Prosze o sprawdzenie loga

com3 · 15 Marzec 2005 21:01

Logfile of HijackThis v1.99.1

Scan saved at 20:30:23, on 2005-03-15

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\MKS\Bin\NetMonSv.exe

C:\Program Files\MKS\Bin\mksmonsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\adsl.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\MKS\Bin\mks_scan.exe

C:\Program Files\MKS\Bin\mks_menu.exe

C:\WINDOWS\System32\LXSUPMON.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Adobe\Acrobat 6.0 CE\Distillr\acrotray.exe

C:\Program Files\PLANET\WL-8303\RtlWake.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ppp\USTAWI~1\Temp\Rar$EX00.687\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi … ch/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi … .yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi … .yahoo.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8118;https=127.0.0.1:8118

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP

O4 - HKLM…\Run: [LANChatPro] C:\lanchat\LANChat.exe /q

O4 - HKLM…\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe

O4 - HKLM…\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN

O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime

O4 - HKLM…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - HKLM…\Run: [security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe

O4 - HKLM…\RunServices: [internet Proxy Access] C:\WINDOWS\SYSTEM32\adsl.exe /service

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0 CE\Distillr\acrotray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: PLANET WL-8303.lnk = ?

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE (file missing)

O9 - Extra button: Microsoft AntiSpyware helper - {4124DA5A-254A-4AB4-A7FD-FBAFDFFFB5B1} - (no file) (HKCU)

O9 - Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper - {4124DA5A-254A-4AB4-A7FD-FBAFDFFFB5B1} - (no file) (HKCU)

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 4580247856

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab

O16 - DPF: {AE609930-A6EB-4A78-B7DA-B3200705FEBD} (Mophun Control) - http://www.mophun.com/codebase/mophun.cab

O17 - HKLM\System\CCS\Services\Tcpip…{63836093-18BE-4B75-A35B-0994CF9A1C40}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CS1\Services\Tcpip…{63836093-18BE-4B75-A35B-0994CF9A1C40}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CS2\Services\Tcpip…{63836093-18BE-4B75-A35B-0994CF9A1C40}: NameServer = 194.204.159.1,194.204.152.34

O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)

O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)

O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: MkS Net Monitor (MksNetMon) - Unknown owner - C:\Program Files\MKS\Bin\NetMonSv.exe

O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe

O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program Files\MKS\Bin\mksmonsv.exe

O23 - Service: MkS_Scan - Unknown owner - C:\Program Files\MKS\Bin\mks_scan.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\adsl.exe" /service (file missing)

Damian · 15 Marzec 2005 21:17

WYłączasz przywracanie systemu i włazisz w tryb awaryjny:

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll (file missing)

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE (file missing)

O9 - Extra button: Microsoft AntiSpyware helper - {4124DA5A-254A-4AB4-A7FD-FBAFDFFFB5B1} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {4124DA5A-254A-4AB4-A7FD-FBAFDFFFB5B1} - (no file) (HKCU)

O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)

O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)

O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\adsl.exe" /service (file missing)

Tego jak nie znasz to odznacz w start>>>Uruchom>>>msconfig>>>uruchamianie:

O4 - HKLM…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - HKCU…\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

Comend · 16 Marzec 2005 05:52

Gdyby to było takie łatwe…

Ten 020 to Backdoor.Haxdoor ver. D

Sposob usuwania masz tutaj -> http://www.searchengines.pl/phpbb203/index.php?showtopic=12510

Ominiete:

O4 - HKLM…\RunServices: [internet Proxy Access] C:\WINDOWS\SYSTEM32\adsl.exe /service

opuszczone pare file missing + watpie zeby com3 sam ustawiał taki start page wiec R1 do wywalenia.

com3 · 16 Marzec 2005 15:26

Niemogę sobie poradzić z tym:

Backdoor.Haxdoor ver. D

O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

Jak mogę to usunąć??

boczi · 16 Marzec 2005 15:28

Dokładnie to info masz tutaj:

http://www.searchengines.pl/phpbb203/in … pic=12510#

o wersji D.

krasnalek52 · 16 Marzec 2005 15:59

SP 2 zainstaluj

com3 · 16 Marzec 2005 20:07

Dzięki pomogło

Można coś jeszcze niepo cz ebnego usunąć?

Logfile of HijackThis v1.99.1

Scan saved at 21:00:17, on 2005-03-16

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Program Files\MKS\Bin\NetMonSv.exe

C:\Program Files\MKS\Bin\mksmonsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\adsl.exe

C:\Program Files\MKS\Bin\mks_scan.exe

C:\WINDOWS\explorer.exe

C:\Program Files\MKS\Bin\mks_menu.exe

C:\WINDOWS\System32\LXSUPMON.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 6.0 CE\Distillr\acrotray.exe

C:\Program Files\PLANET\WL-8303\RtlWake.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\ppp\USTAWI~1\Temp\Rar$EX04.156\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll (file missing)

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe

O4 - HKLM…\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN

O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime

O4 - HKLM…\Run: [security iGuard] C:\Program Files\Security iGuard\Security iGuard.exe

O4 - HKLM…\RunServices: [internet Proxy Access] C:\WINDOWS\SYSTEM32\adsl.exe /service

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0 CE\Distillr\acrotray.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: PLANET WL-8303.lnk = ?

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar … vSniff.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 4580247856

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab

O16 - DPF: {AE609930-A6EB-4A78-B7DA-B3200705FEBD} (Mophun Control) - http://www.mophun.com/codebase/mophun.cab

O17 - HKLM\System\CCS\Services\Tcpip…{63836093-18BE-4B75-A35B-0994CF9A1C40}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CS1\Services\Tcpip…{63836093-18BE-4B75-A35B-0994CF9A1C40}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CS2\Services\Tcpip…{63836093-18BE-4B75-A35B-0994CF9A1C40}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CS3\Services\Tcpip…{63836093-18BE-4B75-A35B-0994CF9A1C40}: NameServer = 194.204.159.1,194.204.152.34

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: MkS Net Monitor (MksNetMon) - Unknown owner - C:\Program Files\MKS\Bin\NetMonSv.exe

O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:\Program Files\MKS\bin\MkSUpdateInt.exe

O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program Files\MKS\Bin\mksmonsv.exe

O23 - Service: MkS_Scan - Unknown owner - C:\Program Files\MKS\Bin\mks_scan.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\adsl.exe" /service (file missing)

detektyw · 16 Marzec 2005 20:09

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0 CE\Acrobat\AcroIEFavClient.dll (file missing)

boczi · 16 Marzec 2005 20:20

IMHO usuń jescze to:

C:\WINDOWS\system32\adsl.exe

   	O4 - HKLM\..\RunServices: [Internet Proxy Access] C:\WINDOWS\SYSTEM32\adsl.exe /service

   	O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\adsl.exe" /service (file missing)

Sposób kasacji

Searchengines.pl/picasso:

Jak zastartować do trybu awaryjnego? Są dwie metody: 1. Przez klawisz F8 (lub F5): W momencie kiedy komputer się resetuje i ma jeszcze czarny ekran klikamy nieustannie i bardzo szybko w klawisz F8. Na starszych kompach ta metoda może się nie sprawdzić gdyż klawisz F8 może być wyłączony lub może być przypisany inny. Np. jeśli komuś po kliknięciu w F8 wyskoczy wybór urządzenia bootującego to znaczy, że u niego klawiszem dzięki, któremu przechodzi się w tryb awaryjny prawdopodobnie jest F5. Problem z metodą F8 polega na strzelaniu w ten klawisz WE WŁAŚCIWYM MOMENCIE: na czarnym ekranie ale nie za wcześnie (inaczej wystąpi błąd klawiatury) i nie za późno (inaczej załaduje się Windows w trybie Normalnym). 2. Przez narzędzie systemowe MSCONFIG. Patrz niżej na różnice w jego użyciu pomiędzy Windowsami. Ta metoda może się nie powieść jeśli na kompie jest śmieć gdyż wiele śmieci w pierwszej kolejności blokuje msconfig właśnie! Wniosek: nie działa F8 to msconfig, nie działa msconfig to F8.

com3 · 17 Marzec 2005 09:06

Niemogę sobie poradzić z tym:

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\adsl.exe" /service (file missing)

HijackThis go nieusunie. W jaki sposób można się tego pozbyć?