VanTheMan
(Adziok Gorzow)
26 Styczeń 2007 21:18
#1
Logfile of HijackThis v1.99.1 Scan saved at 22:17:26, on 2007-01-26 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\Program Files\CA\eTrust Antivirus\InoRpc.exe C:\Program Files\CA\eTrust Antivirus\InoRT.exe C:\Program Files\CA\eTrust Antivirus\InoTask.exe C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe D:\Instalki\NetLimiter 2 Pro\nlsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE D:\Instalki\NetLimiter 2 Pro\NLClient.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Common Files{5020E1BA-05BA-1045-0710-020621020030}\Update.exe C:\Program Files\Ipwindows\ipwins.exe C:\WINDOWS\system32\ctfmon.exe D:\Instalki\Gadu-Gadu\gg.exe C:\DOCUME~1\Renata\MOJEDO~1\FNTS~1\wuaclt.exe C:\Program Files\F?nts\svchost.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\Instalki\foobar2000\foobar2000.exe C:\Downloads\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p2 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=195.183.117.230:1080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {4A951FD9-811F-8FC5-1F73-DC581070F793} - C:\WINDOWS\system32\xzfnww.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4A951FD9-811F-8FC5-1F73-DC581070F793} - C:\WINDOWS\system32\xzfnww.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\Instalki\FlashGet\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - D:\Instalki\NBA Video Central\NetTransport 2\NTIEHelper.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Instalki\FlashGet\fgiebar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM…\Run: [gcasServ] “C:\Program Files\Microsoft AntiSpyware\gcasServ.exe” O4 - HKLM…\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [stormCodec_Helper] “D:\Instalki\Storm Codec\StormSet.exe” /S /opti O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM…\Run: [{5020E1BA-05BA-1045-0710-020621020030}] “C:\Program Files\Common Files{5020E1BA-05BA-1045-0710-020621020030}\Update.exe” te-110-12-0000245 O4 - HKLM…\Run: [ipWins] C:\Program Files\Ipwindows\ipwins.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “D:\Instalki\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Rwem] “C:\DOCUME~1\Renata\MOJEDO~1\FNTS~1\wuaclt.exe” -vt yazb O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - D:\Instalki\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - D:\Instalki\FlashGet\jc_all.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Instalki\FlashGet\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Instalki\FlashGet\flashget.exe O16 - DPF: Notowania ONET - http://gielda.onet.pl/notowania.cab O16 - DPF: {631FF594-EC25-4CFF-B869-402DF294E1D6} (Instalator oprogramowania Onet.pl) - http://slimak.onet.pl/_m/kamerzysta/One … or012s.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 1172884359 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_24.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_24.cab O17 - HKLM\System\CCS\Services\Tcpip…{029C72B5-A04C-4854-9F9B-832C53CB611E}: NameServer = 192.168.0.1,194.204.151.151 O17 - HKLM\System\CS1\Services\Tcpip…{029C72B5-A04C-4854-9F9B-832C53CB611E}: NameServer = 192.168.0.1,194.204.151.151 O17 - HKLM\System\CS2\Services\Tcpip…{029C72B5-A04C-4854-9F9B-832C53CB611E}: NameServer = 192.168.0.1,194.204.151.151 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: CA License Client (CA_LIC_CLNT) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA License Server (CA_LIC_SRVR) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust Antivirus\InoTask.exe O23 - Service: Event Log Watch (LogWatch) - Computer Associates - C:\Program Files\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Instalki\NetLimiter 2 Pro\nlsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Szczególnie niepokoją mnie ostatnio często pojawiające się znienacka reklamy przy użyciu IE. Ja osobiście nie używam tej przeglądarki, lecz używają ją inni użytkownicy na moim PC wbrew temu, że polecam Firefoxa i Operę. Próbując zobaczyć, co dolega mojemu PC, włączyłem scan online na stronie Pandy. Wyświetliło mi, że mam sporo chochlików - adwarów i innych nieprzyjaznych stworzonek. Usuwałem już większość wpisów z rejestru programem jv16 oraz programem Spybot - S&D. Jeśli ktoś ma jeszcze pomysł co zrobić jeszcze, by usprawnić kompa tj. wyeliminować robaczki to proszę o wpis. Chciałbym uniknąć formatu… Proszę o pomoc i oczywiście sprawdzenie w/w loga.
adam9870
(adam9870)
26 Styczeń 2007 21:23
#2
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.
W trybie awaryjnym z wyłączonym przywracaniem systemu usuń:
Pliki i foldery zaznaczone kasujesz ręcznie z dysku natomiast wpisy w HijackThis.
Poczytaj o usuwaniu plików i folderów z pytajnikiem - Usuwanie PurityScan .
Po wykonaniu proszę pokazać nowy log z HijackThis plus z SilentRunners .
VanTheMan
(Adziok Gorzow)
26 Styczeń 2007 21:40
#3
Nie da się jakoś prościej nie aż tak skomplikowanie :? Aż tak zaawansowanym userem pc’ta to ja nie jestem, by się w takie sprawy zagłębiać. Ponadto czasem miewam skłonności to pochrzanienia tego i owego. Da radę inaczej?
Krzychuu
(Krzychuu)
26 Styczeń 2007 21:43
#4
VanTheMan lokalizujesz zaznaczone na czerwono pliki / foldery na dysku i usuwasz. Potem odpalasz HJT, robisz Do a system scan only i wybierasz podane przez adama9870 wpisy. Potem naciskasz Fix checked.
adam9870
(adam9870)
26 Styczeń 2007 21:44
#5
Jeśli chcesz to zautomatyzujemy prawie cały proces usuwania. Zatem pobierz The avenger . Wypakuj => uruchom => zaznacz opcję Input script manually => kliknij w lupkę => w okienku, które się otworzy wklej:
=> Kliknij klawisz Done => teraz kliknij na zielone światełko => powinna pojawić się pewna informacja i kliknij OK (teraz restart).
Po resecie może pojawić się okienko na dosłownie kilka sekund oraz log w notatniku. Wejdź tam gdzie masz avangera i skasuj plik backup.zip czyli np. c:\avanger\backup.zip.
Potem usuwasz tylko ten folder ręcznie będąc w trybie awaryjnym:
ale przed usunięciem czytasz o usuwaniu usuwaniu plików i folderów z pytajnikiem - Usuwanie PurityScan .
Na koniec usuwasz wpisy, które podałem w hijacku i pokazujesz nowe logi, o które prosiłem.
Gutek
(Gutek)
26 Styczeń 2007 21:48
#6
Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ
Pozdrawiam Gutek2222