Prośba o sprloga


(4dr14n) #1
Logfile of HijackThis v1.99.1

Scan saved at 20:24:17, on 2005-09-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\opsrv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\Opiekun\optray.exe

C:\WINDOWS\system32\spider.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\Elyan\Pulpit\programy\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\oplsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\oplsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\oplsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\oplsp.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{6A5BE31E-E66D-4153-B2E1-97FA61DECB04}: NameServer = 69.50.176.158,85.255.112.8

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Opiekun (OpSrv) - SoftStory - C:\WINDOWS\system32\opsrv.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

niestety przekierowanie na strony pornograiszne dalej jest, nie wiem jak sobie z tym poradzic


(boczi) #2

Log wydaje się być OK.

Odinstaluj program Opiekun i sprawdź, jak jest.

Zalecam zmienić przeglądarkę z IE na Firefox lub Opera!

Kosmetyka

Z autostartu (start -> uruchom -> msconfig) z zakładki Uruchamianie możesz poodznaczać:

NeroCheck.exe

daemon.exe

winampa.exe

qttask.exe

iTunesHelper.exe

jusched.exe

ctfmon.exe

MSN Messenger jeśli nie używasz, usuń TYM.


(aju) #3

boczi a to ?


(4dr14n) #4

a po co mam wyłączyc “opiekuna”??


(boczi) #5

Plik ten prawdopodobnie jest powiązany z programem Opiekun.

4dr14n , zalecany także skan programami anty.

:arrow: Panda

:arrow: Kaspersky

:arrow: mks_vir

:arrow: Trend

:arrow: Dr.Web

:arrow: PestPatrol

:arrow: Spybot Search & Destroy 1.4

:arrow: Ad-aware SE Personal

:arrow: CWShredder


(4dr14n) #6

robiłem ad-aware chyba 50 mln razy i nic nie znalazło


(boczi) #7

Mówiłem, by wyłączyć Opiekun, bo może występuje jakiś konflikt. Mało prawdopodobne - ale…

Jeszcze jedno. Sprawdź zawartość pliku HOSTS.

C:\WINDOWS\system32\drivers\etc\HOSTS

Otwórz za pom. Notatnika.

Najlepiej, by pozostały tam tylko wpisy początkowe:

#

# This MVPS HOSTS file is a free download from: #

# http://www.mvps.org/winhelp2002/ #

# #

# Notes: the browser does not read this "#" symbol #

# You can create your own notes, after the # symbol #

# This *must* be the first line: 127.0.0.1 localhost #

# ******************************************************** #

# ------------------Updated: 06-06-04---------------------#

# ******************************************************** #

# Entries marked with Parasite or Trojan comments should #

# be placed in the Internet Explorer Restricted Zone. #

# http://mvps.org/winhelp2002/restricted.htm #

# #

# Entries with other comments are searchable via Google. #

# #

# Disclaimer: this file is free to use, however it is NOT #

# permitted to post on any other site without permission. #

127.0.0.1 localhost

Coś na ten styl. Resztę usuń.


(4dr14n) #8
  1. jak otwirze ten plik, to tam mi w notatniku nic nie pisze

  2. nie wiem jaki ty konflikt widzisz, zainstalowałem ten “opiekun” 3 dni temu a wszystko działa jak dawnie, z tym ze blokowane są strony erotyczne, - ja natomiast chciałem pozbyc sie przekierowania na strony erotyczne a nie opiekuna


(boczi) #9

Upewnij się, czy nie mylisz pliku HOSTS z plikiem HOSTS.bak.


(4dr14n) #10

ja poprostu skopiowałem ten adres co mi napisałeś, ale sprubuje ręcznie :slight_smile:

Złączono Posta : 01.10.2005 (Sob) 9:44

# Copyright (c) 1993-1999 Microsoft Corp.

#

# To jest przykładowy plik LMHOSTS używany przez Microsoft TCP/IP

# w systemie Windows.

# Ten plik zawiera mapowania adresów IP na nazwy komputerów

# (nazw zgodnych z NetBIOS). Każdy wpis powinien być w osobnej linii.

# W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie 

# odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone

# co najmniej jedną spacją lub znakiem tabulacji.

# Znak "#" jest używany głównie do oznaczenia komentarza (sprawdź poniższe 

# wyjątki)

#

# Plik ten jest zgodny z plikami Microsoft LAN Manager 2.x TCP/IP lmhosts

# i zawiera następujące rozszerzenia:

#

# #PRE

# #DOM:

# #INCLUDE 

# #BEGIN_ALTERNATE

# #END_ALTERNATE

# \0xnn (obsługa znaków nie drukowanych)

#

# Zakończenie dowolnego wpisu w tym pliku oznaczeniem "#PRE" powoduje 

# załadowanie go do pamięci podręcznej nazw. Domyślnie wpisy nie są 

# ładowane do pamięci podręcznej, są one tylko analizowane gdy zawiedzie

# dynamiczne rozróżnianie nazw.

#

# Zakończenie dowolnego wpisu oznaczeniem "#DOM: skojarzy ten wpis

# z domeną określoną przez . Ma to wpływ na zachowanie się przeglądarki

# oraz usługi logowania w środowisku TCP/IP. Aby załadować do pamięci podręcznej

# nazwę hosta skojarzoną z wpisem #DOM, należy dodać #PRE do tej linii.

# Wpis jest zawsze ładowany, ale nie jest pokazywany gdy wyświetlana

# jest pamięć podręczna nazw.

#

# Użycie "#INCLUDE " wymusza na oprogramowaniu RFC NetBIOS (NBT)

# znalezienie określonego pliku i analizowanie go tak jak 

# pliku lokalnego. jest przeważnie nazwą typu UNC, co pozwala na

# przechowywanie i aktualizację pliku lmhosts na serwerze.

# ZAWSZE niezbędne jest określenie mapowania adresu IP tego serwera przed

# wpisem #INCLUDE. To mapowanie musi używać parametru #PRE.

# Dodatkowo nazwa udziału "public" w poniższym przykładzie musi być na liście

# LanManServer w "NullSessionShares" aby komputer klienta mogł odczytać plik

# lmhosts. Jest to klucz Rejestru:

# \machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares

# Dodaj "public" do znalezionej tam listy.

#

# Słowa kluczowe #BEGIN_ oraz #END_ALTERNATE dopuszczają grupowanie wielu #INCLUDE

# Powodzenie jednego z zawartych wpisów powoduje pomyślny wynik całej grupy.

#

#

# Ostatecznie, znaki nie drukowane mogą być zawarte w mapowaniach

# przez zawarcie nazwy NetBIOS w cudzysłowach oraz użycie zapisu

# \0xnn do określenia wartości szesnastkowej znaku nie drukowanego.

#

# Ten przykład ilustruje użycie tych opcji:

#

# 102.54.94.97 rhino #PRE #DOM:networking #kontroler domeny

# 102.54.94.102 "appname \0x14" #specjalny serwer

# 102.54.94.123 popular #PRE #serwer

# 102.54.94.117 localsrv #PRE #potrzebny do "include"

#

# #BEGIN_ALTERNATE

# #INCLUDE \\localsrv\public\lmhosts

# #INCLUDE \\rhino\public\lmhosts

# #END_ALTERNATE

#

# W tym przykładzie serwer "appname" zawiera specjalny znak w nazwie, 

# serwery "popular" i "localsrv" są wstępnie ładowane, nazwa serwera

# "rhino" jest określona więc może być on użyty w późniejszym #INCLUDE

# centralnie utrzymywanym pliku lmhosts jeśli "localsrv" jest niedostępny.

#

# Zauważ, że cały plik jest analizowany podczas każdego wyszukiwania razem z 

# komentarzami, więc ograniczenie liczby komentarzy do minimum zwiększy wydajność.  

# Z tego powodu, nie jest wskazane dodawanie wpisów pliku lmhosts do tego

# przykładowego pliku.

takie cos mam w tym pliku, chyba dobry plik otworzyłem

Pliku Hosts.bak nie ma, mam tylko hosts w którym nic nie ma. Wyżej wkleiłem treśc pliku lmhosts, może o ten chodziło?

Złączono Posta : 01.10.2005 (Sob) 12:09

… wiec jakby ktos mógł sie odezwac to by było fajnie