Proszę o sprawdzenie loga

Pug · 22 Luty 2006 20:03

Mam tego trochę. Jak i co usunąć?

Zależy mi trochę na czasie. Z góry dzięki.

Logfile of HijackThis v1.99.1

Scan saved at 11:25:01, on 2006-02-22

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\windows\System32\smss.exe

C:\windows\system32\winlogon.exe

C:\windows\system32\services.exe

C:\windows\system32\lsass.exe

C:\windows\system32\svchost.exe

C:\windows\System32\svchost.exe

C:\windows\explorer.exe

C:\windows\system32\spoolsv.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Neostrada TP\taskbaricon.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe

C:\windows\smss.exe

C:\windows\system32\spoolsvv.exe

C:\windows\batserv2.exe

C:\windows\system32\ctfmon.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\windows\system32\nvsvc32.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

C:\windows\system32\wuauclt.exe

C:\windows\winlogon.exe

C:\DOCUME~1\MARIAR~1\USTAWI~1\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

F2 - REG:system.ini: Shell=explorer.exe C:\windows\system32\gld.exe

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - C:\WINDOWS\system32\ib6.dll (file missing)

O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\windows\inet20001\3.00.13.dll

O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\windows\system32\apwiz.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll (file missing)

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing)

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\Program Files\Neostrada TP\taskbaricon.exe

O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"

O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Microsoft Windows Session Manager Subsystem] C:\windows\smss.exe

O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\windows\winlogon.exe

O4 - HKLM\..\Run: [spoolsvv] C:\windows\system32\spoolsvv.exe

O4 - HKLM\..\Run: [BatSrv] C:\windows\batserv2.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe

O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_3

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137868251030

O20 - Winlogon Notify: htproc - C:\windows\SYSTEM32\htproc32.dll

O20 - Winlogon Notify: msctl32.dll - msctl32.dll (file missing)

O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)

O21 - SSODL: System - {30A92D1B-9A86-48B2-9370-053CE875AD00} - C:\windows\system32\winsock32.dll

O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\windows\system32\dcom_12.dll (file missing)

O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe

O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\windows\winlogon.exe" -service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe

O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

Pug · 23 Luty 2006 08:53

Dzięki. Na razie nie będę miał mozliwość dojścia do tego kompa przez jakis czas, ale jak tylko usunę wpisy według wskazówek zamieszcze nowy log.

kuz5 · 23 Luty 2006 15:12

Takie rady zachowaj dla siebie, ile razy bedziesz to klepał :?

marcin216 zobacz co ja napisałem:

Dlatego tez twój post leci w kosmos, sprawdzanie na raty nie bedzie tolerowane na tym forum :?

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

F2 - REG:system.ini: Shell=explorer.exe C:\windows\system32\gld.exe O2 - BHO: - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - C:\WINDOWS\system32\ib6.dll (file missing) O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\windows\inet20001\3.00.13.dll O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - C:\windows\system32\apwiz.dll O4 - HKLM…\Run: [Microsoft Windows Session Manager Subsystem] C:\windows\smss.exe O4 - HKLM…\Run: [Microsoft Windows Logon Process] C:\windows\winlogon.exe O4 - HKLM…\Run: [spoolsvv] C:\windows\system32\spoolsvv.exe O4 - HKLM…\Run: [batSrv] C:\windows\batserv2.exe O4 - HKCU…\Run: [shell] “C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe” O20 - Winlogon Notify: htproc - C:\windows\SYSTEM32\htproc32.dll O20 - Winlogon Notify: msctl32.dll - msctl32.dll (file missing) O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing) O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\windows\system32\dcom_12.dll (file missing)

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługę Windows Logon Process Service następnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz MSWinLogonProcService => Ok i zresetuj komputer.

Hmm usun to:

Pliki na czerwono usun ręcznie z dysku

Jezeli na kompie nie masz już Toolbara Yahoo i Google to usun resztki:

Pug · 23 Luty 2006 21:45

Dzięki raz jeszcze. Zobaczę czy wogóle cos da się zrobić. Jest to komp mojej szefowej, jak widisz był na tym kompie zainstalowany antyvir etrust (pomijam jego skuteczność :x ). doradziłem jej,żeby spróbowała zainstalować chociażby avasta i to uczyniła (zanim ja umieściłem loga na forum). Jednakowóż nie zdążyła go już aktywować, bo komp padł, jak tylko zaczął być skanowany przez avasta po pierwszym uruchomieniu (podobno wykrył dużo, co zreszta mnie nie dziwi) i w trakcie skanowania przestał odpowiadać. Z jej opisu wynika,że nie jest to typowe zawieszenie, bo kursorem myszki można ruszać i nic pozatym. Jutro ma mi go przywieźć toteż może będę potrzebował jeszcze duzio pomocy.