Prosze o spr loga

Dla specjalistów Bezpieczeństwo
#1

Logfile of HijackThis v1.99.1

Scan saved at 14:10:47, on 2005-07-09

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

C:\Program Files\Beniamin\tguard.exe

C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Media Gateway\MediaGateway.exe

C:\WINDOWS\system32\5taqivbu.exe

C:\Program Files\Internet Optimizer\optimize.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\cisvc.exe

C:\Documents and Settings\Pegaz\Pulpit\nmap\Nowy

folder\bin\nmapserv.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Pegaz\Pulpit\Programy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

=

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D}

  • C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO -

{00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program

Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

  • C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} -

C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -

C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [PrinTray]

C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

O4 - HKLM…\Run: [tguard] C:\Program Files\Beniamin\tguard.exe

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM…\Run: [webHancer Survey Companion] C:\Program

Files\webHancer\Programs\whsurvey.exe

O4 - HKLM…\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM…\Run: [OSS] C:\windows\system32\rlvknlg.exe -boot

O4 - HKLM…\Run: [MyWebSearch Email Plugin]

C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

O4 - HKLM…\Run: [iTunesHelper] "C:\Program

Files\iTunes\iTunesHelper.exe"

O4 - HKLM…\Run: [QuickTime Task] "C:\Program

Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM…\Run: [AVGCtrl] “C:\Program Files\AVPersonal\AVGNT.EXE”

/min

O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM…\Run: [Media Gateway] C:\Program Files\Media

Gateway\MediaGateway.exe

O4 - HKLM…\Run: [5taqivbu] C:\WINDOWS\system32\5taqivbu.exe

O4 - HKLM…\Run: [internet Optimizer] "C:\Program Files\Internet

Optimizer\optimize.exe"

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MyWebSearch Email Plugin]

C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program

Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program

Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Search -

http://bar.mywebsearch.com/menusearch.html?p=ZN

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program

Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -

http://static.windupdates.com/cab/Websi … e-c411.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)

http://v5.windowsupdate.microsoft.com/v … n/x86/clie

nt/wuweb_site.cab?1108755907759

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -

http://skaner.mks.com.pl/SkanerOnline.cab

O17 -

HKLM\System\CCS\Services\Tcpip…{02A0421A-17DE-4BCE-BCF6-BB218FADEEC1

}: NameServer = 172.16.1.1,194.204.159.1

O17 -

HKLM\System\CS1\Services\Tcpip…{02A0421A-17DE-4BCE-BCF6-BB218FADEEC1

}: NameServer = 172.16.1.1,194.204.159.1

O17 -

HKLM\System\CS2\Services\Tcpip…{02A0421A-17DE-4BCE-BCF6-BB218FADEEC1

}: NameServer = 172.16.1.1,194.204.159.1

O23 - Service: ArcaBit NetMonitor (ABNetMon) - Unknown owner -

C:\Program Files\MKS\Bin\NetMonSV.exe (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik

GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH,

Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. -

C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -

C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NMap - Unknown owner - C:\Documents and

Settings\Pegaz\Pulpit\nmap\Nowy folder\bin\nmapserv.exe

Złączono Posta : 09.07.2005 (Sob) 14:11

poza tym strasznie mi przeszkadza cos takiego Optimize.exe, a nie wiem tez co to jest Select Cash back, Media Get away, Mw Soemon

#2

moze to jeszcze bardziej rozszez. zeby bylo mniej czytelne ??

popraw to sprawdze (zwez) :smiley:

#3

4dr14n bez obrazy ostatni raz sprawdzam ci takiego loga, naucz sie wklejać loga

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Pliki i foldery na czerwono usun ręcznie z dysku

Jak bedziesz miał problem z usunieciem jakiegos pliku to napisz.

Po tych operacjach jeszcze raz loga

#4

http://forum.dobreprogramy.pl/viewtopic.php?t=17593

:slight_smile:

#5

la_verdad - masz priv od tego :stuck_out_tongue:

co do loga to tak (ciezko bylo malo czytelny ?)

kasacja fix (tryb awaryjny) - wyl. przywracanie systemu

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D}

- C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO -

{00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program

Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} -

C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM…\Run: [webHancer Survey Companion] C:\Program

Files\webHancer\Programs\whsurvey.exe

O4 - HKLM…\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM…\Run: [OSS] C:\windows\system32\rlvknlg.exe -boot

O4 - HKLM…\Run: [MyWebSearch Email Plugin]

C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

O4 - HKLM…\Run: [Media Gateway] C:\Program Files\Media

Gateway\MediaGateway.exe

O4 - HKLM…\Run: [5taqivbu] C:\WINDOWS\system32\5taqivbu.exe

O4 - HKCU…\Run: [MyWebSearch Email Plugin]

C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program

Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program

Files\MyWebSearch\bar\2.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Search -

http://bar.mywebsearch.com/menusearch.html?p=ZN

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} -

http://static.windupdates.com/cab/Websi … e-c411.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class)

-

http://v5.windowsupdate.microsoft.com/v … n/x86/clie

nt/wuweb_site.cab?1108755907759

O23 - Service: NMap - Unknown owner - C:\Documents and

Settings\Pegaz\Pulpit\nmap\Nowy folder\bin\nmapserv.exe

wywalasz recznie (tryb awaryjny bez netu)

C:\Program Files\ MyWebSearch

C:\Program Files\ webHancer

C:\windows\system32\ rlvknlg.exe

C:\Program Files\ Media Gateway

C:\WINDOWS\system32\ 5taqivbu.exe

C:\Documents and Settings\Pegaz\Pulpit\nmap\Nowy folder\bin\ nmapserv.exe

dalej skan skanerami AV

–F-Secure–

http://support.f-secure.com/enu/home/ols.shtml

–Softwin (BitDefender)–

http://www.bitdefender.com/scan/licence.php

–Trend Micro (PC-cillin)–

http://housecall.trendmicro.com/houseca … t_corp.asp

zainstaluj ETD_Security i przeskanuj nim kompa

http://www.download.com/ETD-Security-Sc … 29424.html

dajesz nowego loga

wazne na koniec przeczysc rejestr softem jv16PowerTools

ps.

O4 - HKLM…\Run: [internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

to zostaw poprawny wpis

U Internet Optimizer optimize.exe Internet connection optimizer. Leave this enabled if you find it improves your connection

najlepiej sprawdz to C:\Program Files\Internet Optimizer\ optimize.exe tym

–Kaspersky–

http://kaspersky.pl/services.html?s=online_vir_chk

bedziesz wtedy pewny

#6

A dlaczego ma to usunąć, myślisz że scieżka do tego pliku powinna zawsze wyglądać tak:

C:\Program Files\NMapWin\bin\nmapserv.exe

Czekam na jakieś wytłumaczenie jak mi wytłumaczysz dlaczego ma ten wpis skasować to bedzie ok. ale jak narazie 4dr14n nie kasuj go.

No nie :o :o Co ty za bzdury piszesz :evil:

Myślałem że troszke lepszy jesteś w sprawdzaniu loga walnąć sie na takim czymś. :x

#7

hmm dziwne, zawsze wklejałem loga w ten sposób i było dobrze, ale jeśli cos było nie tak to przepraszam, nie chciałem przyspożyć kłopotów :? a więc biore sie za kasowanie tego co zbędne. Rozumiem że przed wklejem loga 3ba wpisac a na końcu - oczywiście bez spacji w nawiasach. Nie wiem czy dobrze zrozumiałe ale to chyba tyle co musze zrobic przy wklejaniu loga. Jeśli cos jeszcze to dajcie znać :smiley:

#8

Tak lub wklej loga kliknij CTRL+A a nastepnie z boku kliknij CODE (w szybkiej odpowiedzi)

#9

kuz5 coo powiadasz ?? - sprawdz sam

http://www.sysinfo.org/startuplist.php

http://startup.iamnotageek.com/

http://www.liutilities.com/products/win … sslibrary/

pisze tak i tak wiec trzeba sprawdzic plik skanerem AV

proste :smiley: :smiley: a co do pierwszego to poco mu to mhh ?? nmapserv.exe jak ma watpliwosci, posluguje sie skanerem Kaspersky i innymi podane ma :stuck_out_tongue:

ps.

opanuj sie troche bo glowa cie zaboli - UWAGI na PW

wiesz co to ??

#10

dobra, więc:

po 1. usunąłem co 3ba (chyba), zrobiłem ten skan on-line i wyszłó że nie ma żadnych błędów:

Skaner on-line

Testowany plik: optimize.exe

Rozmiar testowanego pliku: 0 bajtów

Typ testowanego pliku: application/octet-stream

Do testu wykorzystano rozszerzone antywirusowe bazy danych z dnia 09.07.2005, wykrywające 138724 wirusów.

Liczba ciał wirusów: 0.

Statystyki testu:

optimize.exe ok.

Archiwów: 0 Plików spakowanych: 0

Uszkodzonych plików: 0 Błędy dostępu: 0

… ale mam wątpliwosci, bo mój kaspersky nie daje mi spokoju z tym i wyświetla mi że jest to jakis bład czy cos takiego , no wkażdym razie za każdym razem daje “deny acces”.

po 2. nie usunąłem tej pozycji 23 jeszcze bo widze że wynikły małe kontrowersje, ale jeżeli miałoby mi to być nie potrzebne to dlaczego to 3mac 8)

po 3. przez przypadek usunąłem optymizer.exe :roll:

po 4. chciałem spytać kiedy można właczyc przywracanie systemu :smiley:

po 5. dam jeszcze loga i chybanarazie tyle cie chciałem spytac

Logfile of HijackThis v1.99.1

Scan saved at 16:11:04, on 2005-07-09

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Pegaz\Pulpit\Programy\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

O4 - HKLM\..\Run: [tguard] C:\Program Files\Beniamin\tguard.exe

O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{02A0421A-17DE-4BCE-BCF6-BB218FADEEC1}: NameServer = 172.16.1.1,194.204.159.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{02A0421A-17DE-4BCE-BCF6-BB218FADEEC1}: NameServer = 172.16.1.1,194.204.159.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{02A0421A-17DE-4BCE-BCF6-BB218FADEEC1}: NameServer = 172.16.1.1,194.204.159.1

O23 - Service: ArcaBit NetMonitor (ABNetMon) - Unknown owner - C:\Program Files\MKS\Bin\NetMonSV.exe (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: NMap - Unknown owner - C:\Documents and Settings\Pegaz\Pulpit\nmap\Nowy folder\bin\nmapserv.exe

Złączono Posta : 09.07.2005 (Sob) 16:22

aha, i jeszcze jedno, po co jest ten optymizer?? :-o

Złączono Posta : 09.07.2005 (Sob) 16:28

cos takiego mi sie jeszcze pokazało :

C:\RECYCLER\S-1-5-21-1202660629-1844823847-839522115-1003\DC6\OPTIMIZE.EXE

Is the Trojan horse TR/Dldr.Dyfuca.ds

#11

I dobrze zrobiłeś won z tym gó…em a myślisz że co ci sprowadziło taki syf na kompa kochany Internet Optimizer

Co do loga to zostało ci do usunięcia jeszcze to:

Zobacz w Dodaj/Usuń czy nie masz czegoś takiego, jak bedzie to usuń.

Jest to bardzo gó…ny syf

:x

Update:

A po co masz usuwać chodzi o to że ten wpis jest prawidłowy a kolega każe ci go usuwać jeżeli chcesz to możesz sie tego pozbyć ale w inny sposób:

Start => Uruchom => wpisz services.msc => zatrzymaj proces NMap nastepnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz nmapserv => Ok i zresetuj komputer.

Osobiście proponuje pozostawienie.

#12

a to kto wywali

O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe

C:\PROGRA~1\ MYWEBS~1 - kosz

z jakiego antywira korzystasz zostaw tylko jednego i napewno niejest to AVG

O4 - HKLM…\Run: [AVGCtrl] “C:\Program Files\AVPersonal\AVGNT.EXE” /min[kasacja]

wywal cala zawartosc RECYCLER w trybie awaryjnym

#13

katastrofa

nie usuwaj tego wpisu jest prawidlowy:

czy nie widac ze z AVG??

ps

juz wole mecz ,niz to co sie tu dzieje

#14

ok, to nie bede wywalał tego wpisu 23 skoro nie robi nic złegona kompie, usunę jeszcze tylko tą 4 pozycje. A tak w ogóle to gdzie znajde zawartośc Recycler, bo mam zawartosć to usunąć i czy mam juz włączyc po wszystkim przywracanie systemu czy to sie samo włączy?

Złączono Posta : 09.07.2005 (Sob) 18:22

Aha, własnie zobaczyłem ze mam w dodaj/usuń cos takiego:

  • My search bar

  • My web search bar

rozumiem że 3ba usunąć to drugie…

#15

Oczywiście

Menu Start => Ustawienia => Opcje folderów => zakładka widok->zahaczykuj pokaż wszystkie ukryte foldery i pliki

Po tej operacji powinien być widoczny folder *C:\RECYCLER* no i go ciachnij

Sam musisz włączyć ale dopiero jk sie pozbedziesz syfu

#16

a więc okazuje sie że cały czas mam pokazane ukryte foldery ale niestety pliku receler nie moge znaleźć, nie wiem tez gdzie on moze byc :frowning: chyba ze chodzi o plik o nazwie backups :?

#17

Jeśli RECYCLER nie widać, spróbuj jeszcze coś takiego.

Mój komputer -> Narzędzia -> Opcje folderów -> Widok -> Ukryj chronione pliki systemu operacyjnego - odznacz to. :?

#18

zadziałało, jest plik :smiley: , ale nie da sie go usunąć, bo pisze ze jest chroniony :frowning:

#19

Spróbuj w trybie awaryjnym

#20

Lub programem CopyLock