Log hijack - prośba o sprawdzenie


(chi_kwadrat) #1

Hej.

Bardzo proszę o sprawdzenie loga. Musi być tam sporo syfu bo komputer zdecydowanie odmawia współpracy.

Niestety nie mam bezpośredniego dostępu do tego komputera ale próbuję jakoś zdalnie pomóc w postawieniu go na nogi.. 8)

Z góry wielkie dzięki!!

Logfile of HijackThis v1.99.0

Scan saved at 20:08:11, on 2005-01-26

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

F:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

F:\WINDOWS\System32\nvsvc32.exe

F:\WINDOWS\Explorer.EXE

F:\WINDOWS\system32\ntvdm.exe

F:\WINDOWS\htpatch.exe

F:\WINDOWS\System32\Fmctrl.EXE

F:\WINDOWS\System32\taskswitch.exe

F:\Program Files\Browser MOUSE\mouse32a.exe

F:\WINDOWS\System\svchost.exe

F:\Documents and Settings\BeaKaj\Dane aplikacji\rmai.exe

F:\WINDOWS\System32\NDrv.exe

F:\Program Files\Gadu-Gadu\gg.exe

F:\Program Files\Yahoo!\Messenger\ypager.exe

F:\WINDOWS\System32\taskmgr.exe

D:\program\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\DOCUME~1\BeaKaj\USTAWI~1\Temp\sp.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customi ... .yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\DOCUME~1\BeaKaj\USTAWI~1\Temp\sp.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = w3cache.sgh.waw.pl:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F3 - REG:win.ini: load=F:\YDPDict\watch.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - F:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {0E3A8CD4-1076-426A-8FD1-6B9970EF4833} - F:\WINDOWS\System32\jjijbb.dll

O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - F:\WINDOWS\System32\NDrv.dll

O2 - BHO: Setup.Setup1 - {2E65A557-173C-4DE9-860B-28FC5CACA542} - F:\DOCUME~1\BeaKaj\DANEAP~1\Setup\Setup.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - F:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll

O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - F:\WINDOWS\Downloaded Program Files\bridge.dll

O2 - BHO: Curl Class - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - F:\WINDOWS\System32\NDrv.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - F:\Program Files\Siber Systems\AI RoboForm\RoboForm.dll

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - F:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx

O4 - HKLM..\Run: [HTpatch] F:\WINDOWS\htpatch.exe

O4 - HKLM..\Run: [siSUSBRG] F:\WINDOWS\SiSUSBrg.exe

O4 - HKLM..\Run: [systemTray] SysTray.Exe

O4 - HKLM..\Run: [FmctrlTray] Fmctrl.EXE

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [CoolSwitch] F:\WINDOWS\System32\taskswitch.exe

O4 - HKLM..\Run: [RunDLL] rundll32.exe "F:\WINDOWS\Downloaded Program Files\bridge.dll",Load

O4 - HKLM..\Run: [FLMOFFICE4DMOUSE] F:\Program Files\Browser MOUSE\mouse32a.exe

O4 - HKLM..\Run: [tjstartup] F:\WINDOWS\System\svchost.exe

O4 - HKCU..\Run: [Aaao] F:\Documents and Settings\BeaKaj\Dane aplikacji\rmai.exe

O4 - HKCU..\Run: [NDrv] F:\WINDOWS\System32\NDrv.exe

O4 - HKCU..\Run: [Gadu-Gadu] "F:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [Komunikator] F:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU..\Run: [Yahoo! Pager] F:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Yahoo! Search - file:///F:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Customize Menu &4 - file://F:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Fill Forms &] - file://F:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O8 - Extra context menu item: Save Forms &[ - file://F:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Yahoo! &Dictionary - file:///F:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! &Maps - file:///F:\Program Files\Yahoo!\Common/ycdict.htm

O9 - Extra button: Fill Forms - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://F:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Fill Forms &] - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://F:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra button: Save - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://F:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra 'Tools' menuitem: Save Forms &[ - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://F:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - F:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll

O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://F:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra 'Tools' menuitem: RF Toolbar &2 - {724d43aa-0d85-11d4-9908-00400523e39a} - file://F:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com/activex/MyE ... roject.cab

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab

O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP ... bridge.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/w ... der_v6.cab

O18 - Filter: text/html - {2DD67A27-8155-40F3-A36E-D935A6AB15A4} - F:\WINDOWS\System32\jjijbb.dll

O18 - Filter: text/plain - {2DD67A27-8155-40F3-A36E-D935A6AB15A4} - F:\WINDOWS\System32\jjijbb.dll

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe


(Chees) #2

do usuniecia w trybie awaryjnym:

F:\WINDOWS\System\svchost.exe

F:\WINDOWS\System32\NDrv.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\DOCUME~1\BeaKaj\USTAWI~1\Temp\sp.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\DOCUME~1\BeaKaj\USTAWI~1\Temp\sp.dll/sp.html

O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - F:\WINDOWS\System32\NDrv.dll

O2 - BHO: Setup.Setup1 - {2E65A557-173C-4DE9-860B-28FC5CACA542} - F:\DOCUME~1\BeaKaj\DANEAP~1\Setup\Setup.dll

O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - F:\WINDOWS\Downloaded Program Files\bridge.dll

O2 - BHO: Curl Class - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - F:\WINDOWS\System32\NDrv.dll

O4 - HKCU..\Run: [NDrv] F:\WINDOWS\System32\NDrv.exe

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP ... bridge.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab


(adpawl) #3

Przeskanuj cwshredder'em, pestpatrolem i spybotem. (oczywiście po zrobieniu update'a!!

linki: http://download.zonelabs.com/bin/free/p ... olHome.exe

http://download.softpedia.ro/software/A ... sd14b2.exe

http://cwshredder.net/bin/CWShredder.exe

BTW

Serek , tam jest o wiele więcej syfu...


(Chees) #4

to niech kolega pomoze. Napisalem to co wiedzialem :wink:


(Kuz5) #5

Do usunięcia w trybie awaryjnym:

F:\WINDOWS\System\svchost.exe

F:\WINDOWS\System32\NDrv.exe

F:\Documents and Settings\BeaKaj\Dane aplikacji\rmai.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\DOCUME~1\BeaKaj\USTAWI~1\Temp\sp.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\DOCUME~1\BeaKaj\USTAWI~1\Temp\sp.dll/sp.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = w3cache.sgh.waw.pl:8080

O2 - BHO: (no name) - {0E3A8CD4-1076-426A-8FD1-6B9970EF4833} - F:\WINDOWS\System32\jjijbb.dll

O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - F:\WINDOWS\System32\NDrv.dll

O2 - BHO: Setup.Setup1 - {2E65A557-173C-4DE9-860B-28FC5CACA542} - F:\DOCUME~1\BeaKaj\DANEAP~1\Setup\Setup.dll

O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - F:\WINDOWS\Downloaded Program Files\bridge.dll

O2 - BHO: Curl Class - {A78CC2FF-6E4E-4556-B27C-D7C3A70D7A50} - F:\WINDOWS\System32\NDrv.dll

O4 - HKLM..\Run: [tjstartup] F:\WINDOWS\System\svchost.exe

O4 - HKCU..\Run: [NDrv] F:\WINDOWS\System32\NDrv.exe

O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe

O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP ... bridge.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Zainstaluj sp2


(chi_kwadrat) #6

Dzięki wszyscy

a czy tego jesteś pewien?

SGH to taka uczelnia a ten komp stoi w akademiku...

może ten serwer proxy jest potrzebny do działania sieci??

Jak już pisałem - pomagam zdalnie...

spybotem i innymi przeskanuje jak przynajmniej strony zaczną się normalnie ładować. (trzeba go skądś ściągnąć...) :wink: z tego co wiem to na razie korzystanie z przeglądarki jest prawie niemożliwe :frowning:

W każdym razie dzięki


(adpawl) #7

Na wszelki wypadek (nie wiem czy wszystkie już zostały podane...)


(Kuz5) #8

Na wszelki wypadek lepiej zostaw go.


(fiesta) #9

I wcale się nie dziwię skoro brak jakiegokolwiek antywira.


(chi_kwadrat) #10

Uff.

Dzieki! Udało się przywrócić przynajmniej część sprawności.

Jeszcze trochę trzeba poczyścić, ale przynajmniej stronki się wczytują.

Zaraz instalujemy spybota, avasta i powinno być już ok :slight_smile:

jutro jeszcze raz pewnie wkleję loga aby się ostatecznie upewnić.

tymczasem pozdrawiam