Logi - hijack this

Dla specjalistów Bezpieczeństwo
#181

Mam prosbe.Sprawdzi to ktos?

Prosze :slight_smile:

Logfile of HijackThis v1.97.7

Scan saved at 14:50:29, on 2004-10-29

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\Instalki\Panda\APVXDWIN.EXE

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\System32\nvsvc32.exe

D:\Instalki\Panda\Firewall\PavFires.exe

D:\Instalki\Panda\pavsrv51.exe

D:\Instalki\Panda\AVENGINE.EXE

D:\Instalki\Panda\pavProxy.exe

D:\Instalki\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\instalki\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM…\Run: [sCANINICIO] “D:\Instalki\Panda\Inicio.exe”

O4 - HKLM…\Run: [APVXDWIN] “D:\Instalki\Panda\APVXDWIN.EXE” /s

O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O9 - Extra ‘Tools’ menuitem: Sun Java Console (HKLM)

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc … tor/sw.cab

O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) - http://poczta.wp.pl/autoryzacja/mailcfg.ocx

O16 - DPF: {70B410C0-BADA-11D4-8308-0080C8D7ED4A} (GameDesire Bridge) - http://67.15.101.3/g_bin/pl/bridge_2_0_0_15.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc … wflash.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.2/g_bin/pl/billard8_2_0_0_20.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.2/g_bin/pl/snooker_2_0_0_20.cab

I jeszcze powie co mam robic? Z gory wielkie dzieki:0

#182

start - uruchom - wpisz - msconfig - Zakładka uruchamianie -

odznacz jusched.exe

Kosmetycznie możesz wywalić to:

Log czysty :wink:

#183

Witam,

Proszę o pomoc - zainstalowalo mi sie jakieś swinstwo i za cholere nie moge sie tego pozbyć.

Przegladajac to forum poczytalem troche opisow, sciagnałem hijack (1.98.2), zrobile scan i oto co dostalem:

Logfile of HijackThis v1.98.2 

Scan saved at 13:54:00, on 2004-10-31 

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) 

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) 


Running processes: 

C:\WINDOWS\System32\smss.exe 

C:\WINDOWS\system32\winlogon.exe 

C:\WINDOWS\system32\services.exe 

C:\WINDOWS\system32\lsass.exe 

C:\WINDOWS\system32\svchost.exe 

C:\WINDOWS\System32\svchost.exe 

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe 

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe 

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe 

C:\WINDOWS\Explorer.EXE 

C:\WINDOWS\system32\spoolsv.exe 

C:\Program Files\Common Files\Symantec Shared\ccApp.exe 

C:\Program Files\Common Files\Symantec Shared\ccProxy.exe 

C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe 

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe 

C:\WINDOWS\System32\systime.exe 

C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE 

C:\WINDOWS\System32\ctfmon.exe 

C:\WINDOWS\System32\systime.exe 

C:\WINDOWS\System32\tcpsvcs.exe 

C:\WINDOWS\System32\snmp.exe 

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe 

C:\Program Files\Internet Explorer\iexplore.exe 

C:\Program Files\Internet Optimizer\optimize.exe 

C:\Program Files\Microsoft Money\System\urlmap.exe 

C:\Program Files\Messenger\msmsgs.exe 

C:\Documents and Settings\Dom\Moje dokumenty\wersje instalacyjne\hijack this\HijackThis.exe 


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php 

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll 

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll 

O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll 

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll 

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll 

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll 

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx 

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll 

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll 

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" 

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\Norton AntiVirus\AdvTools\ADVCHK.EXE 

O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C43 Series" /O6 "USB001" /M "Stylus C43" 

O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe 

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" 

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto 

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe 

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SymNetDrv\SNDMon.exe 

O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe 

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm 

O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm 

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000 

O8 - Extra context menu item: Open PDF in Word - res://C:\Program Files\ScanSoft\PDF Converter\IEShellExt.dll /100 

O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm 

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE 

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll 

O15 - Trusted Zone: *.windupdates.com 

O16 - DPF: {9E1089BC-1AE8-4685-8D77-6721E5C318A8} (loader2 Class) - http://217.73.66.16/comload.dll 

O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB

W trybie awaryjnym skasowalem: R0; R1; O8 [webrebates]; O16 [xbs.mtreecom…] ale po uruchomieniu windows’a w normalnym trybie wciąz pojawiają się wpisy jak wyżej oraz ciagle mam problem z IE (ustawia dziwną stronę startową, której nie mogę zlikwidować, co jakis czas wskakuje jakas strona xxx, oraz uruchamia sie jakis plik free.exe, ktorego nie moge nigdzie znaleść).

Ubiłem również wszystkie dziwne wpisy w msconfig (z trybu awaryjnego)

Jeżeli ktos miałyby jakis pomysł to będę wdzięczny za radę.

#184

Wylacz przywracanie systemu, przejdz do trybu awaryjnego i pousuwaj ponizsze wpisy zarowno z hijacka jak i pliki znajdujace sie na dysku

C:\WINDOWS\System32\systime.exe 

C:\WINDOWS\System32\systime.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php 

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll 

O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll 

O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe 

O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe 

O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm 

O15 - Trusted Zone: *.windupdates.com 

O16 - DPF: {9E1089BC-1AE8-4685-8D77-6721E5C318A8} (loader2 Class) - http://217.73.66.16/comload.dll 

O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB
#185

napisałem wcześniej post z prośba o sprawdzenie loga ale nie tam gdzie trzeba, odpisal mi shark :lol: w następujacej treści:

Idąc za Jego zaleceniami :smiley:

Programem JV16 Power tools 1.4.1 wyczyściłem rejestr

następnie programem X-skan usunąłem cos takiego:

Gator

KeenValue

MySearch

do tych 2 ostatnich musiałem wyłączyc przywracanie systemu.

Nastepnie przeskanowałem komputer mks vir i znalazł mi cos takiego jako podejżenie wirusa:

C:\Program Files\Microsoft Office\Office10\Library\CFXL.xla

ale to chyba nie jest wirus :-k

następnie programem RAV - nic nie znalazł

Nastepnie próbowałem jeszcze F-Secure ale wyskakiwało:

“Unsufficient rights to use ActiveX controls. Plese check your user rights and Internet Explorer security settings”

W opcji pobieranie niepodpisanych formantów ActiveX dałem Monituj

ruszyło ale zaczeło wyskakiwac:

"Unable to download databases! Please try again:

próbowałem az sie stwierdziłem że to omine :frowning:

Zrobiłem znowu loga z HiJackThis

Oto on:

Logfile of HijackThis v1.98.2

Scan saved at 22:11:28, on 2004-10-31

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\devldr32.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\kris\Pulpit\Srodka\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097114291384

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{798C5B38-783C-486C-94B2-618034F699DF}: NameServer = 157.158.0.4,157.158.0.5

prosze o dalsza pomoc! !!

#186

Kasujesz w trybie awaryjnym:

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) 

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097114291384

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab

Start - uruchom - msconfig-uruchamianie-odznacz WinampAgent

Potrzebny Ci jest InCD bo chyba nie ???

Start - uruchom - msconfig-uruchamianie-odznacz InCD oraz NeroCheck

Masz service packa 2. Bardzo dobrze !

#187

Czy aby nie przesadzasz ?? Co ma wspólnego winamp ze szpiegami ??

#188

Jest to winamp agent - wcale nieprzydatny :\

Już sie nawet do sprawdzania log uwzieliście ?? :-x

#189

Winamp agent odpowiada za otwieranie Winampa z poziomu tray’a.

Jest to najzupełniej niepotrzebne i przy tym obciąża zarówno ładowanie, jak i zasoby systemu.

Równie dobrze możemy otwierać Winampa z pulpitu, o ile mamy na to ochotę.

Generalnie dyskutując na temat zapisów loga, doradza się - które programy wyłączyć z msconfig!

Doradzają koledzy tu, jak również zwraca na to uwagę Picasso z wiadomego Forum! 8)

#190

Co to jest nie musisz mi tłumaczyć.

IMHO z komputerem mam dłużej do czynienia niż Ty jesteś na tym bożym świecie.

Czy tak do niczego to tak do końca nie jestem pewien. Jest on odpowiedzialny choćby za powiązania plików z Winampem.

Jego wyłączenie jest sprawą czysto kosmetyczną.

A tego nie będę komentował :x :x :x

#191 
Logfile of HijackThis v1.98.2

Scan saved at 17:32:58, on 04-11-01

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

D:\PROGRAM FILES\KERIO\PERSONAL FIREWALL\PERSFW.EXE

D:\PROGRAM FILES\ESET\NOD32KRN.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE

C:\WINDOWS\SOUNDMAN.EXE

D:\PROGRAM FILES\ESET\NOD32KUI.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\WANADOO\TASKBARICON.EXE

C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\EVNTSVC.EXE

D:\WINAMP\WINAMPA.EXE

D:\GADU-GADU\GG.EXE

C:\PROGRAM FILES\GIGABYTE\GIGABYTE WINDOWS UTILITY MANAGER\GWUM.EXE

C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\WANADOO\ESPACEWANADOO.EXE

C:\PROGRAM FILES\WANADOO\COMCOMP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\PROGRAM FILES\WANADOO\WATCH.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

D:\HIJACKTHIS\HIJACKTHIS.EXE


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [MMCWINMGMT] C:\WINDOWS\SYSTEM\wbem\winmgmt.exe

O4 - HKLM\..\Run: [nod32kui] d:\Program Files\Eset\nod32kui.exe /WAITSERVICE

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe

O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot

O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe

O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe

O4 - HKLM\..\RunServices: [MicrosoftWBEMCIMObjectManager] C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE

O4 - HKLM\..\RunServices: [PersFw] "d:\Program Files\Kerio\Personal Firewall\persfw.exe" /hide

O4 - HKLM\..\RunServices: [NOD32kernel] d:\Program Files\Eset\nod32krn.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\GADU-GADU\GG.EXE" /tray

O4 - Startup: gwum.lnk = C:\Program Files\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe

O4 - Startup: WinMgmt.lnk = C:\WINDOWS\SYSTEM\WBEM\WinMgmt.exe

O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Startup: Microsoft Office.lnk = D:\pakiet office\Office\OSA9.EXE

O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
#192

C:\WINDOWS\SYSTEM\WBEM\WinMgmt.exe

a co to jest? od czego?

co jakis czas rozłacza mi neta chyba cos siedzi w tym logu?

#193

instrumentacja zarządzania Windows (WMI) plik systemowy. :smiley:

#194

Wina neostrady…

Zainstaluj program AutoConnect

#195

Tak, jest to plik systemowy - ale do zarządzania aplikacjami w Windows 2000! :lol:

Co on tam robi, jeżeli Pikolo ma W98? :shock:

#196

pikolo , polecam ten temat z innego forum

http://forum.infojama.pl/viewtopic.php?t=4557

dowiesz się nieco zarówno o procesie WinMgmt.exe, jak i prawdopodobnie o przyczynach rozłączania sieci (być może to właśnie ten proces).

Updt.

w świetle powyższych postów mój wydaje się nietrafiony, ale niestety nie mogę go już usunąć. :frowning:

Wobec tego prośba do moderatorów - jesli uznacie, że post jest do bani, to OT.

#197

Shark, bzdurne pisanie o SP2 dla WIN98 Out i każde inne, pomyśl zanim napiszesz :evil:

:okulary:

#198

Pewnie z poprawek do 98 w celu kompatybilmości obu systemów. :slight_smile:

#199

Witam,

Serdecznie dzięki za radę, zadziałalo. Nie wiedziałem, że systime.exe powoduje taki bałagan.

#200

Proszę o sprawdzenie loga i wskazówke co ewentualnie usunąć i jak to zrobić.

Tłumaczenie na chlopski rozum mile widziane.

Oto moj log:

Logfile of HijackThis v1.97.7

Scan saved at 18:38:12, on 2004-11-02

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\Fmctrl.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\SEBAST~1\USTAWI~1\Temp\Rar$EX02.707\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [systemTray] SysTray.Exe

O4 - HKLM…\Run: [FmctrlTray] Fmctrl.EXE

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Related (HKLM)

O9 - Extra ‘Tools’ menuitem: Show &Related Links (HKLM)

O16 - DPF: komentator - http://sport.onet.pl/komentator.cab

O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdat … t/opuc.cab