Prosze o sprawdzenie LOG'a


(Pl Master Junior) #1

POMOCY!! Prosze O Sprawdzenie LOG i Usunac SPYWARE INFECTION

Logfile of HijackThis v1.99.1

Scan saved at 20:53:17, on 2005-10-16

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\htpatch.exe

C:\WINDOWS\LTSMMSG.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Internet Optimizer\optimize.exe

C:\WINDOWS\System32\combo.exe

C:\WINDOWS\System32\combop.exe

C:\Program Files\MKS\Bin\mks_mail.exe

C:\Program Files\Messenger\msmsgs.exe

C:\winstall.exe

C:\WINDOWS\tool2.exe

C:\Program Files\MKS\Bin\mks_menu.exe

C:\Program Files\Media Gateway\MediaGateway.exe

C:\Program Files\SpySheriff\SpySheriff.exe

C:\WINDOWS\System32\bsd2o4ac.exe

C:\Program Files\Sony\VAIO Action Setup\VAServ.exe

C:\Program Files\MKS\Bin\mksmonsv.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\MKS\Bin\mks_scan.exe

C:\Program Files\IncrediMail\bin\IncMail.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\mdms.exe

C:\Documents and Settings\wojtek\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O1 - Hosts: 127.0.0.4 n-glx.s-redirect.com

O1 - Hosts: 127.0.0.4 x.full-tgp.net

O1 - Hosts: 127.0.0.4 counter.sexmaniack.com

O1 - Hosts: 127.0.0.4 autoescrowpay.com

O1 - Hosts: 127.0.0.4 www.autoescrowpay.com

O1 - Hosts: 127.0.0.4 www.awmdabest.com

O1 - Hosts: 127.0.0.4 www.sexfiles.nu

O1 - Hosts: 127.0.0.4 awmdabest.com

O1 - Hosts: 127.0.0.4 sexfiles.nu

O1 - Hosts: 127.0.0.4 allforadult.com

O1 - Hosts: 127.0.0.4 www.allforadult.com

O1 - Hosts: 127.0.0.4 www.iframe.biz

O1 - Hosts: 127.0.0.4 iframe.biz

O1 - Hosts: 127.0.0.4 www.newiframe.biz

O1 - Hosts: 127.0.0.4 newiframe.biz

O1 - Hosts: 127.0.0.4 www.vesbiz.biz

O1 - Hosts: 127.0.0.4 vesbiz.biz

O1 - Hosts: 127.0.0.4 www.pizdato.biz

O1 - Hosts: 127.0.0.4 pizdato.biz

O1 - Hosts: 127.0.0.4 www.aaasexypics.com

O1 - Hosts: 127.0.0.4 aaasexypics.com

O1 - Hosts: 127.0.0.4 www.virgin-tgp.net

O1 - Hosts: 127.0.0.4 virgin-tgp.net

O1 - Hosts: 127.0.0.4 www.awmcash.biz

O1 - Hosts: 127.0.0.4 awmcash.biz

O1 - Hosts: 127.0.0.4 buldog-stats.com

O1 - Hosts: 127.0.0.4 www.buldog-stats.com

O1 - Hosts: 127.0.0.4 fregat.drocherway.com

O1 - Hosts: 127.0.0.4 slutmania.biz

O1 - Hosts: 127.0.0.4 www.slutmania.biz

O1 - Hosts: 127.0.0.4 toolbarpartner.com

O1 - Hosts: 127.0.0.4 www.toolbarpartner.com

O1 - Hosts: 127.0.0.4 www.megapornix.com

O1 - Hosts: 127.0.0.4 megapornix.com

O1 - Hosts: 127.0.0.4 www.sp2fucked.biz

O1 - Hosts: 127.0.0.4 sp2fucked.biz

O1 - Hosts: 127.0.0.4 greg-tut.com

O1 - Hosts: 127.0.0.4 www.greg-tut.com

O1 - Hosts: 127.0.0.4 nylonsexy.com

O1 - Hosts: 127.0.0.4 www.nylonsexy.com

O1 - Hosts: 127.0.0.4 vparivalka.com

O1 - Hosts: 127.0.0.4 www.vparivalka.com

O1 - Hosts: 127.0.0.4 iframeprofit.com

O1 - Hosts: 127.0.0.4 www.iframeprofit.com

O1 - Hosts: 127.0.0.4 topsearch10.com

O1 - Hosts: 127.0.0.4 www.topsearch10.com

O1 - Hosts: 127.0.0.4 statscash.biz

O1 - Hosts: 127.0.0.4 www.statscash.biz

O1 - Hosts: 127.0.0.4 vxiframe.biz

O1 - Hosts: 127.0.0.4 www.vxiframe.biz

O1 - Hosts: 127.0.0.4 crazy-toolbar.com

O1 - Hosts: 127.0.0.4 www.crazy-toolbar.com

O1 - Hosts: 127.0.0.4 topcash.biz

O1 - Hosts: 127.0.0.4 www.topcash.biz

O1 - Hosts: 127.0.0.4 loadcash.biz

O1 - Hosts: 127.0.0.4 www.loadcash.biz

O1 - Hosts: 127.0.0.4 txiframe.biz

O1 - Hosts: 127.0.0.4 www.txiframe.biz

O1 - Hosts: 127.0.0.4 procounter.biz

O1 - Hosts: 127.0.0.4 www.procounter.biz

O1 - Hosts: 127.0.0.4 advadmin.biz

O1 - Hosts: 127.0.0.4 www.advadmin.biz

O1 - Hosts: 127.0.0.4 trafficbest.net

O1 - Hosts: 127.0.0.4 www.trafficbest.net

O1 - Hosts: 127.0.0.4 besthvac.com

O1 - Hosts: 127.0.0.4 www.besthvac.com

O1 - Hosts: 127.0.0.4 traff4.com

O1 - Hosts: 127.0.0.4 www.traff4.com

O1 - Hosts: 127.0.0.4 ambush-script.com

O1 - Hosts: 127.0.0.4 www.ambush-script.com

O1 - Hosts: 127.0.0.4 beehappyy.biz

O1 - Hosts: 127.0.0.4 www.beehappyy.biz

O1 - Hosts: 127.0.0.4 tracktraff.cc

O1 - Hosts: 127.0.0.4 www.tracktraff.cc

O1 - Hosts: 127.0.0.4 allcount.net

O1 - Hosts: 127.0.0.4 www.allcount.net

O1 - Hosts: 127.0.0.4 onedayoffer.biz

O1 - Hosts: 127.0.0.4 www.onedayoffer.biz

O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: C:\WINDOWS\q9513156.dll - {7A7E6D97-B492-4884-9ABB-C31281DCC4F2} - C:\WINDOWS\q9513156.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: C:\WINDOWS\adsldpbc.dll - {EC8E1B64-04A7-4AC0-A2D6-2279F47B89FE} - C:\WINDOWS\adsldpbc.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MailScanner] C:\Program Files\MKS\Bin\mks_mail.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe

O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

O4 - HKLM\..\Run: [bsd2o4ac] C:\WINDOWS\System32\bsd2o4ac.exe

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe

O4 - HKLM\..\Run: [combop.exe] combop.exe

O4 - HKLM\..\Run: [combo.exe] combo.exe

O4 - HKLM\..\Run: [ms_anti_spywarebxp] C:\WINDOWS\mwfirebpx.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c

O4 - HKCU\..\Run: [Shell] drwatson32.exe -run "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [ms_anti_spywarebxp] C:\WINDOWS\mwfirebpx.exe

O4 - HKCU\..\Run: [SNInstall] C:\WINDOWS\tool2.exe

O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

O4 - Global Startup: Menu mks_vir.lnk = C:\Program Files\MKS\Bin\mks_menu.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: VAIO Action Setup (Server).lnk = ?

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe (file missing)

O15 - Trusted Zone: *.coolwebsearch.com

O15 - Trusted Zone: *.searchmeup.com

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/180solutions/ie/bridge-c46.cab

O20 - Winlogon Notify: style32 - C:\WINDOWS\q9513156.dll

O23 - Service: MkSUpdateInt - Unknown owner - C:\Program Files\MKS\bin\MkSUpdateInt.exe

O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:\Program Files\MKS\Bin\mksmonsv.exe

O23 - Service: MkS_Scan - Unknown owner - C:\Program Files\MKS\Bin\mks_scan.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Prosze O Sprawdzenie Tego LOG i jak usunac SPYWARE INFECION

na pulpicie pojawil sie ten napis i niebieska tapeta, wiec jak ktos moze mi pomoc to bede bardzo wdzieczny :slight_smile:

z gory dziekuje za pomoc


(Kuz5) #2

:o :o

Ale masz syf

Nie przesadziłeś z rozmiarem czcionki

W Dodaj/Usun odinstaluj Media Gateway , Internet Optimizer oraz SpySheriff

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Pliki na czerwono usun ręcznie z dysku

Ten wpis z kreseczką "_" usuniesz edytorem rejestru Registrar Lite

Uruchom edytor w pole Address wklej ścieżke

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} wszystkie inne wpisy z taką samą kreseczką także kasujesz i z prawokliku kasujesz wpisy.

Trojan.Repsamo jak go usunąć masz TUTAJ

Pliki mdms.exe , nem220.dll , winstall.exe , tool2.exe oraz ibm00001.exe usun programemPocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\Program Files\Common Files\Microsoft Shared\Web Folders**** ibm00001.exe

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

I to samo robisz ze ścieżkami:

c:\windows\system32**** mdms.exe

C:**** winstall.exe

C:\WINDOWS**** tool2.exe

C:\WINDOWS**** nem220.dll

Jeżeli wpisy 015 będą stawiać opór to usuń je narzędziem KillTrusted 0.7

Dodatkowo POCZYTAJ o usuwaniu fałszywej tapety

Masz na kompie jeszcze FlashGet?

Update:

To ciachnij jeszcze to:


(Pl Master Junior) #3

nie juz nie mam tego programu

normalnie dziekuje bardzo za sprawdzenie log i naprowadzenie jak to usunac :slight_smile: dzieki wielkie :slight_smile: pozdrawiam :smiley:

Złączono Posta : 16.10.2005 (Nie) 22:40

mam problem aby wyinstalowac SpySheriff i wyskakuj napis :

cannot unistall.Please exit SpySheriff first


(Gutek) #4

Coś robisz źle poczytaj dobrze instrukcję :smiley:

SpySheriff