Log do sprawdzenia

Dla specjalistów Bezpieczeństwo
#1

Logfile of HijackThis v1.99.0

Scan saved at 15:36:23, on 2005-02-21

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AdTools Service\AdTools.exe

C:\WINDOWS\System32\ap9h4qmo.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Internet Optimizer\optimize.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\Program Files\AdTools Service\AdToolsKeep.exe

C:\temp\salm.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Valve\Steam\Steam.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\a\Pulpit\hijackthis1.99\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

O2 - BHO: (no name) - {FA6A1EB4-43E1-4316-A98A-12645608D646} - C:\WINDOWS\System32\dlli.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

O4 - HKLM…\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe

O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\a\USTAWI~1\Temp\se.dll,DllInstall

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [APVXDWIN] “C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE” /s

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [sCANINICIO] “C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe”

O4 - HKLM…\Run: [zqbwdgz] C:\WINDOWS\zqbwdgz.exe

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [steam] C:\Valve\Steam\Steam.exe -silent

O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O18 - Filter: text/html - {C9A20E5B-9110-42EB-81B1-CBB29E43F647} - C:\WINDOWS\System32\dlli.dll

O18 - Filter: text/plain - {C9A20E5B-9110-42EB-81B1-CBB29E43F647} - C:\WINDOWS\System32\dlli.dll

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service - Unknown - C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service - Unknown - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

To jest najbardziej aktualny log mojego kompa Pliz sprawdzcie go i pomózcie !!

#2

Trojany:

Znasz to ? /usuń

#3

Ciągle zmienia mi sie stronka startowa IE 6.0 NP.Mam ustawioną http://www.wp.pl wchodze jest wszystko ok i po chwili zmienia mi sie na about:blank moze ma to coś wspólnego z logiem i sprawdzie aktualnego loga i pomózcie MI !

Po usunięciu log wygląda tak:

Logfile of HijackThis v1.99.0

Scan saved at 15:43:24, on 2005-02-21

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AdTools Service\AdTools.exe

C:\WINDOWS\System32\ap9h4qmo.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Internet Optimizer\optimize.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\Program Files\AdTools Service\AdToolsKeep.exe

C:\temp\salm.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Valve\Steam\Steam.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\a\Pulpit\hijackthis1.99\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

O2 - BHO: (no name) - {FA6A1EB4-43E1-4316-A98A-12645608D646} - C:\WINDOWS\System32\dlli.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Panda Firewall Service - Unknown - C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service - Unknown - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
#4

na poczatku wylacz przywracanie systemu i

wejdz w tryb awaryjny f8 i za pomoca hijacka zafixuj:

C:\Program Files\Internet Optimizer\optimize.exe

C:\temp\salm.exe

Dodatkowo musisz te wpisy powyzej usunac recznie z kompa.

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

O4 - HKLM…\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

nastepnie przeskanuj system juz w normalnym trybie:

http://forum.dobreprogramy.pl/viewtopic.php?t=17671

Wlacz przywracanie systemu i daj raz jeszcze log

#5

Wyłącz przywracanie systemu, start w wawaryjnym.

Za pomocą HiJacka usuwasz:

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

O4 - HKLM…\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe

O4 - HKLM…\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe

Następnie fizycznie usuwasz te czerwone:

C:\Program Files\ AdTools Service\AdTools.exe

C:\WINDOWS\System32\ ap9h4qmo.exe

C:\Program Files\ AdTools Service\AdToolsKeep.exe

C:\temp\ salm.exe

#6

Zobacz tutaj. Miałem identyczny problem. Tylko pod Win98. U mnie zamiast wpisów dlli.dll było acmd.dll w identycznych miejscach.

#7

Canteri a co zrobiłes bo z tego sie zbyt duzo nie dowiedzialem :frowning:

#8

Podejżewam że po usunięciu w trybie awaryjnymw HJT wpisów

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\a\USTAWI~1\Temp\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\a\USTAWI~1\Temp\se.dll/sp.html

O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\a\USTAWI~1\Temp\se.dll,DllInstall

O18 - Filter: text/html - {C9A20E5B-9110-42EB-81B1-CBB29E43F647} - C:\WINDOWS\System32\dlli.dll

O18 - Filter: text/plain - {C9A20E5B-9110-42EB-81B1-CBB29E43F647} - C:\WINDOWS\System32\dlli.dll

pojawiają sie na nowo i ładuje ci się strona startowa abaut;blank

a gdy skasujesz plik se.dll po starcie systemu laduje sie na nowo.

Ja w HJT w zakładce config - misc tools - delette the files - usunąłem pliki dll - u ciebie wnioskuje że nalezy usunąć: se.dll i dlli.dll - usunąłem też wszystkie wpisy związane z tymi plikami przez fix cheked.

W msconfigu wyłączyłem proces se.dll i pomogło

Jeszcze jedno.

Sprawdź czy masz w dodaj usuń programy SearchAsistentUninstall - jeżeli da ci się odinstalowac to usuń a jak nie to też usuń HJT (confi - misc tools - Open Uninstall Manager - delete)

#9

Usunąłem Sereach Asistents a co to jest ??

#10

Toolbar szpiegowski.

#11

Jak to usunąłem powinno byc juz dobrze z tą stroną startową ?? Bo widze ze juz wszystko jest OK

#12

Sam sobie odpowiedziałeś :smiley:

Poczekamy…zobaczymy :smiley:

#13

zrób skana Kasperskim albo czymś innym a nie Pandą. Sam ją kiedyś miałem i tak mi puszczała wiry i trojany że musiałem formata zrobić !!