jambal
(Grehu)
8 Styczeń 2006 20:10
#1
Prosze o sprawdzenie loga. Z gory dzieki. Chcialbym jeszcze zapytac co jest grane jak przy starcie systemu pojawia sie komunikat o braku pliku ibm0001.exe (albo imb0001.exe - nie pamietam) w folderze /Program Files/Microsoft Shared/Web Folders/. Jak to mozna zastapic, usunac, naprawic, lub skad zdobyc ten plik? I generalnie to caly czas winlogon.exe probuje mi sie polaczyc z jakimis serwerami… Nie moge tego usunac bo jest to jakis proces systemowy…
Logfile of HijackThis v1.99.1 Scan saved at 21:05:28, on 2006-01-08 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\spoolsv.exe F:\Programy\Avast4\aswUpdSv.exe F:\Programy\Avast4\ashDisp.exe F:\Programy\Avast4\ashServ.exe F:\Programy\Gadu-Gadu\gg.exe F:\Programy\eMule\emule.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\WINDOWS\system32\svchost.exe F:\Programy\Avast4\ashMaiSv.exe F:\Programy\Avast4\ashWebSv.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE F:\Programy\DAP\DAP.EXE F:\Mlody\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing) F2 - REG:system.ini: Shell=explorer.exe “C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe” O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - F:\Programy\DAP\dapbho.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programy\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll O4 - HKLM…\Run: [avast!] F:\Programy\Avast4\ashDisp.exe O4 - HKCU…\Run: [Gadu-Gadu] “F:\Programy\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [eMuleAutoStart] F:\Programy\eMule\emule.exe -AutoStart O8 - Extra context menu item: &Download with &DAP - F:\Programy\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - F:\Programy\DAP\dapextie2.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Programy\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing) O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_24.cab O17 - HKLM\System\CCS\Services\Tcpip…{CF644746-DC12-46D1-85C3-EFE5C50B3F2D}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Programy\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - F:\Programy\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - F:\Programy\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - F:\Programy\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Gutek
(Gutek)
8 Styczeń 2006 20:36
#2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html F2 - REG:system.ini: Shell=explorer.exe “C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe” O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
Wyłączyć Przywracanie systemu w XP TU
Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).
Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.
Skasować z dysku pliki, które podkreśliłem na czerwono
Dokończyć skanerami online - Scanery do wyboru
Pokazać nowy log
Odpal LSP-Fix zaznacz “I know what I’m doing” następnie w okienku Keep zaznacz plik webhdll.dll i za pomocą strzałki (>>) przenieś go do okienka Remover i kliknij Finish
jambal
(Grehu)
8 Styczeń 2006 22:01
#3
Po pierwsze to dzieki. Juz prawie wszystko wyglada fajnie. Jednak zostala jedna rzecz. Avast mnie ciagle informuje, ze
Sprawdzilem ten plik winlogon.exe w skanerze online i jest ok. Plik znajduje sie w katalogu windows/system32/. Pojawia sie kilka takich komunikatow. Kazdy probuje sie polaczyc z innym adresem. Wklejam nowy kod po wykonaniu wszystkich punktow z instrukcji. Da sie cos zrobic z tymi polaczeniami?
Logfile of HijackThis v1.99.1 Scan saved at 22:58:43, on 2006-01-08 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe F:\Programy\Avast4\aswUpdSv.exe F:\Programy\Avast4\ashServ.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE F:\Programy\Avast4\ashDisp.exe F:\Programy\Gadu-Gadu\gg.exe F:\Programy\eMule\emule.exe F:\Programy\Avast4\ashMaiSv.exe F:\Programy\Avast4\ashWebSv.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE F:\Programy\IrfanView\i_view32.exe C:\Program Files\Outlook Express\msimn.exe F:\Mlody\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing) O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - F:\Programy\DAP\dapbho.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programy\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll O4 - HKLM…\Run: [avast!] F:\Programy\Avast4\ashDisp.exe O4 - HKCU…\Run: [Gadu-Gadu] “F:\Programy\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [eMuleAutoStart] F:\Programy\eMule\emule.exe -AutoStart O8 - Extra context menu item: &Download with &DAP - F:\Programy\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - F:\Programy\DAP\dapextie2.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Programy\MICROS~1\OFFICE11\REFIEBAR.DLL O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_24.cab O17 - HKLM\System\CCS\Services\Tcpip…{CF644746-DC12-46D1-85C3-EFE5C50B3F2D}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Programy\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - F:\Programy\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - F:\Programy\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - F:\Programy\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Gutek
(Gutek)
8 Styczeń 2006 22:08
#4
No czysto, użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.
jambal
(Grehu)
9 Styczeń 2006 15:30
#5
Zmienilem wszystkie na disabled. Pojawil sie komunikat “komputer jest juz bardzo dobrze chroniony. gratulacje!” czy cos w tym stylu… Jednak to nic nie dalo… Nadal avast wykrywa mi probe polaczen z winlogon.exe do roznych serwerow i wyswietla komunikat, ze minal czas na polaczenie internetowe… Pod tym adresem: http://www.members.lycos.co.uk/rydzykta … nlogon.jpg mozna zobaczyc jak to mnie wiecej wyglada… Czy istnieje mozliwosc zaradzenia temu czy pozostaje tylko format?
Gutek
(Gutek)
9 Styczeń 2006 17:14
#6
Tutaj nic nie zrobimy potrzebny dobry Filtry antyspam + dobry FIREWALL - zobacz http://www.searchengines.pl/phpbb203/in … opic=33716 oraz TUTAJ
jambal
(Grehu)
10 Styczeń 2006 21:06
#7
OK dzieki, ale generalnie filtr spamu tu chyba nic nie da. Fakt, ze winlogon.exe sie laczy z jakimis gownianymi serwerami nie jest powiazany z poczta… Przynajmniej ja to tak rozumuje… Nie dostaje zadnego spamu itd… Wiec czy jest sens aby go sciagac i instalowac?
edit: Tak jeszcze wpadlem na pomysl… A gdyby zamienic plik winlogon.exe od innego kompa, na ktorym nie ma zadnych problemow i ten plik wydaje sie byc czysty to czy mogloby to rozwiac problem?
Gutek
(Gutek)
10 Styczeń 2006 22:09
#8
Nie firewall-a jak zainstalujesz będzie spokój
Te programy przy avast! - ale na razie pomyśl o firewall-u