Proszę o sprawdzenie Log'a


(Woocash304) #1

Witam! Mam następujący problem: nie dawno zainstalowałem WinXp i po krótkim czasie bez powodu zaczęły wyskakiwac róznego rodzaju okienka pop-up (nawet gdy nie była uruchomiona przeglądarka internetowa) najczęściej angielskie, co najciekawsze nie wchodziłem na żądne podejrzane strony (porno itp.) oprócz tego to od tamtego czsau okropnie go muli. NIe wiem czy to przez to ale nie dawno dostałem na gg link do strony, nie weidzaiłem co to jest ale mimo to kliknąłem a przeglądarka się wyłączyła, pomyślałem że to nic dopiero gdy przeczytałem na forum, że jest to szkodliwe opr.Sprawdzałem active-scan'em i nic nie znalazł, sprawdzalem Trojan Remover'em tez nic nie znalazł, naprawdę nie wiem co mam robic prosze o popoC!!

wklejam loga:

Logfile of HijackThis v1.99.1

Scan saved at 15:44:06, on 2006-01-14

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\LXSUPMON.EXE

C:\WINDOWS\System32\qnutbph.exe

C:\Program Files\Network\network.exe

C:\WINDOWS\System32\paytime.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\paytime.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\System32\svchost.exe

D:\Firefox\firefox.exe

C:\Documents and Settings\Mama\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ActiveX\AcroIEHelper.dll

O2 - BHO: XBTP07618 - {2296428D-C133-4928-B76A-A200FF409572} - C:\PROGRA~1\FREEPR~1\freeprod.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN

O4 - HKLM\..\Run: [Virtual CD v6] grplscd.exe

O4 - HKLM\..\Run: [Service] ccApp.exe

O4 - HKLM\..\Run: [Win Prosess0r] qnutbph.exe

O4 - HKLM\..\Run: [Network] C:\Program Files\Network\network.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - HKLM\..\Run: [TrojanScanner] D:\Trojan Remover\Trjscan.exe

O4 - HKLM\..\RunServices: [Virtual CD v6] grplscd.exe

O4 - HKLM\..\RunServices: [Service] ccApp.exe

O4 - HKLM\..\RunServices: [Win Prosess0r] qnutbph.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135714154038

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135714504742

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - D:\Spik\url_wpmsg.dll

O23 - Service: cvcworking setting (cvcWork) - Unknown owner - C:\WINDOWS\syscvhost.exe (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: cyberz mansor (mansor) - Unknown owner - C:\WINDOWS\mansor.exe

(Kuz5) #2

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz procesy cvcworking setting oraz cyberz mansor nastepnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz pojedynczo cvcWork i mansor => Ok i zresetuj komputer.

Pliki na czerwono usun ręcznie z dysku

Znasz to? Instalowałeś to?

Niepokoją mnie te wpisy, ale narazie je zostaw:

Dodatkowo POCZYTAJ o usuwaniu fałszywej tapety

Takie sprawdzanie nie ma sensu czyli na raty , wiec jak chcesz sprawdzać logi to dokładnie to rób :?


(Woocash304) #3

1, virtual cd instalowałem ale usunołem, a network to nie weim co to jest

  1. u mnie w hijack'u nie ma takiej opcji

3, w services.msc przy cvcworking setting jest wyłączony, a cyberz mansor jest uruchominony ale nie da sie go wyłączyć

4, plików secure32.html nie ma na dysku ani C:/ (z systemem) ani na D:/ (reszta)

5, w miedzy czasie sprawdzałem w poszukiwaniu CWS'ów programem CWShreder

i co mam robić?? !!

na tej stronie przeczytałem, że svchost.exe to trojan


(Kuz5) #4

To wywal wpisy które podałem w poscie wyżej

Jakiej opcji??

Klikasz prawym myszki, nastepnie Właściwości w zakładce Ogólne poniżej w "Stan Uruchomiena" klikasz zatrzymaj a nastepnie wyżej "Typ Uruchomienia" ma być ustawiony na Wyłączony (patrz obrazek niżej)

mamamamaa2uy.jpg

Jest

Narzedzia=Opcje folderów=Widok i Zaznacz pokaż Ukryte pliki i foldery

:o gdzie ty to wyczytałeś, jest to prawidłowy plik systemowy, jeżeli jego ścieżka jest inna niż powinna być to owszem jest to wirus


(Woocash304) #5

Na Windowsach 2000/XP/2003 może pokazać się dodatkowy trojan:

tak było na stronie http://www.searchengines.pl/phpbb203/index.php?s=4ef66ef7891b68a0c64ea1f7b5b6bb80&showtopic=31936&st=0&p=175003entry175003


(Kuz5) #6

Oczywiście ale patrz na jego lokalizacje C:\WINDOWS\svchost.exe a prawidłowo ten plik powinien znajdować sie w system32 C:\WINDOWS\system32\svchost.exe

To znany trojan :wink:

Ale ty go nie masz