Prosze o sprawdzenie LOG'a - Laczenie z irc.love.witlog.pl?


(Soku11) #1
Logfile of HijackThis v1.99.1

Scan saved at 18:17:45, on 2006-03-18

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\Programs\Avast\aswUpdSv.exe

D:\Programs\Avast\ashServ.exe

D:\Programs\Avast\ashDisp.exe

D:\Programs\AntiSpyware\gcasDtServ.exe

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\win32ssr.exe

D:\Programs\Avast\ashWebSv.exe

D:\Programs\Avast\ashMaiSv.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\system32\cmd.exe

C:\Documents and Settings\Przemek\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O1 - Hosts: 80.190.241.30 home.edonkey.com

O1 - Hosts: 80.190.241.30 home.edonkey.com

O1 - Hosts: 80.190.241.30 home.edonkey.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programs\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - D:\Programs\FreshDownload\FDCatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programs\Mozilla\Java\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRAMS\FLASHGET\jccatch.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [gcasServ] "D:\Programs\AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [avast!] D:\Programs\Avast\ashDisp.exe

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Programs\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\Programs\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programs\Mozilla\Java\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programs\Mozilla\Java\bin\ssv.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMS\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMS\FLASHGET\flashget.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A2490474-C899-46D5-A8EF-10A3042CE1AC}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Usługa bramy warstwy aplikacji (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programs\Avast\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Programs\Avast\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programs\Avast\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Programs\Avast\ashWebSv.exe" /service (file missing)

O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe

Problem w tym ze komputer strasznie mi sie ostatnio zamulil a gdy wlaczam pojawia sie okienko ze chce sie laczyc z irc.love.com albo pl nie jestem pewny... Zaczelo sie to od instalacji neostrady. Zainstalowalem polaczylem sie i od razu AVAST wykryl u mnie atak z jakiegos tam IP. Dyski przeskanowalem i niczego nie znalazlo. A program od SPYWARE'u usunal mi jakies tam paskudztwa... Raz komputer sam mi sie zresetowal ale najpierw wyskoczyl blad EXPLORER'a i zmienil sie styl w WINdzie :expressionless: Dlatego prosze o sprawdzenie mi tego LOG'a :smiley:

Dodam jeszcze ze ta stronka to dokladnie irc.love.witlog.net. Gdy walczam neta dodatkowo do STARTUP'a dodaj mi sie pliki LUP.EXE oraz MSSVCC.EXE ?! Nie mam juz do tego sily... PRSZE POMOZCIE!!


(Gblade) #2

Skasuj wpisy i pogrubione pliki w trybie awaryjnym z wyłączonym przywracaniem systemu:

MSSVCC.EXE

LUP.EXE

Wywal je w trybie awaryjnym

Przeskanuj http://www.ewido.net

Daj loga z Silent Runners


(Soku11) #3

NIE DZIALA MI TRYB AWARYJNY :o !!

msconfig38 chce dodac do AUTOSTARTU MSSVCC.EXE

secure23 chce dodac LUP.EXE i sie dodaja do AUTOSTARTU te elemnty. W dodatku nieraz uruchamia mi sie proces RASAUTOU.EXE i nawet jak go skakuje to sie odnawia :frowning: Co to moze byc za syf??

Silent Runner mi nie dziala :frowning: Wiersz: 649 Znak: 2 Błąd 0x80041003

Kod: 80041003

Zrodlo: (null)

Sprawdzilem w rejestrze te pliki i w zakladce:

[HKEY_LOKAL_MACHINE] = Software = Microsoft = Windows = CurrentVersion = RunServices

Gdy kasuje wpisy o nazwie msconfig38 (dane: mssvcc.exe) i secure23 (dana: lup.exe) to one sie po prostu odnawaija… Nie wiem co z tym zrobic!!


(Gblade) #4

Ściągnij Pocket Killbox , zaznacz “Delete on Rebot” , w pole Full of Path wklej poniższe ścieżki:

C:\Windows\system32\LUP.EXE

C:\Windows\system32\MSSVCC.EXE

Kliknij na X i potwierdź reset kompa.

Przeskanuj http://www.ewido.net

Daj loga z HijackThis,


(Soku11) #5

A wiec tak:

Pliki te usunalem normalnie i po uruchomieniu juz ich nie ma w folderze Win ani System32. Mimo to caly czas tworza sie wpisy do AUTOSTARTU gdy tylko chce je usunac… A oto wpis z REGISTRY SEARCH TOOL:

REGEDIT4

; RegSrch.vbs © Bill James


; Registry search results for string "msconfig38" 2006-03-19 01:09:40


; NOTE: This file will be deleted when you close WordPad.

; You must manually save this file to a new location if you want to refer to it again later.

; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"msconfig38"="mssvcc.exe"

i drugi:

REGEDIT4

; RegSrch.vbs © Bill James


; Registry search results for string "secures23" 2006-03-19 01:12:44


; NOTE: This file will be deleted when you close WordPad.

; You must manually save this file to a new location if you want to refer to it again later.

; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"secures23"="lup.exe"

A tutaj log z HiJackThis:

Logfile of HijackThis v1.99.1

Scan saved at 01:23:18, on 2006-03-19

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\Programs\Avast\aswUpdSv.exe

D:\Programs\Avast\ashDisp.exe

D:\Programs\Avast\ashServ.exe

D:\Programs\AntiSpyware\TeaTimer.exe

C:\WINDOWS\System32\cisvc.exe

D:\Programs\Ewido\ewidoctrl.exe

D:\Programs\Avast\ashMaiSv.exe

D:\Programs\Avast\ashWebSv.exe

D:\Programs\Mozilla\firefox.exe

C:\WINDOWS\System32\cidaemon.exe

C:\WINDOWS\system32\cmd.exe

D:\Programs\Ewido\SecuritySuite.exe

C:\Documents and Settings\Przemek\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programs\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programs\AntiSpyware\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programs\Mozilla\Java\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRAMS\FLASHGET\jccatch.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [avast!] D:\Programs\Avast\ashDisp.exe

O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe

O4 - HKLM\..\RunServices: [secures23] lup.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programs\AntiSpyware\TeaTimer.exe

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Programs\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\Programs\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programs\Mozilla\Java\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programs\Mozilla\Java\bin\ssv.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMS\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMS\FLASHGET\flashget.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{A2490474-C899-46D5-A8EF-10A3042CE1AC}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Usługa bramy warstwy aplikacji (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programs\Avast\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Programs\Avast\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:\Programs\Avast\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:\Programs\Avast\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - D:\Programs\Ewido\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - D:\Programs\Ewido\ewidoguard.exe

Chce jeszcze dodac ze mimo iz nie mam odpalonej konsoli to w EWIDO jako proces jest C:\Windows\System32\cmd.exe

Nie wiem czemu ale jak zamkne to dalej nic sie nie dzieje…


(system) #6

Wyłacz to w Spybot - Search & Destroy poniewaz nie pozwala ci to usunąc tych plików i dlatego ciągle ci wracaja. Zrób jeszcze raz usuwanie jak to wyłaczysz zarówno z dysku jak i z rejestru. Zauważ że masz wpisy w hijack this.

Użyj może jeszcze tego narzędzia Windows Worms Doors Cleaner zmień znaczki z disable na enable program zrobi restart kompa

Trzeba uruchomić silenta

Zrób tak poczytaj to http://www.searchengines.pl/phpbb203/in … opic=15989 i przejdz do Problemy z uruchomieniem Silent Runners

Z linku sprawdz i zastosuj Wyłączenie WSH albo skorzystaj z alternatywnej wersji SilentRunnerRED.vbs też masz tam opisane


(Soku11) #7

Zdaje mi sie ze jakos mi sie samemu udalo pozbyc antreta :smiley:

Daj dla sprawdzenia jeszcze raz log z HiJackThisa:

Logfile of HijackThis v1.99.1

Scan saved at 12:15:40, on 2006-03-19

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

D:\Programs\Avast\aswUpdSv.exe

D:\Programs\Avast\ashDisp.exe

D:\Programs\Avast\ashServ.exe

D:\Programs\Ewido\ewidoctrl.exe

D:\Programs\Ewido\ewidoguard.exe

C:\Documents and Settings\Przemek\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programs\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programs\AntiSpyware\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programs\Mozilla\Java\bin\ssv.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRAMS\FLASHGET\jccatch.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [avast!] D:\Programs\Avast\ashDisp.exe

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Programs\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\Programs\FlashGet\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programs\Mozilla\Java\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programs\Mozilla\Java\bin\ssv.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMS\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMS\FLASHGET\flashget.exe

O23 - Service: Usługa bramy warstwy aplikacji (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Programs\Avast\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:\Programs\Avast\ashServ.exe

O23 - Service: ewido security suite control - ewido networks - D:\Programs\Ewido\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - D:\Programs\Ewido\ewidoguard.exe

(Gblade) #8

Czysto :wink: