Prosze o spr loga


(4dr14n) #1
Logfile of HijackThis v1.99.1

Scan saved at 20:57:43, on 2005-09-25

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

C:\Program Files\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\D-Tools\daemon.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\Elyan\Pulpit\programy\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{6A5BE31E-E66D-4153-B2E1-97FA61DECB04}: NameServer = 69.50.176.158,85.255.112.8

O20 - Winlogon Notify: tcpG4T - tcpG4T.dll (file missing)

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

pojawia mi sie jakis pornofinder, ale nie wiem jak to sie znalazło na kompie, i nie wiem jak to wywalic


(boczi) #2

Czytasz temat:

http://www.searchengines.pl/phpbb203/in … p=194000


(Kuz5) #3

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Backdoor.Haxdoor.AG jak sie go pozbyć masz TUTAJ

Plik usun programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:(z tego co piszesz tobędzie ona wyglądać tak)

C:\WINDOWS\system32** tcpG4T.dll**

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

Czy to są twoje DNSy?

Zobacz w Dodaj/Usun czy nie ma czegoś takiego jak bedzie to odinstaluj.

Jeżeli znasz lokalizacje tego syfu to ciachnij go recznie z dysku w trybie awaryjnym z wyłączonym przywracaniem systemu

Poza tym masz dużo zamulaczy kompa

Start=>Uruchom=>Wpisz polecenie msconfig=>Zakładka Uruchamianie i odchacz:

Panel sterowania => Java Plug-in => Update => odptaszkuj Check for updates automatically

Jeżeli nie używasz Windows Messenger to go usuń:

Start=>Uruchom=>Wpisz polecenie

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

Lub programem Xp-AntiSpy PL


(4dr14n) #4

no tak, ale tam jest napisane “file missing” i juz próbowałem to kiedys wywalic i sie dało tak jak jest napisane w tym odnośniku bo to kiedys czytałem, a poza tym ten “pornofinder” mnie przekierowuje jak próbuje ofworzyc jakies strony typu mużyczny.e9 albo your.mp3


(boczi) #5

Zrób skan programami ANTY.

Np. Microsoft Antispyware, Ad-Aware, Spybot Search & Destroy.

W Hijackthis wejdź w Open the misc tools section -> Main -> i strony defalult start page - wszystkie poustawiaj na http://www.google.pl .

Jak próbowałeś wywalić wg info - skasuj z Hijackthis. Upewnij się jeszcze, czy wszystko robiłeś wg instrukcji.


(4dr14n) #6

hmm… jeśli chodzi o wszystko do momentu

to juz to kiedys robiłem i dlatego od tamtej pory mi wyskakuje file missing jak robie hijacka


(boczi) #7

To spróuj to zafixować z Hijacka.


(Qbek50) #8

Panda

Kaspersky

mks_vir

CWShredder 2.15

SpyBot - Search & Destroy v1.4 PL

Ad-aware SE Personal 1.06

PestPatrol


(4dr14n) #9

jesli chodzi o scan ANTY to mam ad-aware i robiłem juz nim scana chyba 50 mln razy i jak zwykle wykrywa tylko iCache czy cos takiego,

Z hijacka zfixowałem to, ale nie sądze żeby pomogło

nie rozumiem o co chodzi pytaniem

jeśli chodzi wpis 017


(Qbek50) #10

tak


(4dr14n) #11

ale co “tak”, jakie dnsy, nie bardzo rozumiem wiec pyatam


(Qbek50) #12

czy to są Twoje ?


(boczi) #13

Tu masz napisane, czym jest DNS: http://pl.wikipedia.org/wiki/DNS

i pytamy Ciebie, czy ten adres DNS (69.50.176.158,85.255.112.8 ) jest Twój.


(Qbek50) #14

dla mnie wygląda to podejrzanie :?


(4dr14n) #15

nie wiem czy to jest mój dns, dla mnie to tez wygląda podejżanie, jestem w osiedlowej sieci a nie bardzow eim jak moge zobaczyc czy to mój czy nie mój dns


(Kuz5) #16

Start => Uruchom i wpisz polecenie cmd /c ipconfig -all > Pulpit\ipconfig.txt po tej operacji na pulpicie pojawi sie dokument tekstowy ipconfig otwórz go i wklej całą jego zawartość na forum.


(4dr14n) #17

no tak, ale po tym jak wpisze ten 1 komunikat to mi sie na chwile pojawia czarne okno dosa, a potem znika, a ten drugi jak wpisze to mi pisze ze nie ma takiego pliku :?


(Kuz5) #18

Nie wiem oczym ty mówisz

Start => Uruchom i wpisz cmd /c ipconfig -all > Pulpit\ipconfig.txt i kliknij OK (patrz screen)

uruchom6sd.jpg


(4dr14n) #19

ups, bo to w ten sposób miało byc, no to mam juz:

Serwery DNS . . . . . . . . . . . : 69.50.176.158


                                            85.255.112.8

(Kuz5) #20

To sa twoje dnsy takze wpis 017 zostaw :wink: