\Common Files{A04542C8-0255-1045-0707-000003060030}\Update.exe” mc-110-12-0000144” [file not found] HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “CTFMON.EXE” = “C:\WINDOWS\System32\ctfmon.exe” [MS] “MSMSGS” = ““C:\Program Files\Messenger\msmsgs.exe” /background” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “msvcc25” = “svcchost.exe” [file not found] “Microsoft Security Monitor Process” = “C:\WINDOWS\msmp.exe” [file not found] “Services” = “C:\WINDOWS\System32\nueorbo.exe” [null data] “IpWins” = “C:\Program Files\Ipwindows\ipwins.exe” [file not found] “sysinter” = “C:\WINDOWS\System32\adirss.exe” [null data] “lnwin.exe” = “C:\WINDOWS\System32\lnwin.exe” [null data] “avast!” = “C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{472083B0-C522-11CF-8763-00608CC02F24}” = “avast” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “DisableRegistryTools” = (REG_DWORD) hex:0x00000000 {User Configuration|Administrative Templates|System| Prevent access to registry editing tools} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} “undockwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “C:\WINDOWS\Web\Wallpaper\Fale.jpg” Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\Documents and Settings\ANITEX _sc\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Startup items in “domek” & “All Users” startup folders: ------------------------------------------------------------ C:\Documents and Settings\All Users\Menu Start\Programy\Autostart “Microsoft Office” -> shortcut to: “C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l” [MS] “Program sieciowy dla SAGEM Wi-Fi 11g USB adapter” -> shortcut to: “C:\Program Files\SAGEM WiFi manager\WLANUTL.exe” [" "] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000004\LibraryPath = “%SystemRoot%\System32\nwprovau.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 25 %SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Agent SAP, NwSapAgent, “C:\WINDOWS\System32\svchost.exe -k netsvcs” {“C:\WINDOWS\System32\ipxsap.dll” [MS]} avast! Antivirus, avast! Antivirus, ““C:\Program Files\Alwil Software\Avast4\ashServ.exe”” [null data] avast! iAVS4 Control Service, aswUpdSv, ““C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe”” [null data] avast! Mail Scanner, avast! Mail Scanner, ““C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe” /service” [“ALWIL Software”] avast! Web Scanner, avast! Web Scanner, ““C:\Program Files\Alwil Software\Avast4\ashWebSv.exe” /service” [“ALWIL Software”] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ HP LaserJet 5 Language Monitor\Driver = “HPDCMON.DLL” [“Hewlett-Packard”] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer “No” at the first message box and “Yes” at the second message box. ---------- (total run time: 238 seconds, including 3 seconds for message boxes)
adam9870
(adam9870)
5 Luty 2007 16:01
#2
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.
Start => uruchom => wpisz cmd i kliknij OK => w konsoli, która się otworzy wpisz:
W trybie awaryjnym z wyłączonym przywracaniem systemu usuń:
Pliki i foldery zaznaczone kasujesz ręcznie z dysku natomiast wpisy w HijackThis.
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.
Czy to jakaś Twoja usługa od emulatora? Jeśli nie to start => uruchom => cmd => i wpisz:
Zaś zaznaczony plik usuń ręcznie z dysku w trybie awaryjnym.
Po wykonaniu proszę pokazać nowy log z HijackThis plus z SilentRunners .
Mate121
(Kobra10)
5 Luty 2007 16:31
#3
a co to są emulatory?? i do czego służą?? bo ktos kiedys tez mi o takims czyms mówił ;/ ;/
alfred1
(Anitex Sc)
5 Luty 2007 16:32
#4
adam9870 napisał:
Cytat:
O23 - Service: PJ64 (Project64) - Unknown owner - C:\WINDOWS\PJ64.exe (file missing)
Czy to jakaś Twoja usługa od emulatora
to znaczy?? jakiego emulatora??
adam9870
(adam9870)
5 Luty 2007 16:35
#5
Np. emulatora jakiejś gry, czy konsoli.
Tutaj możesz znaleźć przykłady konsol etc.
http://forum.dobreprogramy.pl/viewtopic.php?t=64370
alfred1
(Anitex Sc)
5 Luty 2007 16:54
#6
“O4 - HKLM…\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe”
nie moge tego znaleźc ;/ ;/ ;/
“- C:\WINDOWS\System32\svchosts.exe” -e mc-110-12-0000144 (file missing)" nie moge skasowac ;/ ;/ ;/
adam9870
(adam9870)
5 Luty 2007 16:59
#7
Jak uruchomić system w trybie awaryjnym
alfred1
(Anitex Sc)
5 Luty 2007 17:21
#8
Logfile of HijackThis v1.99.1 Scan saved at 18:17:27, on 2007-02-05 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\SAGEM WiFi manager\WLANUTL.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Documents and Settings\domek\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk = ? O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup … 1699464483 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup … 1699429293 O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_28.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_28.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\atievxx.exe (file missing) O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: PJ64 (Project64) - Unknown owner - C:\WINDOWS\PJ64.exe (file missing)
“Silent Runners.vbs”, revision R50, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “CTFMON.EXE” = “C:\WINDOWS\System32\ctfmon.exe” [MS] “MSMSGS” = ““C:\Program Files\Messenger\msmsgs.exe” /background” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “avast!” = “C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{472083B0-C522-11CF-8763-00608CC02F24}” = “avast” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “DisableRegistryTools” = (REG_DWORD) hex:0x00000000 {User Configuration|Administrative Templates|System| Prevent access to registry editing tools} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} “undockwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “C:\WINDOWS\Web\Wallpaper\Fale.jpg” Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\Documents and Settings\ANITEX _sc\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Startup items in “domek” & “All Users” startup folders: ------------------------------------------------------------ C:\Documents and Settings\All Users\Menu Start\Programy\Autostart “Microsoft Office” -> shortcut to: “C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l” [MS] “Program sieciowy dla SAGEM Wi-Fi 11g USB adapter” -> shortcut to: “C:\Program Files\SAGEM WiFi manager\WLANUTL.exe” [" "] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000004\LibraryPath = “%SystemRoot%\System32\nwprovau.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 25 %SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Agent SAP, NwSapAgent, “C:\WINDOWS\System32\svchost.exe -k netsvcs” {“C:\WINDOWS\System32\ipxsap.dll” [MS]} avast! Antivirus, avast! Antivirus, ““C:\Program Files\Alwil Software\Avast4\ashServ.exe”” [null data] avast! iAVS4 Control Service, aswUpdSv, ““C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe”” [null data] avast! Mail Scanner, avast! Mail Scanner, ““C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe” /service” [“ALWIL Software”] avast! Web Scanner, avast! Web Scanner, ““C:\Program Files\Alwil Software\Avast4\ashWebSv.exe” /service” [“ALWIL Software”] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ HP LaserJet 5 Language Monitor\Driver = “HPDCMON.DLL” [“Hewlett-Packard”] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer “No” at the first message box and “Yes” at the second message box. ---------- (total run time: 261 seconds, including 4 seconds for message boxes)
Złączono Posta : 05.02.2007 (Pon) 18:26
robie FIX w hijackThis, a to cały czas zostaje ;/ ;/ a w windowsie nie moge tego znaleść ;/ ;/;/
adam9870
(adam9870)
5 Luty 2007 19:45
#9
Czyli rozumiem, że chcesz usunąć ten wpis ponieważ sam tego nie instalowałeś:
Skoro masz trudności z jego usunięciem, to zrobimy to nieco inaczej. Zatem otwórz notatnik i wklej:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT i uruchom go w trybie awaryjnym.
Wpis usuń HJT jeśli będzie.
Po wykonaniu możesz pokazać nowe logi.
alfred1
(Anitex Sc)
5 Luty 2007 21:40
#10
Logfile of HijackThis v1.99.1 Scan saved at 22:31:23, on 2007-02-05 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\SAGEM WiFi manager\WLANUTL.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Documents and Settings\ANITEX _sc\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk = ? O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftup … 1699464483 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup … 1699429293 O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_28.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_28.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - “C:\PROGRA~1\MSNMES~1\msgrapp.dll” (file missing) O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\atievxx.exe (file missing) O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
“Silent Runners.vbs”, revision R50, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “CTFMON.EXE” = “C:\WINDOWS\System32\ctfmon.exe” [MS] “MSMSGS” = ““C:\Program Files\Messenger\msmsgs.exe” /background” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “avast!” = “C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{472083B0-C522-11CF-8763-00608CC02F24}” = “avast” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “DisableRegistryTools” = (REG_DWORD) hex:0x00000000 {User Configuration|Administrative Templates|System| Prevent access to registry editing tools} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} “undockwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “C:\WINDOWS\Web\Wallpaper\Fale.jpg” Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\Documents and Settings\ANITEX _sc\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Startup items in “ANITEX _sc” & “All Users” startup folders: ------------------------------------------------------------ C:\Documents and Settings\All Users\Menu Start\Programy\Autostart “Microsoft Office” -> shortcut to: “C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l” [MS] “Program sieciowy dla SAGEM Wi-Fi 11g USB adapter” -> shortcut to: “C:\Program Files\SAGEM WiFi manager\WLANUTL.exe” [" "] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000004\LibraryPath = “%SystemRoot%\System32\nwprovau.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 25 %SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Agent SAP, NwSapAgent, “C:\WINDOWS\System32\svchost.exe -k netsvcs” {“C:\WINDOWS\System32\ipxsap.dll” [MS]} avast! Antivirus, avast! Antivirus, ““C:\Program Files\Alwil Software\Avast4\ashServ.exe”” [null data] avast! iAVS4 Control Service, aswUpdSv, ““C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe”” [null data] avast! Mail Scanner, avast! Mail Scanner, ““C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe” /service” [“ALWIL Software”] avast! Web Scanner, avast! Web Scanner, ““C:\Program Files\Alwil Software\Avast4\ashWebSv.exe” /service” [“ALWIL Software”] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ HP LaserJet 5 Language Monitor\Driver = “HPDCMON.DLL” [“Hewlett-Packard”] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer “No” at the first message box and “Yes” at the second message box. ---------- (total run time: 334 seconds, including 4 seconds for message boxes)
teraz jak nigdy dostaje z 20 na minute komunikaty z avast! "…OSTRZEZENIE
Podejrzane rozszerzenie załącznika
* Flash Postcard.exe
Nadawca: Jozy B. Brown
Odbiorca: leadhmusic@yahoo.es
Temat: So in LovePodejrzane rozszerzenie załącznika
* Greeting Card.exe
załączniki sie zmienijaja i są inne ;/ ;/ ;/ to jest tak jakbym był spamerem ;/ ;/ ;/ ;/ ;/
adam9870
(adam9870)
5 Luty 2007 21:51
#11
Logi są czyste.
Proponuję zainstalować dodatek Service Pack 2. Poprawia on bezpieczeństwo w systemie etc. Więcej na jego temat znajdziesz tutaj:
http://xp.net.pl/art/xpsp2.html
http://xp.net.pl/art/windowsxp_sp2.html
Czy jesteś może w sieci lokalnej?
Pobierz program AVG Anti-Spyware zrób update i przeskanuj. Po przeskanowaniu możesz wrzucić raport.
alfred1
(Anitex Sc)
5 Luty 2007 22:09
#12
Ad-Aware SE Build 1.06r1
Plik raportu utworzony dnia:5 lutego 2007 22:53:45
Created with Ad-Aware SE Personal, free for private use.
Użyty plik definicji:SE1R149 05.02.2007
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Wykryto referencje podczas skanowania:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(Indeks TAC:0):7 łącznie referencji
Tracking Cookie(Indeks TAC:3):2 łącznie referencji
Win32.Trojan.MatrixHasYou(Indeks TAC:10):11 łącznie referencji
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Ad-Aware SE Settings
===========================
Ustawienia : Szukaj wpisów o niskim poziomie zagrożenia
Ustawienia : Tryb bezpieczny (zawsze wymaga potwierdzenia)
Ustawienia : Skanuj aktywne procesy
Ustawienia : Skanuj rejestr
Ustawienia : Dokładne skanowanie rejestru
Ustawienia : Szukaj zakazanych stron w ulubionych IE
Ustawienia : Skanuj mój plik Hosts
Extended Ad-Aware SE Settings
===========================
Ustawienia : Zwolnij z pamięci rozpoznane procesy i moduły podczas skanowania
Ustawienia : Skanuj rejestr dla wszystkich użytkowników
Ustawienia : Zawsze przed usunięciem staraj się zwalniać moduły z pamięci
Ustawienia : Podczas usuwania zwalniaj z pamięci eksploratora i IE, jeśli jest to konieczne
Ustawienia : Pozwól systemowi usuwać używane pliki przy następnym uruchomieniu komputera
Ustawienia : Usuń obiekty poddane kwarantannie po ich przywróceniu
Ustawienia : Dołącz standardowe ustawienia Ad-Aware do pliku raportu
Ustawienia : Dołącz dodatkowe ustawienia Ad-Aware do pliku raportu
Ustawienia : Dołącz podsumowanie referencji do pliku raportu
Ustawienia : Dołącz szczegóły alternatywnego strumienia danych do pliku raportu
Ustawienia : Odtwarzaj dźwięk po zakończeniu skanowania, gdy wykryto groźne obiekty
2007-02-05 22:53:45 - Skanowanie uruchomione. (Pełne skanowanie systemu)
MRU List Obiekt rozpoznany!
Lokalizacja: : C:\Documents and Settings\ANITEX _sc\recent
Opis : list of recently opened documents
MRU List Obiekt rozpoznany!
Lokalizacja: : software\microsoft\directdraw\mostrecentapplication
Opis : most recent application to use microsoft directdraw
MRU List Obiekt rozpoznany!
Lokalizacja: : S-1-5-21-861567501-1580436667-854245398-1003\software\microsoft\internet explorer\typedurls
Opis : list of recently entered addresses in microsoft internet explorer
MRU List Obiekt rozpoznany!
Lokalizacja: : S-1-5-21-861567501-1580436667-854245398-1003\software\microsoft\microsoft management console\recent file list
Opis : list of recent snap-ins used in the microsoft management console
MRU List Obiekt rozpoznany!
Lokalizacja: : S-1-5-21-861567501-1580436667-854245398-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru
Opis : list of recent programs opened
MRU List Obiekt rozpoznany!
Lokalizacja: : S-1-5-21-861567501-1580436667-854245398-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru
Opis : list of recently saved files, stored according to file extension
MRU List Obiekt rozpoznany!
Lokalizacja: : S-1-5-21-861567501-1580436667-854245398-1003\software\microsoft\windows\currentversion\explorer\recentdocs
Opis : list of recent documents opened
Wykaz uruchomionych procesów
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 500
ThreadCreationTime : 2007-02-05 21:12:22
BasePriority : Normal
#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 568
ThreadCreationTime : 2007-02-05 21:14:24
BasePriority : Normal
#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 592
ThreadCreationTime : 2007-02-05 21:14:26
BasePriority : High
#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 636
ThreadCreationTime : 2007-02-05 21:14:29
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : System operacyjny Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Usługi i aplikacja Kontroler
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Wszelkie prawa zastrzeżone.
OriginalFilename : services.exe
#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 656
ThreadCreationTime : 2007-02-05 21:14:29
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe
#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 836
ThreadCreationTime : 2007-02-05 21:14:34
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:7 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 856
ThreadCreationTime : 2007-02-05 21:14:35
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1016
ThreadCreationTime : 2007-02-05 21:14:37
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1028
ThreadCreationTime : 2007-02-05 21:14:37
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:10 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1224
ThreadCreationTime : 2007-02-05 21:14:40
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe
#:11 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1536
ThreadCreationTime : 2007-02-05 21:14:46
BasePriority : Normal
FileVersion : 6.00.2600.0000 (xpclient.010817-1148)
ProductVersion : 6.00.2600.0000
ProductName : System operacyjny Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Eksplorator Windows
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Wszelkie prawa zastrzeżone.
OriginalFilename : EXPLORER.EXE
#:12 [aswupdsv.exe]
FilePath : C:\Program Files\Alwil Software\Avast4\
ProcessID : 1752
ThreadCreationTime : 2007-02-05 21:14:49
BasePriority : Normal
#:13 [ashserv.exe]
FilePath : C:\Program Files\Alwil Software\Avast4\
ProcessID : 1968
ThreadCreationTime : 2007-02-05 21:14:52
BasePriority : High
FileVersion : 4, 7, 936, 0
ProductVersion : 4, 7, 0, 0
ProductName : avast! Antivirus
FileDescription : avast! antivirus service
InternalName : aswServ
LegalCopyright : Copyright (c) 2007 ALWIL Software
OriginalFilename : aswServ.exe
#:14 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 288
ThreadCreationTime : 2007-02-05 21:14:55
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe
#:15 [ashdisp.exe]
FilePath : C:\PROGRA~1\ALWILS~1\Avast4\
ProcessID : 1372
ThreadCreationTime : 2007-02-05 21:15:10
BasePriority : Normal
FileVersion : 4, 7, 936, 0
ProductVersion : 4, 7, 0, 0
ProductName : avast! Antivirus
FileDescription : avast! service GUI component
InternalName : aswDisp
LegalCopyright : Copyright (c) 2007 ALWIL Software
OriginalFilename : aswDisp.exe
#:16 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1280
ThreadCreationTime : 2007-02-05 21:15:12
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE
#:17 [msmsgs.exe]
FilePath : C:\Program Files\Messenger\
ProcessID : 1604
ThreadCreationTime : 2007-02-05 21:15:13
BasePriority : Normal
FileVersion : 4.0.0155
ProductVersion : Version 4.0
ProductName : Messenger
CompanyName : Microsoft Corporation
FileDescription : Messenger Client
InternalName : msmsgs
LegalCopyright : Copyright (c) Microsoft Corporation 1997-2001
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
OriginalFilename : msmsgs.exe
#:18 [wlanutl.exe]
FilePath : C:\Program Files\SAGEM WiFi manager\
ProcessID : 1680
ThreadCreationTime : 2007-02-05 21:15:15
BasePriority : Normal
FileVersion : 2, 5, 5, 1
ProductVersion : 2, 5, 5, 1
ProductName : SAGEM Wi-Fi 11g USB adapter LAN Utility
FileDescription : SAGEM Wi-Fi 11g USB adapter LAN Utility
InternalName : WLANUTL
LegalCopyright : Copyright (c) 2006, Inc
OriginalFilename : WLANUTL.EXE
#:19 [ashwebsv.exe]
FilePath : C:\Program Files\Alwil Software\Avast4\
ProcessID : 1000
ThreadCreationTime : 2007-02-05 21:16:34
BasePriority : Normal
#:20 [ashmaisv.exe]
FilePath : C:\Program Files\Alwil Software\Avast4\
ProcessID : 1360
ThreadCreationTime : 2007-02-05 21:16:52
BasePriority : Normal
#:21 [taskdir.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 3480
ThreadCreationTime : 2007-02-05 21:37:01
BasePriority : Normal
Win32.Trojan.MatrixHasYou Obiekt rozpoznany!
Typ : Proces
Dane : taskdir.exe
Ocena TAC : 10
Kategoria : Malware
Komentarz : google.png.exe.dmp
Obiekt : C:\WINDOWS\system32\
Uwaga! Win32.Trojan.MatrixHasYou Znaleziono obiekt w pamięci(C:\WINDOWS\system32\taskdir.exe)
"C:\WINDOWS\system32\taskdir.exe"Proces zakończony pomyślnie
"C:\WINDOWS\system32\taskdir.exe"Proces zakończony pomyślnie
#:22 [ad-aware.exe]
FilePath : C:\Program Files\Lavasoft\Ad-Aware SE Personal\
ProcessID : 9820
ThreadCreationTime : 2007-02-05 21:52:52
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved
Wynik skanowania pamięci:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nowe obiekty: 1
Dotychczas znalezionych obiektów: 8
Uruchomiono skanowanie rejestru
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Wynik skanowania rejestru:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nowe obiekty: 0
Dotychczas znalezionych obiektów: 8
Uruchomiono dokładne skanowanie rejestru
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Wynik dokładnego skanowania rejestru:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nowe obiekty: 0
Dotychczas znalezionych obiektów: 8
Rozpoczęto skanowanie Cookie
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Tracking Cookie Obiekt rozpoznany!
Typ : IECache Entry
Dane : anitex _sc@tradedoubler[1].txt
Ocena TAC : 3
Kategoria : Data Miner
Komentarz : Hits:3
Wartość : Cookie:anitex _sc@tradedoubler.com/
Expires : 2027-01-31 20:18:24
LastSync : Hits:3
UseCount : 0
Hits : 3
Tracking Cookie Obiekt rozpoznany!
Typ : IECache Entry
Dane : anitex _sc@rambler[1].txt
Ocena TAC : 3
Kategoria : Data Miner
Komentarz : Hits:1
Wartość : Cookie:anitex _sc@rambler.ru/
Expires : 2017-02-02 22:46:20
LastSync : Hits:1
UseCount : 0
Hits : 1
Wynik skanowania Cookie:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nowe obiekty: 2
Dotychczas znalezionych obiektów: 10
Dokładne skanowanie i sprawdzanie plików (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Wynik skanowania dysku C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nowe obiekty: 0
Dotychczas znalezionych obiektów: 10
Dokładne skanowanie i sprawdzanie plików (D:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Wynik skanowania dysku D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nowe obiekty: 0
Dotychczas znalezionych obiektów: 10
Skanowanie pliku Hosts......
Lokalizacja pliku Hosts:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Wyniki skanowania pliku Hosts:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Zeskanowanych wpisów: 1.
Nowe obiekty:0
Dotychczas znalezionych obiektów: 10
Wykonuje skanowanie warunkowe...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Win32.Trojan.MatrixHasYou Obiekt rozpoznany!
Typ : Klucz rejestru
Dane :
Ocena TAC : 10
Kategoria : Malware
Komentarz : Removing key.
Klucz główny : HKEY_CURRENT_USER
Obiekt : software\microsoft\windows\currentversion\policies\system
Win32.Trojan.MatrixHasYou Obiekt rozpoznany!
Typ : Klucz rejestru
Dane :
Ocena TAC : 10
Kategoria : Malware
Komentarz :
Klucz główny : HKEY_LOCAL_MACHINE
Obiekt : system\controlset001\services\wincom32
Win32.Trojan.MatrixHasYou Obiekt rozpoznany!
Typ : Wartość rejestru
Dane :
Ocena TAC : 10
Kategoria : Malware
Komentarz :
Klucz główny : HKEY_LOCAL_MACHINE
Obiekt : system\controlset001\services\wincom32
Wartość : Start
Win32.Trojan.MatrixHasYou Obiekt rozpoznany!
Typ : Wartość rejestru
Dane :
Ocena TAC : 10
Kategoria : Malware
Komentarz :
Klucz główny : HKEY_LOCAL_MACHINE
Obiekt : system\controlset001\services\wincom32
Wartość : ErrorControl
Win32.Trojan.MatrixHasYou Obiekt rozpoznany!
Typ : Wartość rejestru
Dane :
Ocena TAC : 10
Kategoria : Malware
Komentarz :
Klucz główny : HKEY_LOCAL_MACHINE
Obiekt : system\controlset001\services\wincom32
Wartość : DisplayName
Win32.Trojan.MatrixHasYou Obiekt rozpoznany!
Typ : Klucz rejestru
Dane :
Ocena TAC : 10
Kategoria : Malware
Komentarz :
Klucz główny : HKEY_LOCAL_MACHINE
Obiekt : system\currentcontrolset\services\wincom32
Win32.Trojan.MatrixHasYou Obiekt rozpoznany!
Typ : Wartość rejestru
Dane :
Ocena TAC : 10
Kategoria : Malware
Komentarz :
Klucz główny : HKEY_LOCAL_MACHINE
Obiekt : system\currentcontrolset\services\wincom32
Wartość : Start
Win32.Trojan.MatrixHasYou Obiekt rozpoznany!
Typ : Wartość rejestru
Dane :
Ocena TAC : 10
Kategoria : Malware
Komentarz :
Klucz główny : HKEY_LOCAL_MACHINE
Obiekt : system\currentcontrolset\services\wincom32
Wartość : ErrorControl
Win32.Trojan.MatrixHasYou Obiekt rozpoznany!
Typ : Wartość rejestru
Dane :
Ocena TAC : 10
Kategoria : Malware
Komentarz :
Klucz główny : HKEY_LOCAL_MACHINE
Obiekt : system\currentcontrolset\services\wincom32
Wartość : DisplayName
Win32.Trojan.MatrixHasYou Obiekt rozpoznany!
Typ : Plik
Dane : taskdir.exe
Ocena TAC : 10
Kategoria : Malware
Komentarz :
Obiekt : C:\WINDOWS\System32\
Wynik skanowania warunkowego:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Nowe obiekty: 10
Dotychczas znalezionych obiektów: 20
23:01:47 Skanowanie zakończone
Podsumowanie
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Łączny czas skanowania:00:08:01.312
Zeskanowane obiekty:119519
Zidentyfikowane obiekty:15
Zignorowane obiekty:0
Nowe obiekty:15
adam9870
(adam9870)
6 Luty 2007 14:12
#13
Pokaż dwa logi z Gmer’a przy takich ustawieniach:
Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
Jeśli wszystkie logi nie zmieszczą się bezpośrednio do posta to umieść je w plikach tekstowych, umieść w jakimś serwisie hostingowym i tu tylko zlinkuj.
http://forum.dobreprogramy.pl/viewtopic.php?t=96929