Proszę o sprawdzenie loga


(Catering) #1

Proszę o sprawdzenie loga po niedawnym wgraniu win2000 sp2 i wszystkich poprawek do niego coś chyba jest nie tak? Komputer co chwila się zawiesza, przy łączeniu z internetem (neostrada) przez mozilla firefox wyskakuje czarne okienko z napisem "c:/winnt/cmd.exe nieprawidłowy plik wsadowy".

Z góry dzieki za pomoc

Logfile of HijackThis v1.98.2

Scan saved at 11:28:57, on 2005-07-16

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\mapi32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\explorer.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\CA\eTrust PestPatrol\PPActiveDetection.exe

C:\WINNT\system32\phqghu.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\PROGRA~1\Webshots\webshots.scr

C:\WINNT\System32\mdm.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe

O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Program Files\iMesh\iMesh5\iMeshBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Program Files\iMeshBar\bar\1.bin\IMESHBAR.DLL

O2 - BHO: UpdateCache Class - {6E28339B-7A2A-47B6-AEB2-46BA53782378} - C:\WINNT\system32\dllcache\explorer.dll

O3 - Toolbar: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINNT\Downloaded Program Files\googlenav.dll

O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Program Files\iMeshBar\bar\1.bin\IMESHBAR.DLL

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust PestPatrol\PPActiveDetection.exe"

O4 - HKLM..\Run: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O4 - HKLM..\RunServices: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O4 - HKCU..\Run: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Google Search - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html

O8 - Extra context menu item: &Szukaj w NetSprint.pl - res://C:\Program Files\NetSprint Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: Backward &Links - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/pl/big/1 ... gleNav.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{2F52E26B-A481-4F58-A3D5-72AB12458D97}: NameServer = 194.204.152.34 217.98.63.164

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll


(aju) #2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Program Files\iMesh\iMesh5\iMeshBHO.dll 

O3 - Toolbar: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file) 

O8 - Extra context menu item: &Szukaj w NetSprint.pl - res://C:\Program Files\NetSprint Toolbar\toolbar.dll/SEARCH.HTML

to z takich ważniejszych

masz włączonego firewalla ?


(Qbek50) #3

koniecznie wrzuć loga z nowszej wersji:

http://www.majorgeeks.com/download3155.html


(Dragonlnx) #4

Alexa:


(Bunio) #5

na przyszłość HijackThis 1.99.1


(Catering) #6

daję jeszcze raz nowego loga z wersji 1.99.1+ ściągam zone alarm jako firewall bo nie miałam tego. Czy jest doby?

Logfile of HijackThis v1.99.1

Scan saved at 11:56:00, on 2005-07-16

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\mapi32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\tcpsvcs.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\explorer.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\CA\eTrust PestPatrol\PPActiveDetection.exe

C:\WINNT\system32\phqghu.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\PROGRA~1\Webshots\webshots.scr

C:\WINNT\System32\mdm.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Monika1\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe

O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - C:\Program Files\iMesh\iMesh5\iMeshBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: iMeshBar BHO - {5345A7A1-805A-4923-B505-86B2FEBA3FE0} - C:\Program Files\iMeshBar\bar\1.bin\IMESHBAR.DLL

O2 - BHO: UpdateCache Class - {6E28339B-7A2A-47B6-AEB2-46BA53782378} - C:\WINNT\system32\dllcache\explorer.dll

O3 - Toolbar: (no name) - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINNT\Downloaded Program Files\googlenav.dll

O3 - Toolbar: iMeshBar - {5345A7A9-805A-4923-B505-86B2FEBA3FE0} - C:\Program Files\iMeshBar\bar\1.bin\IMESHBAR.DLL

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [eTrustPPAP] "C:\Program Files\CA\eTrust PestPatrol\PPActiveDetection.exe"

O4 - HKLM..\Run: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O4 - HKLM..\RunServices: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O4 - HKCU..\Run: [VID INTERNET WEB DRIVERS FOR WIN32] phqghu.exe

O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: &Google Search - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsearch.html

O8 - Extra context menu item: &Szukaj w NetSprint.pl - res://C:\Program Files\NetSprint Toolbar\toolbar.dll/SEARCH.HTML

O8 - Extra context menu item: Backward &Links - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmbacklinks.html

O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmcache.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Si&milar Pages - res://C:\WINNT\Downloaded Program Files\googlenav.dll/cmsimilar.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/pl/big/1 ... gleNav.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {9B03C5F1-F5AB-47EE-937D-A8EDA626F876} (Anonymizer Anti-Spyware Scanner) - http://download.zonelabs.com/bin/promot ... WebAAS.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{2F52E26B-A481-4F58-A3D5-72AB12458D97}: NameServer = 194.204.152.34 217.98.63.164

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINNT\system32\mapi32.exe


(Catering) #7

Ok, skasuję za chwilkę

a co z tym komuniatatem że jest błędny plim wsadowy w c://winnt/system32/cmd.exe - mam się tym martwić???? i przez to nie mogę otwierać stron przez mozzilla firefox tylko przez IE.

Dzięki za sprawdzenie

Pozdrawiam


(aju) #8

zone alarm jest takim sobie firewallem

poleciłbym CI raczej bezpłatnego kerio personal firewall 4.1.3 lub płatnego (trial 30dni) outpost personall firewall pro 2.7

cmd przeszktałaca linię poleceń aplikacji dla zrozumiały dla systemu. Coś sie musiało uszkodzić.

spróbuj ściągnąć ten plik i uruchomić. Jeśli nie pomoże to czekaj az bardziej doświadczony użytkownik się wypowie. (a próbowałeś odinstalowac firefoxa, czyścić rejestr jv16, i zainstalowac nojnowsza wersję 1.0.5?)


(Kuz5) #9

aju co ty za bzdury piszesz jezeli to usunie to pozbawisz go skanowanie poczty wychodzącej jak i przychodzącej, niestety jak sie nie znasz na logach to proponuje ci sie nie udzielać w tych tematach bo naprawde komuś narobisz komuś kłopotów :evil:

Za ten wywud powinieneś dostać ostrzeżenie.

Moniach niczego nie kasuj dopuki ktoś kmpetentny i zaufany nie sprawdzi ci loga, chwilowo nie mam czasu jak go bede miał to ci go sprawdze.


(aju) #10

kuz5

doczytaj do końca "filemissing" te pliki nie istnieją. Albo ma uszkodzoną instalację avasta albo cos w systemie mu uszkodziło i usuneło te pliki :!:


(Kuz5) #11

Hehe widze że kompletnie nioe masz pojecia na temat logów, ja nie musze ci sie tłumaczyć ze swoich ruchów dotyczących logów ale jedno ci powiem ta wersja HijackThis ma buga.


(aju) #12

tzn. nie rozumiem. Napisz o co dokładnie chodzi, bo wielu osobom może się to przydać i mnie.


(Qbek50) #13

:lol: głównie przy wpisach 023 hijack myli że plik jest zagubiony a w rzeczywistości tak nie musi być :slight_smile:


(Catering) #14

Chłopaki tylko bez kłótni :slight_smile: wiem ze każdy z was się bardzo stara aby pomóc, rejestr przeczyszczony, w razie czego mozzilla odinstalowana, cmd podesłany przez aju zainstalowany, przesyłam jeszcze wykaz które uruchamiają się wraz ze startem windows`a.

jv16 PowerTools 1.2 - Rejestr

[Program, Nazwa pliku, Opis, Otwarto w]

Avast!, C:\progra~1\alwils~1\avast4\ashdisp.exe, avast! service GUI component, HKEY_LM\Run, C:\progra~1\alwils~1\avast4\ashdisp.exe

Dslmon, C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe, ADIMON MFC Application, C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\, , C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

Synchronization Manager, Mobsync.exe /logon, N/A, HKEY_LM\Run, Mobsync.exe /logon

Vid Internet Web Drivers For Win32, Phqghu.exe, N/A, HKEY_CU\Run, Phqghu.exe

Vid Internet Web Drivers For Win32, Phqghu.exe, N/A, HKEY_LM\Run, Phqghu.exe

Vid Internet Web Drivers For Win32, Phqghu.exe, N/A, HKEY_LM\RunServices, Phqghu.exe

Webshots, C:\Program Files\Webshots\Launcher.exe, N/A, C:\Documents and Settings\Monika1\Menu Start\Programy\Autostart\, , C:\Program Files\Webshots\Launcher.exe

Zone Labs Client, C:\program Files\zone Labs\zonealarm\zlclient.exe, Zone Labs Client, HKEY_LM\Run, C:\program Files\zone Labs\zonealarm\zlclient.exe


(Kuz5) #15

detektyw 997 mniej wiecej ci wytłumaczył ta wersja poprawne wpisy pokazuje jako nieistniejace takze trzeba być ostożnym, tak wiec twój zmylajacy post został skasowany.

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Bardzo nie podobaja mi sie te wpisy jeżeli je znasz zostawiasz jeżeli nie usuwasz (zapewne ich nie znasz):

Takze ten wpis jest podejrzany i robisz to samo jeżeli znasz zostawiasz jezeli nie kasujesz:

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłacz proces MAPI Mail Client nastepnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz MAPI => Ok i zresetuj komputer.

Pliki na czerwono usun ręcznie z dysku

Proponuje odinstalować DAPa

Kosmetycznie możesz ciachnąć jeszcze to:


(Catering) #16

Bardzo dziękuje za pomoc, wszystko poszło ok. Jesteście genialni i nie mam już problemu.

Dzięki, dzięki