Proszę o sprawdzenie loga

Alejak · 1 Wrzesień 2005 11:58

Oto mój log ( już kilka plików zobaczyłem podejrzanych )

Logfile of HijackThis v1.99.1 Scan saved at 13:54:37, on 2005-09-01 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe F:\Programy\Avast!\aswUpdSv.exe F:\Programy\Avast!\ashServ.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe F:\Programy\Avast!\ashDisp.exe C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe C:\Program Files\Netropa\Onscreen Display\OSD.exe F:\Programy\AQQ\AQQ.exe F:\Programy\Avast!\ashWebSv.exe F:\Programy\Spybot - Search & Destroy\TeaTimer.exe F:\Programy\Avast!\ashMaiSv.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\ftp.exe C:\Program Files\Sonter\Sonter Fire Control\Sonter Fire Control.exe F:\Programy\Hijack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programy\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programy\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [avast!] F:\Programy\Avast!\ashDisp.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM…\RunServices: [Microsoft Synchronization Manager] ___synmgr.exe O4 - HKCU…\Run: [AQQ] F:\Programy\AQQ\AQQ.exe O4 - HKCU…\Run: [spybotSD TeaTimer] F:\Programy\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: gg.lnk = F:\Gry\Tibia\gg.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - F:\Programy\Infran View\Ebay\Ebay.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 8147044003 O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{4C3059D4-DACD-494A-A635-4D73A7F81BC6}: NameServer = 192.168.252.1,194.204.159.1,192.168.251.2 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Programy\Avast!\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - F:\Programy\Avast!\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - F:\Programy\Avast!\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - F:\Programy\Avast!\ashWebSv.exe" /service (file missing) O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

boczi · 1 Wrzesień 2005 12:07

Wszystkie czynności wykonujesz w trybie awaryjnym [F8] w czasie bootowania komputera z wyłączonym przywracaniem systemu. Gdybyś nie wiedział, jak to zrobić, zobacz TU.

Pogrubione kasujesz z dysku oraz wszystkie wpisy z Hijacka.

Kosmetyka

Z autostartu (start -> uruchom -> msconfig) z zakładki Uruchamianie możesz poodznaczać:

jusched.exe

qttask.exe

NeroCheck.exe

OSA9.EXE

Po czynnościach nowy log, zainstaluj SP2.

kuz5 · 1 Wrzesień 2005 12:21

Win32.Maslan może nie byc z nim tk łatwo OPIS na poczatek pozamykaj porty programem Windows Worms Doors Cleaner a nastepnie ciachaj wpisy i pliki w HijackThisie

Alejak · 1 Wrzesień 2005 12:29

Sorki, że tak długo, oto nowy log, a avast tamto mi wykrywał ten malsan czy coś i już teraz nie wykrywa, podejżewam, że został tylko wpis.

Log:

Logfile of HijackThis v1.99.1 Scan saved at 14:29:38, on 2005-09-01 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe F:\Programy\Avast!\aswUpdSv.exe F:\Programy\Avast!\ashServ.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe F:\Programy\Avast!\ashWebSv.exe F:\Programy\Avast!\ashMaiSv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe F:\Programy\Avast!\ashDisp.exe C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe C:\Program Files\Netropa\Onscreen Display\OSD.exe F:\Programy\AQQ\AQQ.exe F:\Programy\Spybot - Search & Destroy\TeaTimer.exe F:\Gry\Tibia\gg.exe F:\Programy\Hijack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programy\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programy\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM…\Run: [avast!] F:\Programy\Avast!\ashDisp.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKCU…\Run: [AQQ] F:\Programy\AQQ\AQQ.exe O4 - HKCU…\Run: [spybotSD TeaTimer] F:\Programy\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: gg.lnk = F:\Gry\Tibia\gg.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - F:\Programy\Infran View\Ebay\Ebay.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 8147044003 O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{4C3059D4-DACD-494A-A635-4D73A7F81BC6}: NameServer = 192.168.252.1,194.204.159.1,192.168.251.2 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - F:\Programy\Avast!\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - F:\Programy\Avast!\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - F:\Programy\Avast!\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - F:\Programy\Avast!\ashWebSv.exe" /service (file missing) O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

boczi · 1 Wrzesień 2005 12:30

Log już jest ogólnie czysty…

To wykasuj:

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

ewentualna kosmetyka, o której mówiłem.

Zrób na koniec skan skanerami online.

http://forum.dobreprogramy.pl/viewtopic.php?t=8175

Alejak · 1 Wrzesień 2005 12:46

Ej a mam jeszcze taki problem:

Jak włączę kompa i załaduje się panel logowania, to, jak próbujesz się zalogować po dłuższym czasie od załadowania panelu nie można tego dokonać, ponieważ wyskakuje błąd nie określony dokładnie. Tak samo jest czasami, jak zaloguję się do swojego profilu, a następnie po jakimś czasie

chcę się przelogować, to nie mogę się zalogować powtórnie na swój profil ani na inne profile bez uprawnień administratora.

boczi · 1 Wrzesień 2005 12:48

Musisz podać dokładną treść błędu.

Alejak · 1 Wrzesień 2005 13:12

Sorki, ale już nie mam tego błędu ( pewnie się naprawił przez odznaczenie przywracania systemu albo inne działania ) a i w ogóle, czy mam uruchomić przywracanie teraz? A i jeszcze mam taki prosty programik o nazwie Sonter Fire Control sprawdzający, czy plik o danej lokalizacji istnieje ( posiada on swoją bazę lokalizacji możliwą do edycji ). Wykrywa mi pozostałości po BearSha’rze. Można zobaczyć jego opis tutaj: http://dhost.info/sonter/programy/download/programy_id=001.htm

Oto jego log:

C:/Windows/system32/ISTbar/istbar.dll

C:/Windows/system32/PDSched.exe

C:/Documents And Settings/xxx/saveinstwm.exe

C:/Documents And Settings/xxx/Menu Start\Programy\WhenU\Learn More About SaveNow.url

C:/Documents And Settings/xxx/Menu Start\Programy\WhenU\WhenU.com Website.url

C:/Documents And Settings/xxx/Programy\BearShare.lnk

C:/Documents And Settings/xxx/Ustawienia Lokalne/Temp/Menu Start\Programy\WeatherCast\WeatherCast.lnk

Czym to usunąć i co to jest to ISTbar, nic mi go nie wykrywa, a to niżej jest do usunięcia?

boczi · 1 Wrzesień 2005 13:16

Tak, możesz je już uruchomić.

Alejak · 1 Wrzesień 2005 13:31

A powie mi ktoś coś na temat tego loga z Sontera ( sorki, zedytowałem tego posta po tym, jak ty już odpisałeś, Boczi ).

boczi · 1 Wrzesień 2005 13:37

Jeśli wykrywa to może i jest.

Uzyj fixa na ISTBar. To spyware.

Kasujesz także (pogrubione):

W trybie awaryjnym. F8 w czasie bootowania sytemu. Z wyłączonym przywracaniem systemu.

Jak wykrył, to musi to być.