Proszę o sprawdzenie loga


(Patrykw) #1
Logfile of HijackThis v1.99.0

Scan saved at 09:55:24, on 2005-02-21

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\nvsvc32.exe

P:\Panda Antivirus Platinum\Firewall\PavFires.exe

P:\Panda Antivirus Platinum\pavsrv51.exe

P:\Panda Antivirus Platinum\AVENGINE.EXE

P:\Panda Antivirus Platinum\apvxdwin.exe

P:\Panda Antivirus Platinum\pavProxy.exe

D:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Program Files\Preview AdService\PrevAdServ.exe

D:\WINDOWS\qihycnu.exe

D:\Program Files\Preview AdService\PrevAdKeep.exe

D:\WINDOWS\system32\ctfmon.exe

D:\WINDOWS\system32\MSNSRV32.exe

D:\WINDOWS\system32\rundll32.exe

D:\WINDOWS\system32\wuauclt.exe

D:\Program Files\D-Link AirPlus\AIRPLUS.EXE

P:\Hijackthis\HijackThis.exe

D:\Program Files\Web_Rebates\WebRebates0.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.o2.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy.zicom.pl/auto.pac

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - P:\adobe acrobat reader\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - P:\FlashGet\FlashGet\jccatch.dll

O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - D:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - P:\FlashGet\FlashGet\fgiebar.dll

O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - D:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - D:\PROGRA~1\YOURSI~1\ysb.dll

O4 - HKLM\..\Run: [_Cat4] D:\WINDOWS\msmsgr2.exe

O4 - HKLM\..\Run: [Sygate Personal Firewall] MSNSRV32.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [SCANINICIO] "P:\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "P:\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Preview AdService] D:\Program Files\Preview AdService\PrevAdServ.exe

O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [F2Ex27] D:\WINDOWS\qihycnu.exe

O4 - HKLM\..\Run: [sais] d:\program files\180solutions\sais.exe

O4 - HKLM\..\Run: [WebRebates0] "D:\Program Files\Web_Rebates\WebRebates0.exe"

O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNSRV32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Sygate Personal Firewall] MSNSRV32.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "P:\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - Global Startup: D-Link AirPlus.lnk = D:\Program Files\D-Link AirPlus\AIRPLUS.EXE

O4 - Global Startup: Microsoft Office.lnk = P:\Office XP\Office10\OSA.EXE

O8 - Extra context menu item: Download All by FlashGet - P:\FlashGet\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - P:\FlashGet\FlashGet\jc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://P:\OFFICE~1\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Web Rebates - file://D:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - P:\FlashGet\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - P:\FlashGet\FlashGet\flashget.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/DownloadsUnlimited/ie/Bridge-c112.cab

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106674867269

O16 - DPF: {858B4F85-E945-4F0C-AF65-059E0AD9EEC0} (IntraLaunch.MainControl) - file://F:\Interface\IntraLaunch.CAB

O17 - HKLM\System\CCS\Services\Tcpip\..\{1B3F5E4B-96C0-44E6-8B22-49E30B867278}: NameServer = 217.70.48.6,217.70.48.20

O17 - HKLM\System\CS1\Services\Tcpip\..\{1B3F5E4B-96C0-44E6-8B22-49E30B867278}: NameServer = 217.70.48.6,217.70.48.20

O17 - HKLM\System\CS2\Services\Tcpip\..\{1B3F5E4B-96C0-44E6-8B22-49E30B867278}: NameServer = 217.70.48.6,217.70.48.20

O23 - Service: MySql - Unknown - c:\usr/MYSQL/bin/mysqld.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Firewall Service - Unknown - P:\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service - Unknown - P:\Panda Antivirus Platinum\pavsrv51.exe

Troszkę się tego uzbierało... Z góry dziękuję.


(Musg) #2

wylacz przywracanie systemu i usun

D:\Program Files\Web_Rebates\WebRebates0.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxy.zicom.pl/auto.pac

O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - D:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll

O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - D:\Program Files\NavExcel Search Toolbar\NavExcelBar.dll

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - D:\PROGRA~1\YOURSI~1\ysb.dll

O4 - HKLM..\Run: [sais] d:\program files\180solutions\sais.exe

O4 - HKLM..\Run: [WebRebates0] "D:\Program Files\Web_Rebates\WebRebates0.exe"

O4 - HKLM..\Run: [WebRebates0] "D:\Program Files\Web_Rebates\WebRebates0.exe"

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Downl ... e-c112.cab

i dajesz raz jeszcze log oczywiscie scan tymi progsami

http://forum.dobreprogramy.pl/viewtopic.php?t=17671


(Maniooo666) #3

Witam,

do tego jeszcze usuń w trybie awaryjnym i przy wyłączonym przywracaniu systemu.

To co pogrubione usuń ręcznie:

O4 - HKLM..\Run: [F2Ex27] D:\WINDOWS[b]qihycnu.exe[/b]

O4 - HKLM..\Run: [sais] d:\program files[b]180solutions\sais.exe[/b]

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - D:\PROGRA~1\YOURSI~1\ysb.dll

O8 - Extra context menu item: Web Rebates - file://D:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4. ... egular.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6674867269


(Kuz5) #4

Możesz wyłączyć CTFMON.EXE: Panel sterowania => Opcje regionalne=> Języki => Szczegóły => Zaawansowane => zaznaczasz wyłącz zaawansowane usługi tekstowe

Start=>Uruchom=>Wpisz polecenie msconfig=>Zakładka Uruchamianie i odchacz:

NeroCheck

Ten wpis mi nie pasuje raczej do usunięcia:

O4 - HKLM..\Run: [Preview AdService] D:\Program Files\Preview AdService\PrevAdServ


(Maniooo666) #5

Witam,

Racja, przeoczyłem. Pogrubione do usunięcia.


(Cancel) #6

Jeszcze to

O4 - HKLM\..\RunServices: [Sygate Personal Firewall] MSNSRV32.exe 

O4 - HKCU\..\Run: [Sygate Personal Firewall] MSNSRV32.exe

(fiesta) #7

:x :x :x

A czy nie są to poprawne wpisy zapory ogniowej SYGATE :? :? :? :?


(Musg) #8

jasne ze są


(Kuz5) #9

Nie muszą to być dobre wpisy może to być robak.


(boczi) #10

To jest robak, plik podszywający sie pod Sygate.

INFO w poście Picasso:

http://www.searchengines.pl/phpbb203/in ... ntry124016