Proszę o sprawdzenie loga

iwciak · 28 Marzec 2005 16:49

Logfile of HijackThis v1.99.1

Scan saved at 18:42:35, on 2005-03-28

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\Services{1EAB5EB4-2916-4A79-AAAE-8AD0182F2895}\SVCHOST.EXE

C:\Program Files\Java\j2re1.4.2_04\bin\jucheck.exe

C:\WINDOWS\System32\RUNDLL32.EXE

D:\Gadu-Gadu\gg.exe

C:\Program Files\AVERTV2K\QuickTV.exe

C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Program Files\Netropa\Onscreen Display\OSD.exe

C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\IWONA\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis1.99.1.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.10:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\cerbmod.dll

O2 - BHO: (no name) - {E7188E2B-16E8-634E-99DA-3081E8C35BB4} - C:\WINDOWS\System32\tuazbjmo.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM…\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM…\Run: [HP Software Update] “C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe”

O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe”

O4 - HKLM…\Run: [Disk Keeper] C:\DOCUME~1\IWONA\USTAWI~1\Temp\keep.exe

O4 - HKLM…\Run: [service Host] C:\WINDOWS\System32\Services{1EAB5EB4-2916-4A79-AAAE-8AD0182F2895}\SVCHOST.EXE

O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU…\Run: [Gadu-Gadu] “D:\Gadu-Gadu\gg.exe” /tray

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: TeleSA.lnk = C:\Program Files\AVer Teletext\AVerSA.exe

O4 - Global Startup: QuickTV.lnk = C:\Program Files\AVERTV2K\QuickTV.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_04\bin\npjpi142_04.dll

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O15 - Trusted Zone: *.blazefind.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.searchbarcash.com

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.xxxtoolbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 213.159.117.202

O15 - Trusted IP range: 213.159.117.202 (HKLM)

O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://iframedollars.biz/tb/loader2.ocx

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)

O23 - Service: hpdj3600 - Unknown owner - C:\DOCUME~1\IWONA\USTAWI~1\Temp\hpdj3600.exe (file missing)

O23 - Service: MySql - Unknown owner - C:/AppServ/mysql/bin/mysqld-nt.exe (file missing)

O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

system · 28 Marzec 2005 16:52

Usówamy i instalujemy jeszcze Sp2

Nie ma antywirusa i firewalla??

JNJN · 28 Marzec 2005 17:06

Najpierw zainstaluj podane programy i zrób scan kompa.

http://forum.centrumxp.pl/viewtopic.php?t=32306

Wyczyść ręcznie katalogi TEMP,jak nie da rady to w trybie awaryjnym.ma być czysto.

Po scanie kompa Ad-awre,CWS i Spybotem wklej jeszcze raz loga.

iwciak · 31 Marzec 2005 14:58

zrobiłam tak jak jest napisane ale nie chcą mi się otwierać strony wasze forum też się nie otwiera, piszę to od kumpeli . Co to może być

musg · 31 Marzec 2005 15:01

bez nowego loga nic ciekawego ci nie powiemy

jednak wpisy 015 nalezalo usunac.

boczi · 31 Marzec 2005 15:02

Tak, ale programem KillTrusted.

musg · 31 Marzec 2005 15:15

dokladnie

http://www.searchengines.pl/phpbb203/in … ost&id=459

Comend · 31 Marzec 2005 15:31

Panowie po kiego wam nowy log ?? Nie widzicie nic w tym ??

Przecie wiadomo ze nowy ubozszy bedzie tylko o 015

Do usuniecia:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\cerbmod.dll

O2 - BHO: (no name) - {E7188E2B-16E8-634E-99DA-3081E8C35BB4} - C:\WINDOWS\System32\tuazbjmo.dll

O4 - HKLM\..\Run: [Disk Keeper] C:\DOCUME~1\IWONA\USTAWI~1\Temp\keep.exe

O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{1EAB5EB4-2916-4A79-AAAE-8AD0182F2895}\SVCHOST.EXE

O15 - Trusted Zone: *.blazefind.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.iframedollars.biz

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.searchbarcash.com

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.slotchbar.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.xxxtoolbar.com

O15 - Trusted Zone: *.ysbweb.com

O15 - Trusted Zone: *.iframedollars.biz (HKLM)

O15 - Trusted Zone: *.skoobidoo.com (HKLM)

O15 - Trusted Zone: *.slotchbar.com (HKLM)

O15 - Trusted Zone: *.windupdates.com (HKLM)

O15 - Trusted IP range: 213.159.117.202

O15 - Trusted IP range: 213.159.117.202 (HKLM)

O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://iframedollars.biz/tb/loader2.ocx

O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

O23 - Service: Apache - Unknown owner - C:\AppServ\Apache\Apache.exe" --ntservice (file missing)

O23 - Service: hpdj3600 - Unknown owner - C:\DOCUME~1\IWONA\USTAWI~1\Temp\hpdj3600.exe (file missing)

O23 - Service: MySql - Unknown owner - C:/AppServ/mysql/bin/mysqld-nt.exe (file missing

O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

020 - to plik od Haxdoora

Jeszcze sprawa do JN. Musisz tak w kazdym poscie w tym dziale linkowac ten temat ?? Cudow w nim nie ma, ale za to instalacja 500-set programow jakos przynajmniej mnie nie na reke.

musg · 31 Marzec 2005 15:41

to zostawiasz-prawidlowy wpis --Panowie

Magik · 31 Marzec 2005 15:58

Comend@nte , przyjmij do wiadomości, że każdy jest omylny - ty też.

Byłeś juz nieraz proszony o skończenie z takimi tekstami.

To, że znasz sie na logach, nie upoważnia cię do mieszania z błotem innych.

Twój post jako niegrzeczny idzie w zaświaty.

Gutek · 31 Marzec 2005 16:48

Backdoor.Haxdoor Wersja D:

nie tak łatwo poczytaj jak usunać TUTAJ

i Syf:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O2 - BHO: (no name) - {0F9561D0-03B2-44a3-89A6-E95E417CBA25} - C:\WINDOWS\cerbmod.dll O2 - BHO: (no name) - {E7188E2B-16E8-634E-99DA-3081E8C35BB4} - C:\WINDOWS\System32\tuazbjmo.dll O4 - HKLM…\Run: [Disk Keeper] C:\DOCUME~1\IWONA\USTAWI~1\Temp\keep.exe O4 - HKLM…\Run: [service Host] C:\WINDOWS\System32\Services{1EAB5EB4-2916-4A79-AAAE-8AD0182F2895}\SVCHOST.EXE O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.iframedollars.biz O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.iframedollars.biz (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted IP range: 213.159.117.202 O15 - Trusted IP range: 213.159.117.202 (HKLM) O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} - http://iframedollars.biz/tb/loader2.ocx O23 - Service: hpdj3600 - Unknown owner - C:\DOCUME~1\IWONA\USTAWI~1\Temp\hpdj3600.exe (file missing) O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing) O23 - Service: Apache - Unknown owner - C:\Apache\Apache.exe" --ntservice (file missing) O23 - Service: MySql - Unknown owner - C:/AppServ/mysql/bin/mysqld-nt.exe (file missing)

Wyłączyć Przywracanie systemu w XP
Zastartować do trybu awaryjnego bez internetu.
Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte. Dodatkowo O15 może będzie stawiać opór więc ściągnij KillTrusted 0.7
Skasować z dysku pliki i foldery, które podkreśliłem na czerwono
Dokończyć skanerami online - Scanery do wyboru
Pokazać nowy log

Otwierasz HijackThis >>> Misc Tools >>> Delete NT Service >>> wklepujesz po kolei nie na raz tylko jeden po drugim(Apache ,MySql)>>> zawierdzasz.

Nadal w awaryjnym opróżnić folder TEMP: Start >>> Uruchom >>> %temp% >>> kasujesz wszystko ze środka.

czyli na byc skasowana w trybie awaryjnym cała zawartość po: *C:\DOCUME~1\IWONA\USTAWI~1\Temp*

Comend · 31 Marzec 2005 19:32

Magik - rozstrzygnijmy jedna kwestie. Przyznaje sie, uzywam dobitnych słow, stwierdzen, ale nie w celu “mieszania z błotem innych” bo nie taka tutaj moja rola. Gdybym chciał kogos z błotem zmieszac, niewazne czy słusznie czy nie zrobiłbym to w jeszcze bardziej dobitny sposob. Jednoczesnie nie pozostawiłbym bez odpowiedzi pytania dlaczego to zrobiłem.

Zachowajmy troche wiecej dystansu i nie nazywajmy kazdego zdania krytyki chamówa i atakiem na boguducha winnego usera.

Gutek: Zaczekaj troche z doszczetnym usuwaniem service Apache i MySQL’a.

Samo sfixowanie wpisu ok, bo jesli program bedzie potrzebował tego wejscia powinien je odtworzyć

Zapytaj moze najpierw czy ktos uzywa tego softu. Akurat file missing w tym miejscu nie oznacza ze programu nie ma.

Tak jest np. z wejsciami Avasta.

Taka moja mała sugestia

Gutek · 31 Marzec 2005 21:24

@Comend@nte sorki ale znam hijacka jeżeli widzisz żadnych innych wpisów do tych programów nie ma dlatego podejrzewam że źle odinstalowany. Wiem że wersja hijackthis 1.99.1 wskazuje czasem (file missing) zwłaszcza przy antywirusach albo firewallach - ale łatwo jest je zlokalizować są wpisy 04 i nie tylko