Możecie sprawdzić tego loga?


(Canaletto) #1

Powiedzcie co jest nie tak i co usunąć :

Logfile of HijackThis v1.99.0

Scan saved at 15:59:06, on 2005-01-31

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\System32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\wscntfy.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

D:\Program Files\SED\SED.exe

D:\WINDOWS\system32\wsxsvc\wsxsvc.exe

D:\WINDOWS\system32\vmss\vmss.exe

D:\WINDOWS\system32\krquor.exe

D:\WINDOWS\system32\rundll32.exe

D:\PROGRA~1\NEOSTR~1\NeostradaTP.exe

D:\PROGRA~1\NEOSTR~1\ComComp.exe

D:\PROGRA~1\NEOSTR~1\Watch.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Gadu-Gadu\gg.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\Documents and Settings\Komp\Pulpit\hijackthis1.99\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [speedTouch USB Diagnostics] "D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM..\Run: [WooCnxMon] D:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM..\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM..\Run: [WOOTASKBARICON] D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM..\Run: [sESync] "D:\Program Files\SED\SED.exe"

O4 - HKLM..\Run: [ntechin] D:\WINDOWS\system32\n20050308.exe

O4 - HKLM..\Run: [Dvx] D:\WINDOWS\system32\wsxsvc\wsxsvc.exe

O4 - HKLM..\Run: [vmss] D:\WINDOWS\system32\vmss\vmss.exe

O4 - HKCU..\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 4809842421

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{BE3D2B69-D926-4B74-AAEE-4636ECD8E3E4}: NameServer = 194.204.152.34

O17 - HKLM\System\CCS\Services\Tcpip..{E2F44E52-C91D-4390-B9AE-9DF917B35A9E}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Ati HotKey Poller - Unknown - D:\WINDOWS\System32\Ati2evxx.exe


(Musg) #2

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

fixuj te wpisy powyzej

a te napraw spfix -programik:O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll


(Dragonlnx) #3

Usuń W trybie awaryjnym !

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

Zastanawia mnie to:

O4 - HKLM..\Run: [ntechin] D:\WINDOWS\system32\n20050308.exe

O4 - HKLM..\Run: [Dvx] D:\WINDOWS\system32\wsxsvc\wsxsvc.exe

O4 - HKLM..\Run: [vmss] D:\WINDOWS\system32\vmss\vmss.exe

Usuń:

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

Ściągnij plik LSP-FIX (google) i usuń z tamtąd dolsp.dll.

Jeżeli nie używasz messengera:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

Szpiedzy (i inne świństwa)

..::X-Scan::..

http://www.spywareinfo.com/xscan.php

Skanery Antywirusowe:

..::mks_vir::..

http://skaner.mks.com.pl

..::GeCAD (RAV)::..

http://www.ravantivirus.com/scan/

..::F-Secure::..

http://support.f-secure.com/enu/home/ols.shtml

..::BitDefender::..

http://www.bitdefender.com/scan/licence.php

..::Symantec {Norton}::..

http://security.symantec.com

..::HouseCall::..

http://pl.trendmicro-europe.com/consume ... ll_pre.php

Ad-Aware Se Personal

CWShredder 2.0

ETD Security Scanner 3.0 - Antyszpieg

PestPatrol

Opis Konfiguracji PestPatrol'a

Spybot -Search & Destroy

[ZRÓB JE WSZYSTKIE] I daj jeszcze raz log hijackthis !


(adpawl) #4

Potem napraw ciąg LSP tym programem: http://www.cexx.org/lspfix.zip

Tu jest instrukcja: LINK

Jeżeli jest, usuń za pomocą tego programu plik dolsp.dll lub podobny... z łańcucha.

Tylko pozostaw prawidłowe wpisy:

lsp4ru.jpg

I jeszcze koniecznie zrób skan podanymi wyżej programami!

Tu jest info o kasowaniu VX2/Look2Me: http://sarc.com/avcenter/venc/data/adware.look2me.html

BTW

Mnie nie podoba się jeszcze ten pliczek:

D:\WINDOWS\system32**** krquor.exe

Sharki , jeszcze raz sorki za częściowego, niecelowego klona... :wink:


(Kuz5) #5

Jest to do usunięcia

Tak jak Shark napisał jeżeli nie używasz Windows Messenger to go usuń:

Start=>Uruchom=>Wpisz polecenie

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove


(Musg) #6

D:\Program Files\SED\SED.exe

D:\WINDOWS\system32\wsxsvc\wsxsvc.exe

D:\WINDOWS\system32\vmss\vmss.exe

zastanawiaja mnie jeszcze te procesy :slight_smile:


(Dragonlnx) #7

Jeżeli usunie:

To ich nie będzie.

Ale koniecznie skanery i ponowny log !

adpawl - Powielka informacji :wink:


(Canaletto) #8

zainstalowałem powyższe oprogramowanie, ale ciągle wyskakuje mi taka strona : http://c.azjmp.com/az/ch.php?f=1185&i=1 ... x=&bypass= , nie wiem co mam robić, oto log :

Logfile of HijackThis v1.99.0

Scan saved at 17:23:54, on 2005-02-01

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\System32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\rundll32.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\wscntfy.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

D:\PROGRA~1\NEOSTR~1\CnxMon.exe

D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

D:\Program Files\Tlen.pl\tlen.exe

D:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Gadu-Gadu\gg.exe

D:\PROGRA~1\NEOSTR~1\NeostradaTP.exe

D:\PROGRA~1\NEOSTR~1\ComComp.exe

D:\PROGRA~1\NEOSTR~1\Watch.exe

C:\Program Files\Gadu-Gadu\gg.exe

D:\PROGRA~1\PESTPA~1\CookiePatrol.exe

D:\PROGRA~1\PESTPA~1\PPMemCheck.exe

D:\PROGRA~1\PESTPA~1\ppcontrol.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\Documents and Settings\Komp\Pulpit\hijackthis1.99\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [speedTouch USB Diagnostics] "D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM..\Run: [WooCnxMon] D:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM..\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM..\Run: [WOOTASKBARICON] D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM..\Run: [Narrator] D:\WINDOWS\system32\krquor.exe

O4 - HKLM..\Run: [PPMemCheck] D:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM..\Run: [CookiePatrol] D:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM..\Run: [PestPatrol Control Center] D:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKCU..\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU..\Run: [ETD Security Scanner] "D:\Program Files\ETD Security Scanner\ETD Security Scanner.exe" /s

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 4809842421

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{BE3D2B69-D926-4B74-AAEE-4636ECD8E3E4}: NameServer = 194.204.152.34

O17 - HKLM\System\CCS\Services\Tcpip..{E2F44E52-C91D-4390-B9AE-9DF917B35A9E}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Ati HotKey Poller - Unknown - D:\WINDOWS\System32\Ati2evxx.exe


(Kuz5) #9

Widze że nie dałeś rady tego usunąć.


(adpawl) #10
O4 - HKLM\..\Run: [Narrator] D:\WINDOWS\system32\krquor.exe
  • tego nie znam! możliwe, że to syfek.

(Dragonlnx) #11

Windows XP (plik HOST - otwierasz w notatniku):

Lokalizacja: [partycja]:\WINDOWS\system32\drivers\etc

Otwierasz ten plik host w notat.

Później będziesz miał tam coś podobnego:

Copyright © 1993-1999 Microsoft Corp.

To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP

w systemie Windows.

Ten plik zawiera mapowania adresów IP na nazwy komputerów

Każdy wpis powinien być w osobnej linii.

W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie

odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone

co najmniej jedną spacją

Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych

liniach lub po nazwie komputera, oznaczając je symbolem '#'.

Na przykład:

102.54.94.97 rhino.acme.com # serwer źródłowy

38.25.63.10 x.acme.com # komputer kliencki x

127.0.0.1 localhost

kasujesz wszystko pod localhost. Localhost zostawiasz/jeżeli się obawiasz skopiuj treść pliku HOST tutaj !


(adpawl) #12

Wykasuj tak jak napisał to Shark i zapisz zmiany...

W tym pliku wystarczy zostawić tylko linię

127.0.0.1 localhost

A potem użyj SpywareBlaster'a do zablokowania niebezpiecznych stron.

mozna go zassać z tej strony : http://www.javacoolsoftware.com/sbdownload.html


(Canaletto) #13

W pliku Hosts mam coś takiego :

127.0.0.1 http://www.igetnet.com

127.0.0.1 code.ignphrases.com

127.0.0.1 clear-search.com

127.0.0.1 r1.clrsch.com

127.0.0.1 sds.clrsch.com

127.0.0.1 status.clrsch.com

127.0.0.1 http://www.clrsch.com

127.0.0.1 clr-sch.com

127.0.0.1 sds-qckads.com

127.0.0.1 status.qckads.com

Start of entries inserted by Spybot - Search & Destroy

End of entries inserted by Spybot - Search & Destroy

69.20.16.183 search.netscape.com

69.20.16.183 ieautosearch

69.20.16.183 auto.search.msn.com

69.20.16.183 ieautosearch

Co mam usunąć ?


(Canaletto) #14

UPS, otworzyłem nie ten plik Hosts, mogliście mi powiedzieć, że chodzi o Hosts.bak, teraz już wiem co zrobić.


(Canaletto) #15

usunalem juz te wpisy w pliku Hosts, zainstalowałem SpywareBlaster'a, teraz nie wiem co dalej, powiedzcie ci krok po kroku co w tym programie zrobić


(adpawl) #16
  1. Chodzi o plik hosts znajdujący się w podanej lokalizacji: C:\WINDOWS\system32\drivers\etc

  2. Najpierw pobierasz aktualizacje: Download latest protection updates , przenośi cię zo zakładki Updates, gdzie klikaszprzycisk Check for updates...

potem wracasz do zakładki Protection, gdzie klikasz Enable all protection.

sb4qo.jpg

I to już wszystko...