Log do kontroli


(Klio904) #1

ponizej wklejam loga prosze o sprawdzenie go komp zostal przeskanowany przez ewido i byl plik w dokumetach control zawierajacy 4026 zainfekowanych zip plikow Strony internetowe jednak nadal albo powoli sie otwieraja albo wogole prosze o pomoc bo nie che nic sama kasowac.

Logfile of HijackThis v1.99.1

Scan saved at 20:18:45, on 25.11.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Programme\Java\jre1.5.0_05\bin\jusched.exe

C:\Programme\phonostar\ps_timer.exe

C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

C:\Programme\Alwil Software\Avast4\ashServ.exe

C:\Programme\Alwil Software\Avast4\ashMaiSv.exe

C:\Programme\Alwil Software\Avast4\ashWebSv.exe

C:\Programme\Avant Browser\avant.exe

C:\Programme\ewido\security suite\ewidoguard.exe

C:\Programme\ewido\security suite\ewidoctrl.exe

C:\Dokumente und Einstellungen\Gregor\Desktop\hijackthis\HijackThis.exe


O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe

O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\Programme\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Programme\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - C:\Programme\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Podœwietl - C:\Programme\Avant Browser\Highlight.htm

O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm

O8 - Extra context menu item: Szukaj - C:\Programme\Avant Browser\Search.htm

O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B8480245-F4F0-40EA-B52C-D886E57CB0AE}: NameServer = 217.237.151.97 217.237.150.33

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe

====================================

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

Pozdrawiam kuz5


(Gutek) #2

możesz cuiachnać hijackeim ale to nic co mówiłaś, podaj lokalizację pliku

Ten UserFaultCheck możesz usunąć Hijackiem i całkowicie zapobiec powstawaniu tego wpisu poprzez:

Panel sterowania >>> System >>> Zaawansowne >>> Uruchamianie i odzyskiwanie

Klikasz Ustawienia i w sekcji Zapisywanie.


(Klio904) #3

Hmmmm zrobilam tak i dalej to samo caly czas strony sa wolne lub sie nie otwieraja

Tego dokladnie nie zrozumialam klikasz ustawienia i w sekcji zapisywanie co mam zrobic ja tu mam niemieckiego win xp home

Log po skasowaniu tego co powiedziales


(Gutek) #4

Urwało mi sorki - Klikasz Ustawienia i w sekcji Zapisywanie informacji o debugowaniu ustaw opcję na Brak :oops:

Czy to od dzisiaj tak się ślimaczy czy juz kilka dni?

Dlaczego uzywasz 2 antywirusów?


(Klio904) #5

od wczoraj sie tak slimaczy

mks to jest skaner online tylko onlin nim skanuje ale instalaka jest na kompie i zainstalowany zeby jak sie wejdzie na online to dzialal tak mi sie wydaje :oops: a avast to ten co sobie dziala caly czas a jak teraz log wyglonda jak rano skanowalam ewido to milalam 4026 zainfekownych plikow w jednym folderze ktorego normalnie nie bylo widac teraz mialam 5 ale juz nic nie ma jednak dlaej to samo?????


(Gutek) #6

Jak coś siedzi w hijacku nie widac daj LOG z Silent Runners


(Gutek) #7

Sorki nie ten log :wink:

Zobacz jak zrobić: http://www.searchengines.pl/phpbb203/in ... opic=15989


(Klio904) #8

nie otwiera mi tej strony mozesz mi jakos inaczej pomoc??


(lazikar) #9

ania1234 wysyłaj to mailem a nie na forum. Jest zbyt długie.

Skasowano


(Gutek) #10

Ok zób tak: http://www.silentrunners.org/Silent%20Runners.vbs i (prawy klik >>> Zapisz jako)

Plik podwójnie klikamy. Jeśli uruchomienie się powiedzie i nie będzie błędów (patrz niżej) otrzymamy takie tajemnicze pytanko które jest nieco podchwytliwe:

silent1.png

Supplementary searches" oznacza wyszukiwanie dodatkowe i bardziej kompletne ale za to bardzo powolne. "Do You want to skip..." = czy chcesz ominąć:

  • Zaznaczenie opcji Yes da skróconego loga generowanego bardzo szybko

  • Zaznaczenie opcji No da pełnego loga generowanego bardzo wolno

Chcę od was oczywiście "No". Zatwierdzenie tego wyboru rozpocznie pracę narzędzia obwieszczoną komunikatem

silent2.png

Od tego momentu odbywa się skan rejestru i kompletowanie loga i tu ... UWAGA ... Praca narzędzia odbywa się w sposób niewidoczny i to wygląda jakby się nic nie działo ale macie czekać cierpliwie nawet jeśli będzie to trwać 3 minuty (teoretycznie trwa to tylko 30 sec)! Znakiem zakończenia pracy narzędzia jest komunikat:

silent3.png

Dopóki ten komunikat się nie pojawi log będzie niekompletny i obcięty! Log jest tworzony automatycznie w folderze w którym jest Silent Runners w postaci pliku Startup Programs (data-czas). TXT. Mamy więc loga, otwieramy go w Notatniku i przeklejamy jego zawartość do posta


(Klio904) #11

jak dlugo bedziesz musze cos zmienic zeby mi sie ten program otworzyl wiec 15 minut to potrwa


(Gutek) #12

Jak ściagniesz i zrobisz jak napisałem to w 2 minuty masz log


(Klio904) #13

wczoraj prubowal uruchomic ten progran jednak mialam Problemy z uruchomieniem Silent Runners jak nie Komunikat "Dostęp do hosta skryptów systemu Windows jest wyłączony na tym komputerze" z tym sie uporalam zrobilam jak w instrukcji to potem mialam Po kliknięciu na VBS następuje prośba o wskazanie programu otwierającego lub program otwiera się w Notatniku no i z tym juz nie mam pojecia co zrobic jak mozesz mi pomoc??


(Gutek) #14

Problemem jest wyłączone WSH Windowsa. Proszę z TEJ(opisze nizej) instrukcji wykonać włączenie WSH (narzędzie Noscript na Enable, skojarzyć otwieranie VBS z wscript.exe, ustawić domyślną akcję z Edytuj na Otwórz).

Robimy to narzędziem Symantec http://www.symantec.com/avcenter/noscript.exe Wystarczy tylko uruchomić progsika i ENABLED zamienić na DISABLED

wsh2.png


(Klio904) #15

To teraz pokazuje mi ze nie idzie otworzyc mam wybrac program z listy albo poszukac na stronie www nie kumam juz nic chyba za bardzo sie denerwuje co robie zle?


(Gutek) #16

http://www.searchengines.pl/phpbb203/in ... opic=15989 otwórz ą storne masz tam dokąłdny opis nie chgće kopiować tutaj cąłości i tak robię to nazwijmy gościnnie spróbuj i poczekaj