Prosze o pomoc(sprawdzenie loga i jak usuwac jak cos zbedne)

aju_RidazUnit · 21 Maj 2005 09:06

zrobiłem i napisal ze usluga nie jest wlaczona, pozniej wszedlem do hi jacka FIX i niby ok a wpis dalej jest

aju_RidazUnit · 21 Maj 2005 10:33

:-x :? niestety dzis sprawdzilem loga wszytko co usuwalem wrocilo w dodoatku z jakimis klonami chyba tylko format zostal :evil:

kuz5 · 21 Maj 2005 13:03

Wklej jeszcze raz loga

aju_RidazUnit · 21 Maj 2005 13:12

Logfile of HijackThis v1.99.1

Scan saved at 15:08:55, on 2005-05-21

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\khooker.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe

C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe

C:\Program Files\Lexmark X5100 Series\lxbabmon.exe

c:\windows\system32\pvqewix.exe

C:\Documents and Settings\dom\Dane aplikacji\MyTraveler\MyTraveler.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Nokia\PC Suite for Nokia 6600\connmngmntbox.exe

C:\Program Files\Nokia\PC Suite for Nokia 6600\ectaskscheduler.exe

C:\Program Files\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe

C:\Program Files\SpywareGuard\sgmain.exe

C:\PROGRA~1\Nokia\PCSUIT~1\Elogerr.exe

C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE

C:\PROGRA~1\Nokia\PCSUIT~1\SCRFS.exe

C:\Program Files\SpywareGuard\sgbhp.exe

C:\Documents and Settings\dom\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\Downloaded Program Files\googlenav.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Program Files\Lexmark X5100 Series\lxbabmgr.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [zwdick] c:\windows\system32\pvqewix.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MyTraveler] C:\Documents and Settings\dom\Dane aplikacji\MyTraveler\MyTraveler.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: PCSuiteForNokia6600 Detect.lnk = ?

O4 - Global Startup: PCSuiteForNokia6600 TS.lnk = ?

O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsearch.html

O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) - http://poczta.wp.pl/d007/mailcfg.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116620978051

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/pl/big/1.1.62-big/GoogleNav.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F0A4A516-0D59-4B0A-A0F8-D0612E5711B2}: NameServer = 217.30.129.149,217.30.137.200

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

musg · 21 Maj 2005 13:27

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

moze jeszcze tak:

Odpalasz HijackThis Misc Tools >> Delete NT service >> wpisz svcproc >> Ok i zresetuj komputer.

kuz5 · 21 Maj 2005 13:41

Usuń: (pamiętaj wszystko robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Pliki na czerwono usun ręcznie z dysku

Jak będą kłopoty z usunięciem tych plików to spróbuj usunąć programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\WINDOWS** Nail.exe**

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

I to samo robisz ze ścieżką c:\windows\system32** pvqewix.exe**

aju_RidazUnit · 21 Maj 2005 14:09

gdy kasuje to znika tez

to odrazu :-x

tylo ze tak sie nie da pisze ze proces jest uywany/lub/i wlaczony, kiedy go che wylaczyc pisze ze jest wylaczony, ale skasowac sie nei da bo pisze znow ze jest uruchomiony :roll:

kuz5 · 21 Maj 2005 14:19

Czyli pozbyłeś się tego tak

Usuń ten plik tak samo jak poprzednie czyli Killboxem i dopiero spróbuj tak usunąć:

aju_RidazUnit · 21 Maj 2005 14:54

probowalem, usunol sie kill boxem ale wpis jest i nie che sie usunac przez ta sciezke bo pisze ze proces dziala :-x

Gutek · 21 Maj 2005 15:01

Trojan.Win32.Stervis.b

Więc od razu usługę zatzymasz z linii komend:

Start >>> Uruchom >>> cmd >>> wklepać NET STOP SvcProc

Z wpisem 023 zrób tak - Start >>> Uruchom >>> services.msc >>> zatrzymaj i wyłącz SvcProc

Otwierasz HijackThis >>> Misc Tools >>> Delete NT Service >>> wklepujesz SvcProc >>> zawierdzasz, a plik svcproc.exe usuwasz ręcznie z kompa.

aju_RidazUnit · 21 Maj 2005 15:13

tak jak juz pisalem NIE MA GO TAM, gdy sie che go wylaczyc komenda pisze ze sie nie da wylaczyc, a jak che usunac pisze ze jets wlaczony, jaku sunac to swinstwo bo wiem ze to trojan Trojan.Win32.Stervis.b

Gutek · 21 Maj 2005 15:23

Usuwałeś też w trybie awarynym ręcznie plik? Czy w nowym LOG-u widac nadal ten wpis? Hijacka nie kosi wpisy?

aju_RidazUnit · 21 Maj 2005 15:34

niw kosi tego, po skasowaniu ciagle sa, tak jakby po pewnym czasie cos gdzies ukrytego scigalo te plikina nowo, co pewnien czas pojawia sie tez “magiczne” okinko aurora a w niej jakas glupia reklama

kuz5 · 21 Maj 2005 15:37

Wklej screena

aju_RidazUnit · 21 Maj 2005 15:38

troszke to potrwa zaczyms ie pjawi czekajcie