Proszę o sprawdzenie LOGów


(system) #1

Poniżej zamieszczam logi, o sprawdzenie których proszę specjalistów :D:

Logfile of HijackThis v1.99.1

Scan saved at 12:10:33, on 2006-02-12

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

D:\programy\Microsoft AntiSpyware 1.0.701 beta - darmowe narzędzie, przeznaczone do zabezpieczenia systemu przed oprogramowaniem szpiegowskim\gcasServ.exe

D:\programy\Microsoft AntiSpyware 1.0.701 beta - darmowe narzędzie, przeznaczone do zabezpieczenia systemu przed oprogramowaniem szpiegowskim\gcasDtServ.exe

D:\programy\Sunbelt Kerio Personal Firewall 4.2.3.912 - łatwy w obsłudze firewall, chroniący przed atakami z Internetu oraz sieci lokalnej\Personal Firewall 4\kpf4ss.exe

D:\programy\Sunbelt Kerio Personal Firewall 4.2.3.912 - łatwy w obsłudze firewall, chroniący przed atakami z Internetu oraz sieci lokalnej\Personal Firewall 4\kpf4gui.exe

D:\programy\Sunbelt Kerio Personal Firewall 4.2.3.912 - łatwy w obsłudze firewall, chroniący przed atakami z Internetu oraz sieci lokalnej\Personal Firewall 4\kpf4gui.exe

D:\programy\Opera 8.50 PL - przeglądarka Mateusza\Opera.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\explorer.exe

D:\programy\Gadu-Gadu 7.0.22 - pierwszy polski program, umożliwiający bezpośrednią komunikację w Internecie w oparciu o technologię Instant Messaging\gg.exe

D:\programy\HijackThis 1.99.1 - program pozwalający na uporanie się ze złośliwym oprogramowaniem\HijackThis.exe

D:\programy\Skype 2.0.0.73 - komunikator głosowy autorstwa twórców programu KaZaA oparty na sieci P2P\Skype.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\programy\FLASHG~1.71P\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\programy\FLASHG~1.71P\fgiebar.dll

O4 - HKLM\..\Run: [KAVPersonal50] "D:\programy\Kaspersky Anti-Virus Personal Pro 5.0 - uznawany za jeden z najlepszych programów antywirusowych do zastosowań domowych i małych firm\kav.exe" /minimize

O4 - HKLM\..\Run: [gcasServ] "D:\programy\Microsoft AntiSpyware 1.0.701 beta - darmowe narzędzie, przeznaczone do zabezpieczenia systemu przed oprogramowaniem szpiegowskim\gcasServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\programy\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\programy\FlashGet 1.71 PL - FlashGet automatycznie przechwytuje proces pobierania plików z przeglądarki (współpraca z Internet Explorer, Netscape, Opera)\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\programy\FlashGet 1.71 PL - FlashGet automatycznie przechwytuje proces pobierania plików z przeglądarki (współpraca z Internet Explorer, Netscape, Opera)\jc_all.htm

O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\programy\HTTrack Website Copier 3.33 - program umożliwiający pobranie i zapisanie w całości wybranej strony internetowej w postaci statycznych plików HTML\WinHTTrackIEBar.dll

O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\programy\HTTrack Website Copier 3.33 - program umożliwiający pobranie i zapisanie w całości wybranej strony internetowej w postaci statycznych plików HTML\WinHTTrackIEBar.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\programy\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\programy\FLASHG~1.71P\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\programy\FLASHG~1.71P\flashget.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138118987480

O23 - Service: kavsvc - Kaspersky Lab - D:\programy\Kaspersky Anti-Virus Personal Pro 5.0 - uznawany za jeden z najlepszych programów antywirusowych do zastosowań domowych i małych firm\kavsvc.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\programy\Sunbelt Kerio Personal Firewall 4.2.3.912 - łatwy w obsłudze firewall, chroniący przed atakami z Internetu oraz sieci lokalnej\Personal Firewall 4\kpf4ss.exe

A poniżej log z Silent Runers:

"Silent Runners.vbs", revision 43, http://www.silentrunners.org/

Operating System: Windows XP SP2

Output limited to non-default values, except where indicated by "{++}"



Startup items buried in registry:

---------------------------------


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

"KAVPersonal50" = ""D:\programy\Kaspersky Anti-Virus Personal Pro 5.0 - uznawany za jeden z najlepszych programów antywirusowych do zastosowań domowych i małych firm\kav.exe" /minimize" ["Kaspersky Lab"]

"gcasServ" = ""D:\programy\Microsoft AntiSpyware 1.0.701 beta - darmowe narzędzie, przeznaczone do zabezpieczenia systemu przed oprogramowaniem szpiegowskim\gcasServ.exe"" [MS]

"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{A5366673-E8CA-11D3-9CD9-0090271D075B}\(Default) = "IeCatch2 Class" [from CLSID]

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\FLASHG~1.71P\jccatch.dll" ["Amaze Soft"]


HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

  -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\WinRAR 3.51 PL - najnowsza wersja popularnego i uznawanego za jeden z najlepszych, programu do kompresji plików\rarext.dll" [null data]

"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\Microsoft Office 2003 Professional Edition - pakiet aplikacji biurowych\OFFICE11\msohev.dll" [MS]

"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"

  -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]

"{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}" = "UnlockerShellExtension"

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\Unlocker 1.7.8 PL - Unlocker pozwoli nam odblokować aktualnie używany plik tak, aby możliwe były jakiekolwiek operacje na nim, jak usunięcie, przeniesienie, czy użycie przez inną aplikację\UnlockerCOM.dll" [null data]


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! "{9EF34FF2-3396-4527-9D27-04C8C1C67806}" = "Microsoft AntiSpyware Service Hook"

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\Microsoft AntiSpyware 1.0.701 beta - darmowe narzędzie, przeznaczone do zabezpieczenia systemu przed oprogramowaniem szpiegowskim\shellextension.dll" [MS]


HKLM\Software\Classes\PROTOCOLS\Filter\

INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"

  -> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]


HKLM\Software\Classes\*\shellex\ContextMenuHandlers\

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\Kaspersky Anti-Virus Personal Pro 5.0 - uznawany za jeden z najlepszych programów antywirusowych do zastosowań domowych i małych firm\shellex.dll" ["Kaspersky Lab"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\WinRAR 3.51 PL - najnowsza wersja popularnego i uznawanego za jeden z najlepszych, programu do kompresji plików\rarext.dll" [null data]


HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\WinRAR 3.51 PL - najnowsza wersja popularnego i uznawanego za jeden z najlepszych, programu do kompresji plików\rarext.dll" [null data]


HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\Kaspersky Anti-Virus Personal Pro 5.0 - uznawany za jeden z najlepszych programów antywirusowych do zastosowań domowych i małych firm\shellex.dll" ["Kaspersky Lab"]

UnlockerShellExtension\(Default) = "{DDE4BEEB-DDE6-48fd-8EB5-035C09923F83}"

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\Unlocker 1.7.8 PL - Unlocker pozwoli nam odblokować aktualnie używany plik tak, aby możliwe były jakiekolwiek operacje na nim, jak usunięcie, przeniesienie, czy użycie przez inną aplikację\UnlockerCOM.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\WinRAR 3.51 PL - najnowsza wersja popularnego i uznawanego za jeden z najlepszych, programu do kompresji plików\rarext.dll" [null data]



Active Desktop and Wallpaper:

-----------------------------


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"



Winsock2 Service Provider DLLs:

-------------------------------


Namespace Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]


Transport Service Providers


HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05



Toolbars, Explorer Bars, Extensions:

------------------------------------


Toolbars


HKLM\Software\Microsoft\Internet Explorer\Toolbar\

"{E0E899AB-F487-11D5-8D29-0050BA6940E3}" = "FlashGet Bar"

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\FLASHG~1.71P\fgiebar.dll" ["Amaze Soft"]


Explorer Bars


Dormant Explorer Bars in "View, Explorer Bar" menu


HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\ = "&Badanie"

Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]

InProcServer32\(Default) = "D:\programy\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]


Extensions (Tools menu items, main toolbar menu buttons)


HKLM\Software\Microsoft\Internet Explorer\Extensions\

{36ECAF82-3300-8F84-092E-AFF36D6C7040}\

"ButtonText" = "Run WinHTTrack"

"MenuText" = "Launch WinHTTrack"

"CLSIDExtension" = "{86529161-034E-4F8A-88D2-3C625E612E04}"

  -> {CLSID}\InProcServer32\(Default) = "D:\programy\HTTrack Website Copier 3.33 - program umożliwiający pobranie i zapisanie w całości wybranej strony internetowej w postaci statycznych plików HTML\WinHTTrackIEBar.dll" [null data]


{92780B25-18CC-41C8-B9BE-3C9C571A8263}\

"ButtonText" = "Badanie"


{D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\

"ButtonText" = "FlashGet"

"MenuText" = "&FlashGet"

"Exec" = "D:\programy\FLASHG~1.71P\flashget.exe" ["Amaze Soft"]



Running Services (Display Name, Service Name, Path {Service DLL}):

------------------------------------------------------------------


kavsvc, kavsvc, ""D:\programy\Kaspersky Anti-Virus Personal Pro 5.0 - uznawany za jeden z najlepszych programów antywirusowych do zastosowań domowych i małych firm\kavsvc.exe"" ["Kaspersky Lab"]

Sunbelt Kerio Personal Firewall 4, KPF4, ""D:\programy\Sunbelt Kerio Personal Firewall 4.2.3.912 - łatwy w obsłudze firewall, chroniący przed atakami z Internetu oraz sieci lokalnej\Personal Firewall 4\kpf4ss.exe"" ["Sunbelt Software"]

Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]



Print Monitors:

---------------


HKLM\System\CurrentControlSet\Control\Print\Monitors\

Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]



----------

+ This report excludes default entries except where indicated.

+ To see *everywhere* the script checks and *everything* it finds,

  launch it from a command prompt or a shortcut with the -all parameter.

+ The search for DESKTOP.INI DLL launch points on all local fixed drives

  took 89 seconds.

+ The search for all Registry CLSIDs containing dormant Explorer Bars

  took 58 seconds.

---------- (total run time: 220 seconds)

(adam9870) #2

Log z Hijacka jest OK.

Na logach Silent nie znam się :frowning:


(Gutek) #3

Czysto jest :wink: