Prosze o sprawdzenie loga


(Tomh2o) #1
Logfile of HijackThis v1.99.1

Scan saved at 22:26:02, on 2005-12-03

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS\AVPCC.EXE

C:\WINDOWS\EXPLORER.EXE

C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS\AVPM.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\PTSNOOP.EXE

C:\WINDOWS\SYSTEM\CMMPU.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\SLYSOFT\CLONECD\CLONECDTRAY.EXE

C:\WINDOWS\SERVICES.EXE

C:\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS\AVPCC.EXE

D:\WINAMP\WINAMPA.EXE

C:\WINDOWS\LANLITE.EXE

C:\WINDOWS\RunDLL.exe

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE

C:\WINDOWS\SERVICES.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\PROGRAM FILES\WINRAR\WINRAR.EXE

C:\WINDOWS\TEMP\RAR$EX00.203\HIJACKTHIS.EXE


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F1 - win.ini: load=ptsnoop.exe

F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe hpfsched

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [Windows Millennium Edition Intro Video] C:\WINDOWS\Applic~1\Micros~1\Intro\content.hta

O4 - HKLM\..\Run: [SelfHostUtil] C:\WINDOWS\selfhost.exe /L

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE

O4 - HKLM\..\Run: [AVPCC] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe /wait

O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe

O4 - HKLM\..\RunServices: [HiberMonitor] C:\WINDOWS\HCount.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [AVPCC Service] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe /Service

O4 - HKCU\..\Run: [LanLite] lanlite.exe

O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray

O4 - Startup: Uruchamianie pakietu Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE

O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE

O9 - Extra button: Wyslij SMS'a - {215940F1-E7E0-4801-BEE3-44D045534106} - C:\Program Files\Common Files\moje.js

O10 - Broken Internet access because of LSP provider 'mswsck2.dll' missing

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab_adult/180solutions/ie/bridge-c420.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 81.219.160.2,217.17.34.10

====================================

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

Pozdrawiam kuz5


(Gutek) #2

LSP-Fix usuniesz wpisy 010 TU odpal LSP-Fix zaznacz “I know what I’m doing” następnie w okienku Keep zaznacz plik mswsck2.dll i za pomocą strzałki (>>) przenieś go do okienka Remover i kliknij Finish

w trybie awaryjnym usuń wpisy oprócz O10 a plik zaznaczony na czerwon usuń ręcznie

Start >>> Programy >>> Autostart >>> kasacja z prawokliku.


(Tomh2o) #3

jestem amatorem i za bardzo nie wiem jak to usunac slabo sie poruszam dopiero sie wtajemniczam moze bardziej po przeczkolnemu mi wytlumaczysz

Złączono Posta : 10.12.2005 (Sob) 21:15

nie wiem jak to zrobic jestem amatorem kompa i netu moze mi wytlumaczysz jak pirwszoklasiscie sorry ze napisalem na PW.wiele mnie kosztowalo by znalezc te strone a o poruszaniu sie juz nie pisze.dzieki dzieki


(Gutek) #4

masz ścieżkę usuwasz plik ręcznie w trybie awaryjnym -a jak sie w tym trybie znaleźć

opisałem jak usunąć narzedziem plik mswsck2.dll

Zaznaczyć wskazany wpis w Hijacku i kliknąć Fix checked.


(Tomh2o) #5

“Silent Runners.vbs”, revision 41, http://www.silentrunners.org/

Operating System: Windows Me (Millennium Edition)

Output limited to non-default values, except where indicated by “{++}”

Startup items buried in registry:


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

“LanLite” = “lanlite.exe” [","]

“Taskbar Display Controls” = “RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY” [MS]

“Gadu-Gadu” = ““C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray” [“sms-express.com”]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

“Windows Millennium Edition Intro Video” = “C:\WINDOWS\Applic~1\Micros~1\Intro\content.hta” [file not found]

“SelfHostUtil” = “C:\WINDOWS\selfhost.exe /L” [MS]

“ScanRegistry” = “C:\WINDOWS\scanregw.exe /autorun” [MS]

“TaskMonitor” = “C:\WINDOWS\taskmon.exe” [MS]

“PCHealth” = “C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s” [MS]

“SystemTray” = “SysTray.Exe” [MS]

“LoadPowerProfile” = “Rundll32.exe powrprof.dll,LoadCurrentPwrScheme” [MS]

“CloneCDTray” = ““C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe” /s” [“SlySoft, Inc.”]

“SERVICES.EXE” = “C:\WINDOWS\SERVICES.EXE” [null data]

“AVPCC” = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe /wait” [“Kaspersky Labs.”]

“WinampAgent” = “D:\Winamp\winampa.exe” [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}

“HiberMonitor” = “C:\WINDOWS\HCount.exe” [null data]

“LoadPowerProfile” = “Rundll32.exe powrprof.dll,LoadCurrentPwrScheme” [MS]

“SchedulingAgent” = “mstask.exe” [MS]

“*StateMgr” = “C:\WINDOWS\System\Restore\StateMgr.exe” [MS]

“AVPCC Service” = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe /Service” [“Kaspersky Labs.”]

HKLM\Software\Microsoft\Active Setup\Installed Components\

PerUser_CVT_Inis(Default) = “Instalator systemu Windows — Konwerter FAT32”

\StubPath = “rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf” [MS]

PerUser_Enable_Inis(Default) = “Instalator systemu Windows — Ułatwienia dostępu”

\StubPath = “rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_Enable_Inis_remove 64 C:\WINDOWS\INF\enable.inf” [MS]

PerUser_ZoneGame_Inis(Default) = “Instalator systemu Windows - Gry internetowe”

\StubPath = “rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_ZoneGame_Rem_Inis 64 C:\WINDOWS\INF\games.inf” [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = “SSVHelper Class” [from CLSID]

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll” [“Sun Microsystems, Inc.”]

{53707962-6F74-2D53-2644-206D7942484F}(Default) = (no title provided)

-> {CLSID}\InProcServer32(Default) = “C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL” [“Safer Networking Limited”]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

“{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension”

-> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data]

“{BB7DF450-F119-11CD-8465-00AA00425D90}” = “Microsoft Access Custom Icon Handler”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Microsoft Office\Office\soa800.dll” [MS]

“{00020D75-0000-0000-C000-000000000046}” = “Microsoft Exchange”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Windows Messaging\mlshext.dll” [MS]

“{59850401-6664-101B-B21C-00AA004BA90B}” = “Microsoft Office Binder Explode”

-> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\UNBIND.DLL” [MS]

“{0006F045-0000-0000-C000-000000000046}” = “Microsoft Outlook Custom Icon Handler”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Microsoft Office\Office\olkfstub.dll” [MS]

HKLM\Software\Classes*\shellex\ContextMenuHandlers\

WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}”

-> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data]

AVP(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpshlex.dll” [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}”

-> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}”

-> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data]

AVP(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpshlex.dll” [null data]

Active Desktop and Wallpaper:


Active Desktop is enabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

“Wallpaper” = “C:\WINDOWS\Plus!.bmp”

WIN.INI & SYSTEM.INI launch points:


WIN.INI

[windows]

INFECTION WARNING! “load=ptsnoop.exe” [null data]

INFECTION WARNING! “run=C:\WINDOWS\SYSTEM\cmmpu.exe hpfsched” [null data], [null data]

SYSTEM.INI

[boot]

INFECTION WARNING! “shell=explorer.exe ibm00001.exe” [MS], [file not found]

“SCRNSAVE.EXE=C:\WINDOWS\System\WINDOWS.SCR” [MS]

Enabled Scheduled Tasks:


“Rozpoczęcie aplikacji dostrajania” -> launches: “walign” [MS]

“Harmonogram programu PCHealth dla zbierania danych” -> launches: “C:\WINDOWS\PCHEALTH\SUPPORT\PCHSCHD.EXE -c” [MS]

“Konserwacja — Scandisk” -> launches: “C:\WINDOWS\SCANDSKW.EXE /SAGERUN:0 /ALL /N” [MS]

“Konserwacja — Porządkowanie dysku” -> launches: “C:\WINDOWS\CLEANMGR.EXE /SAGERUN:0” [MS]

Winsock2 Service Provider DLLs:


Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = “C:\WINDOWS\SYSTEM\rnr20.dll” [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:

C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1

C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4

C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6

Toolbars, Explorer Bars, Extensions:


Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{215940F1-E7E0-4801-BEE3-44D045534106}\

“ButtonText” = “Wyslij SMS’a”

“Script” = “C:\Program Files\Common Files\moje.js” [null data]

Miscellaneous IE Hijack Points


HKLM\Software\Microsoft\Internet Explorer\Version = (invalid data)

The Internet Explorer version cannot be found!

C:\WINDOWS\INF\IERESET.INF (used to “Reset Web Settings”)

The contents of IERESET.INF cannot be reliably checked!

Added lines (compared with English-language version):

Missing lines (compared with English-language version):

strings: 2 lines


  • This report excludes default entries except where indicated.

  • To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

  • To search all directories of local fixed drives for DESKTOP.INI

DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

use the -supp parameter or answer “No” at the first message box.

---------- (total run time: 312 seconds, including 4 seconds for message boxes)

Złączono Posta : 12.12.2005 (Pon) 19:22

to jest nowy log o ktory prosiles wczoraj tamten log Kuz przeniosl do smietnika na poczatku zrobilem blad ze otwrzylem dwa tematy i teraz nie wiem w ktorym pisac teraz juz bede tutaj gdzie indziej nie bede pisal sorry za nowe zamieszanie.mysle ze tej wiadomosci nikt nie przeniesie do SMIETNIKA.


(Gutek) #6

Edycja system.ini

Start >>> Uruchom>>> sysedit

Wybierasz okno z plikiem system.ini

Jak zedytować, w sekcji [boot] jest po shell = explorer.exe ibm00001.exe" [MS], usunąć stamtąd ibm00001.exe (ma zostać shell=explorer.exe)

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG.


(Tomh2o) #7

SYSTEM NIE MOZE ODNALEZC SYSEDIT takie okno mi sie otworzylo takrze dalsze ruchy wstrzymane


(Gutek) #8

A Start >>> Uruchom >>> SYSTEM.INI i edycja???


(Tomh2o) #9

zlikwidowany nie pokazuje sie huuuuura.ale problem jest z FIX.REG. tzn. cytuje:[Edytor Rejestru] czy na pewno dodac informacje w C:\WINDOWS\TEMP\RAR$DI14-752\FIX.FEG DO REJESTRU. OK. nowe okno sie otwiera.[EDYTOR REJESTRU] IMPORTOWANIE C:\WINDOWS\TEMP j\w. NIE JEST MOZLIWE:PODANY PLIK NIE JEST SKRYPTEM REJESTRU. IMPORTOWAC MOZNA TYLKO PLIKI REJESTRU .OK. i nic sie nie dzialo to bylo pod PLIKIEM…FIX.RAR. A POD PLIKIEM fix reg otwieram a tam okno CZY NA PEWNO DODAC INFORMACJE W C:\MOJEDO~`1\FIX.REG DO REJESTRU. OK. NIE MOZLIWE PODANY PLIK NIE JESTSKRYPTEM REJESTRU .OK. CO MAM TERAZ ZROBIC.TAKZE WYSKOCZYLO MI OKIENKO wuauboot spowodowal blad jak odczytywalem wiadomosc od ciebie nie wiem czy to bylo jednorazowo wyskoczylo pirwszy raz .czekam na porade pozdrowionka


(Gutek) #10

ten spróbuj fix był błąd - nie wiem dlaczego nie zauważyłem


(Tomh2o) #11

Bez zmian wyswietla mi sie j\w.masz cos jeszcze w rekawie dzieki czekam na cos pomocnego FIX chyba sie nie sprawdzi???


(Gutek) #12

wcześniej popełniłem błąd nie wiem dlaczego był “-” w niewałściwym miejscu :wink:

Zapisz tego fix-a na pulpicie i z awaryjnego zapodaj :slight_smile:


(Tomh2o) #13

NAPISZ JAK TO ZROBIC TZN.TEGO FIXa zapisac na pulpicie.dokladne instrukcje.nikt tego nie wie ci MATURZYSCI!!DZIEKI


(Gutek) #14

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Przejście do trybu awaryjnego Windows i uruchomienie pliku FIX.REG. Kliknij 2 razy :wink:


(Tomh2o) #15

JEST TAK JAK ZA PIRWSZYM RAZEM MOZE TRZEBA TE STARE FIXY SKASOWAC ?NIE WIEM ALE NIC NIE WCHODZI W AWARYJNYM MOZE TRZEBA SIE JUZ PODDAC ??? MOZE NAJPIERW TRZEBA NIE WIEM CO !!


(Gutek) #16

wejdż start>>>Uruchom>>>regedit i wejdź HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run i skasuj “SERVICES.EXE” ręcznie


(Tomh2o) #17

JEST OKY tznpo RUN wyswietlilo mi SERVICES.EXE ale w tej samej lini mam "C\WINDOWS\SERVICES.EXE. KTORE MAM ZLIKWIDOWAC?SERVICES?LEWOKLIK NIE DZIALA BY KASOWAC TY MASZ ZE MNA PROBLEMY !!


(Gutek) #18

Cały “SERVICES.EXE” - prawoklik i usuń :wink:


(Tomh2o) #19

SKASOWALEM TAKZE MAMY JUZ PO SZPIEGACH??? CZY JESZCZE COS WYWALAMY???.


(Gutek) #20

Jest Ok :wink: