Proszę o sprawdzenie loga =D


(Laziossj) #1

Tia, prośba kolejna. Mam problem, mianowicie podczas pobytu na komputerze- co jakis czas wyskakują mi pop-upy reklamujące jakies szity. A jako strone startową mam jakąś przeglądarke :P. Czy da się coś z tym zrobić ???

Mój log HiJack:

Logfile of HijackThis v1.99.0

Scan saved at 09:33:21, on 05-03-12

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\ESET\NOD32KUI.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\APVXDWIN.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVPROXY.EXE

C:\WINDOWS\PULPIT\MACIEK\INSTALKI\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {5A963122-927D-11D9-9C08-0001BC011A89} - C:\WINDOWS\SYSTEM\ACEABAA.DLL

O4 - HKLM..\Run: [internat.exe] internat.exe

O4 - HKLM..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM..\Run: [systemTray] SysTray.Exe

O4 - HKLM..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM..\Run: [VTTimer] VTTimer.exe

O4 - HKLM..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM..\Run: [sCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O4 - HKLM..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKCU..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray

O4 - HKCU..\Run: [ETD Security Scanner] "C:\PROGRAM FILES\ETD SECURITY SCANNER\ETD SECURITY SCANNER.EXE" /s

O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O18 - Filter: text/html - {5A963121-927D-11D9-9C08-00014CD384FE} - C:\WINDOWS\SYSTEM\ACEABAA.DLL

O18 - Filter: text/plain - {5A963121-927D-11D9-9C08-00014CD384FE} - C:\WINDOWS\SYSTEM\ACEABAA.DLL

(EnJoY)


(Stachan) #2

:roll: wg mnie do usunięcia:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

potem skan tym:

http://forum.dobreprogramy.pl/viewtopic.php?t=8175

potem nowa wersja hijacka:

http://forum.dobreprogramy.pl/viewtopic.php?t=19174

potem ponownie zapodaj logasa


(Laziossj) #3

Pousuwałem to co mi podałeś plus inne syfy, o których sie dowiedziałem z innych tematów. Aktualnie robie scana Symatecem Online. Mój aktualny log to:

Logfile of HijackThis v1.99.0

Scan saved at 10:10:29, on 05-03-12

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\APVXDWIN.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVPROXY.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\PULPIT\MACIEK\INSTALKI\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

O4 - HKLM..\Run: [internat.exe] internat.exe

O4 - HKLM..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM..\Run: [systemTray] SysTray.Exe

O4 - HKLM..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM..\Run: [VTTimer] VTTimer.exe

O4 - HKLM..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM..\Run: [sCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKCU..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray

O4 - HKCU..\Run: [ETD Security Scanner] "C:\PROGRAM FILES\ETD SECURITY SCANNER\ETD SECURITY SCANNER.EXE" /s

O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab

Tylko mam jeszcze problem, gdy wpisze błędny adres- pojawia się jakaś dziwna strona z popupami. Pomóżcie- być może coś w rejestrze siedzi (?)

Enjoy!


(fiesta) #4

To wszystko do wywalenia.

Znasz zostawiasz nie znasz kasujesz.

Jako głównego antywira stosujesz Pandę, ale w logu widzę ślady NODA32. Moja propozycja wywal Pandę i zostaw NODA.

Poczekaj jeszcze na opinie innych.


(Comend@nte) #5

Chłopaki chyba sobie w kulki lecicie

fiesta - przeciez w logu wyzej masz

O18 - Filter: text/html - {5A963121-927D-11D9-9C08-00014CD384FE} - C:\WINDOWS\SYSTEM\ACEABAA.DLL

O18 - Filter: text/plain - {5A963121-927D-11D9-9C08-00014CD384FE} - C:\WINDOWS\SYSTEM\ACEABAA.DLL

Wiec nad czym sie tutaj zastanawiać jak nazwy sie zgadzaja , to do wywalenia:

O2 - BHO: (no name) - {5A963122-927D-11D9-9C08-0001BC011A89} - C:\WINDOWS\SYSTEM\ACEABAA.DLL

To od sp.dll

Oproznij Temp

Lazio - masz zainstalowana te poprawke - KB891711 ??

Jesli tak to do usuniecia:

O4 - HKLM..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE


(Stachan) #6

Koleżko, my tutaj w ten sposób nie rozmawiamy!! :evil:

wpisz sobie w googlach "szacunek"... :?

:o Przecież fiesta napisał, że jeśli kolega Lazio to zna - zostawia, jeśli zaś nie zna tej aplikacji to fiesta zaleca jej usunięcie.

A zatem czytaj dokładnie każdy post!! :twisted:

Update:

Bez komentarza :x

Update I:

Zapewniam, że słowo "koleżka" nie miało negatywnej konotacji.


(Comend@nte) #7

Jak pytajacy moze to znac skoro to składnik syfu, a na dodatek nazwy jego bibliotek sa zawsze generowane automatycznie

stachan - na szacunek to najpierw trzeba sobie zapracować. Nikt z urzedu szacunku do kogos nie ma. Udowodnisz mi swoja wiedze to i moze respekt zdobedziesz, na razie traktuje Cie oraz innych userow jak zwykłego uzytkownika forum.

Poza tym nie przypominam sobie czy ześmy brudzia pili, wiec mnie swoim kolezkom z łaski swojej nie nazywaj


(fiesta) #8

Comend@nte

Jak Cię proszę skończ swoje wywody. Doskonale zdajesz sobie sprawę że działania związane z HT opierają się nie tylko na znajomości procesów systemowych i procesów szkodników ale i rónież na intuicji i doświadczeniu. Nie znałem tego procesu a wydał mi się podejżany dlatego zaleciłem ostrożnośc w postępowaniu z nim oraz poczekanie na opinię innych. Chyba ostrożności nigdy za wiele. Nikt z nas nie jest alfą i omegą.

Potwierdziłeś moje podejżenia i jest OK. Tylko mnie to cieszy że moja intuicja mnie nie zawiodła :slight_smile: :slight_smile: :slight_smile:


(Comend@nte) #9

Nie mam zamiaru z nikim juz w pierwszy dzien wojować szczegolnie z funkcyjnymi, ale zwracam uwage ze ja (moze jestem jakis dziwny) przy sprawdzaniu loga czegos nie znam, albo nie pamietam to posiłkuje sie googlami.

Gdy pewnosci nie mam szczegolnie przy Hijack This to po prostu nie odpowiadam. Taka moja natura.

Twoj post przyjmuje ogolnie dobrze natomiast to zdanie o moich niby wywodach mogłes troche inaczej ujać.

Mam nadzieje ze sie zrozumielismy i jest dobrze


(boczi) #10

No to Lazio jeśli usunąłeś, co Ci koledzy podali, pokaż znów loga, najlepiej z nowszej wersji programu http://forum.dobreprogramy.pl/viewtopic.php?t=19174


(fiesta) #11

Myślisz że tego nie robiłem:

http://www.google.pl/search?q=aceabaa.dll&num=50

Jeżeli był by to proces systemowy "gugiel" na bank by coś znalazł. Nie znalazł więc istnieje duże prawdopobieństwo że to szkodnik. Aczkolwiek nie mam pewności co user ma zainstalowane na swoim kompie (chyba się taki nie urodził co zna procesy wszystkich istniejących aplikacji). Jeszcze raz powtórzę poprosiłem o konsultację z innymi, Ty potwierdziłeś moję podejżenia i jest OK.

To tyczyło się raczej:

Jesteśmy na forum internetowym i tu raczej nie stosuje się form osobowych "per Pan". Takie obyczaje jeszcze się do tego nie przyzwyczaiłeś :? :? :? Myślę że Stachan nie miał nic złego na myśli i nie miał zamiaru Cię obrażać, a że tak wyszło i Ty to tak odebrałeś ...........................


(Comend@nte) #12

Wszystko zalezy od odpowiedniego skojarzenia faktów

O18 - Filter: text/html - .... - na pewno znasz, dośc pospolity ostatnio wpis odnoszacy sie do sp.dll (przekierownia stron, zmiana start page... etc)

O18 - Filter: text/html - {5A963121-927D-11D9-9C08-00014CD384FE} - C:\WINDOWS\SYSTEM\ACEABAA.DLL

Ciagu {5A963121-927D-11D9-9C08-00014CD384FE} rzeczywiscie w goolarze nie znajdziesz, to unikat, numerki sie zmieniaja tak samo jak nazwa biblioteki.

PS: Nie oczekuje zwracania sie do mnie "per Pan" bo to nie te strefy komunikacyjne, a dziadkiem tez nie jestem. Oczekuje natomiast aby "koleżką" mnie nie nazwywać.

Watek koncze bo chyba juz wszystko co trzeba zostało powiedziane i nie ma sensu dyskusji/kłótni dalej przeciagac.

Pozdrawiam dla załagodzenia sytuacji


(Laziossj) #13

Myśle że siedzi mi na kompie cos grozniejszego. Kaspersky wykrywa mi ciagle jakieś nieudane połączenie sp.dll~... Daje delete, ale to się co załączenie komputera pojawia. Co do loga- usuwam to ci mi podaliscie, jest "czysto", ale po chwili jak robie loga pojawia mi się znów masa wirusów... Pomóżcie.

Logfile of HijackThis v1.99.1

Scan saved at 13:08:05, on 05-03-13

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\WINDOWS\PULPIT\MACIEK\HIJACKTHIS.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {47F0AF23-93C0-11D9-9C08-0001528E2CF3} - C:\WINDOWS\SYSTEM\JMIBL.DLL

O4 - HKLM..\Run: [internat.exe] internat.exe

O4 - HKLM..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM..\Run: [systemTray] SysTray.Exe

O4 - HKLM..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM..\Run: [VTTimer] VTTimer.exe

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

O4 - HKLM..\RunServices: [kavsvc] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"

O4 - HKCU..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray

O4 - HKCU..\Run: [ETD Security Scanner] "C:\PROGRAM FILES\ETD SECURITY SCANNER\ETD SECURITY SCANNER.EXE" /s

O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O18 - Filter: text/html - {47F0AF22-93C0-11D9-9C08-00013DC28968} - C:\WINDOWS\SYSTEM\JMIBL.DLL

O18 - Filter: text/plain - {47F0AF22-93C0-11D9-9C08-00013DC28968} - C:\WINDOWS\SYSTEM\JMIBL.DLL

DOWN: LoLOlLlol przeczytaj co napisałem wyżej nad logiem.


(Musg) #14

usun

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {47F0AF23-93C0-11D9-9C08-0001528E2CF3} - C:\WINDOWS\SYSTEM\JMIBL.DLL

ijeszcxze pozostaje to

O4 - HKLM..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

pewnosci co do tego nie mam

po czyszczeniu raz jeszcze log


(Comend@nte) #15

A:

O18 - Filter: text/html - {47F0AF22-93C0-11D9-9C08-00013DC28968} - C:\WINDOWS\SYSTEM\JMIBL.DLL 

O18 - Filter: text/plain - {47F0AF22-93C0-11D9-9C08-00013DC28968} - C:\WINDOWS\SYSTEM\JMIBL.DLL

??

  • oproznienie Tempu w awaryjnym