Proszę o sprawdzenie mojego 2 loga

maniutek · 17 Marzec 2005 09:21

Prosze o sprawdzenie mojego loga z drugiego kompa niestety nie zabezpieczonego i przepraszam jak go źle wkleiłem

Logfile of HijackThis v1.99.1

Scan saved at 10:04:19, on 2005-03-17

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\SSDPSRV.EXE

C:\PROGRAM FILES\COMMON FILES\ SYSTEM\MOSEARCH\BIN\ MOSEARCH.EXE

C:\PROGRAM FILES\COMMON FILES\ MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM\CAPM1RS.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\MEDIA ACCESS\MEDIAACCK.EXE

C:\WINDOWS\SYSTEM\AP9H4QMO.EXE

C:\PROGRAM FILES\MEDIA ACCESS\MEDIAACCESS.EXE

C:\RRAUT.EXE

C:\WINDOWS\XHRMY.EXE

C:\WINDOWS\SYSTEM\SAIE.EXE

C:\WINDOWS\SYSTEM\CTFMON.EXE

C:\WINDOWS\SYSTEM\CAPM1LA.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\CAPM1SW.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\WINRAR\WINRAR.EXE

C:\WINDOWS\TEMP\RAR$EX01.039\HIJACKTHIS.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F1 - win.ini: run=C:\Centura\hpfsched.bat;

C:\Centura\hpfsched.exe; 

C:\Centura\hpfsched.com;

C:\Centura\hpfsched.scr; 

C:\Centura\hpfsched.vbs;

C:\WINDOWS\hpfsched.bat; 

C:\WINDOWS\hpfsched.exe;

C:\WINDOWS\hpfsched.com; 

C:\WINDOWS\hpfsched.scr;

C:\WINDOWS\hpfsched.vbs; 

C:\WINDOWS\COMMAND\hpfsched.bat;

C:\WINDOWS\COMMAND\hpfsched.exe;

C:\WINDOWS\COMMAND\hpfsched.com; 

C:\WINDOWS\COMMAND\hpfsched.scr; 

C:\WINDOWS\COMMAND\hpfsched.vbs; 

C:\WINDOWS\SYSTEM\hpfsched.bat; 

C:\WINDOWS\SYSTEM\hpfsched.exe; 

C:\WINDOWS\SYSTEM\hpfsched.com; 

C:\WINDOWS\SYSTEM\hpfsched.scr; 

C:\WINDOWS\SYSTEM\hpfsched.vbs

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – 

C:\PROGRAM FILES\ADOBE\ACROBAT 6.0 CE\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\SYSTEM\ATPARTNERS.DLL

O2 - BHO: LinkTracker Class - {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} - C:\WINDOWS\SYSTEM\LMF32V.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} – 

C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Media Access] C:\PROGRAM FILES\MEDIA ACCESS\MediaAccK.exe

O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\SYSTEM\ap9h4qmo.exe

O4 - HKLM\..\Run: [bluestart] C:\\RRAUT.exe

O4 - HKLM\..\Run: [xhrmy] C:\WINDOWS\Xhrmy.exe

O4 - HKLM\..\Run: [saie] c:\windows\system\saie.exe

O4 - HKLM\..\Run: [ypqxir] C:\WINDOWS\ypqxir.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe

O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe

O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\COMMON~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE

O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Startup: Okno stanu Canon PC1200 iC D600 iR1200G.LNK = C:\WINDOWS\SYSTEM\CAPM1LA.EXE

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab

O16 - DPF: {E7D2588A-7FB5-47DC-8830-832605661009} (Live Collaboration) - http://bok.plusgsm.pl/rnt/rnl/java/RntX.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c337.cab

O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - C:\WINDOWS\SYSTEM\LMF32V.DLL

maniooo · 17 Marzec 2005 10:06

Witam,

wyłącz przywracanie systemu i przejdź do trybu awaryjnego.

Searchengines.pl/picasso:

Jak zastartować do trybu awaryjnego? Są dwie metody: 1. Przez klawisz F8 (lub F5): W momencie kiedy komputer się resetuje i ma jeszcze czarny ekran klikamy nieustannie i bardzo szybko w klawisz F8. Na starszych kompach ta metoda może się nie sprawdzić gdyż klawisz F8 może być wyłączony lub może być przypisany inny. Np. jeśli komuś po kliknięciu w F8 wyskoczy wybór urządzenia bootującego to znaczy, że u niego klawiszem dzięki, któremu przechodzi się w tryb awaryjny prawdopodobnie jest F5. Problem z metodą F8 polega na strzelaniu w ten klawisz WE WŁAŚCIWYM MOMENCIE: na czarnym ekranie ale nie za wcześnie (inaczej wystąpi błąd klawiatury) i nie za późno (inaczej załaduje się Windows w trybie Normalnym). 2. Przez narzędzie systemowe MSCONFIG. Patrz niżej na różnice w jego użyciu pomiędzy Windowsami. Ta metoda może się nie powieść jeśli na kompie jest śmieć gdyż wiele śmieci w pierwszej kolejności blokuje msconfig właśnie! Wniosek: nie działa F8 to msconfig, nie działa msconfig to F8.

Następnie usuwasz (pogrubione ręcznie):

Kosmetycznie w HijackThis możesz również ciachnąć to:

Zastanawia mnie to:

Znasz coś jak Centura u Siebie?

Teraz skan tymi progsami i następny log:

http://www.dobreprogramy.pl/index.php?dz=2&t=55&id=657

http://www.dobreprogramy.pl/index.php?dz=2&t=55&id=107

http://www.dobreprogramy.pl/index.php?dz=2&t=55&id=188

PS Logi zawieraj między znacznikami code - tu log

Oczywiście między nawiasami [] oraz tekstem code nie ma spacji.

Użyj funkcji zmień i poprzedni log zawrzyj między tymi znacznikami, bo się topic rozjeżdża.

Kamcia_18 · 17 Marzec 2005 10:14

(wyl. przywracanie systemu)

tryb awaryjny

kasujesz TAK

O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\SYSTEM\ATPARTNERS.DLL

[FavoriteMan]

O2 - BHO: LinkTracker Class - {6A6E50DC-BFA8-4B40-AB1B-159E03E829FD} - C:\WINDOWS\SYSTEM\LMF32V.DLL

O4 - HKLM…\Run: [ap9h4qmo] C:\WINDOWS\SYSTEM\ap9h4qmo.exe

O4 - HKLM…\Run: [bluestart] C:\RRAUT.exe

O4 - HKLM…\Run: [xhrmy] C:\WINDOWS\Xhrmy.exe

O4 - HKLM…\Run: [saie] c:\windows\system\saie.exe

[180Solutions/N-Case]

O4 - HKLM…\Run: [ypqxir] C:\WINDOWS\ypqxir.exe

O4 - HKLM…\RunServices: [MOSearch] C:\PROGRA~1\COMMON~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE

O4 - Startup: Okno stanu Canon PC1200 iC D600 iR1200G.LNK = C:\WINDOWS\SYSTEM\CAPM1LA.EXE

[znasz zostawiasz /NIE/ kasacja]

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab

O16 - DPF: {E7D2588A-7FB5-47DC-8830-832605661009} (Live Collaboration) - http://bok.plusgsm.pl/rnt/rnl/java/RntX.cab

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62479 … e-c337.cab

O18 - Filter: text/html - {DFAA31C8-A356-4313-9D95-5EDAB46C5070} - C:\WINDOWS\SYSTEM\LMF32V.DLL

1.) [FavoriteMan] - usuwanie

–autom.

w Dodaj lub usun programy w Panelu sterowania

wywalasz tak

‘F1’, ‘ZZ’, ‘IMZ’, ‘Netpal Games’ or ‘ATP’ - click ‘usun’.

–reczna

Start

Uruchom…

CMD - click

cd “%WinDir%\System”

regsvr32 /u favorite.dll

reset kompa

nastepnie odnajdujesz w rejestrze

Start

Uruchom…

regedit - click

wpis

HKEY_CURRENT_USER\Software\Microsoft\Windows

i wywalasz z niego klucze o nazwie

‘Counter’, ‘Server’ and ‘Object’.

2.) skan skanerami AV

F-Secure

RAV

Trend

–F-Secure–

http://support.f-secure.com/enu/home/ols.shtml

–GeCAD (RAV)–

http://www.ravantivirus.com/scan/

–Trend Micro (PC-cillin)–

http://housecall.trendmicro.com/houseca … t_corp.asp

przeskanuj takze szczepionka

Stinger

http://download.nai.com/products/mcafee … tinger.exe

oraz G DATA

http://dobreprogramy.com/index.php?dz=2&t=73&id=846

uzyj takze Ad-Aware i ETD_Security do szpiegow

http://forum.dobreprogramy.pl/viewtopic.php?t=17671

http://forum.dobreprogramy.pl/viewtopic.php?t=22238

3.) edit pliku win.ini c:\Windows

wywalasz wpisy

run=C:\Centura\hpfsched.bat;

C:\Centura\hpfsched.exe;

C:\Centura\hpfsched.com;

C:\Centura\hpfsched.scr;

C:\Centura\hpfsched.vbs;

C:\WINDOWS\hpfsched.bat;

C:\WINDOWS\hpfsched.exe;

C:\WINDOWS\hpfsched.com;

C:\WINDOWS\hpfsched.scr;

C:\WINDOWS\hpfsched.vbs;

C:\WINDOWS\COMMAND\hpfsched.bat;

C:\WINDOWS\COMMAND\hpfsched.exe;

C:\WINDOWS\COMMAND\hpfsched.com;

C:\WINDOWS\COMMAND\hpfsched.scr;

C:\WINDOWS\COMMAND\hpfsched.vbs;

C:\WINDOWS\SYSTEM\hpfsched.bat;

C:\WINDOWS\SYSTEM\hpfsched.exe;

C:\WINDOWS\SYSTEM\hpfsched.com;

C:\WINDOWS\SYSTEM\hpfsched.scr;

C:\WINDOWS\SYSTEM\hpfsched.vbs

kasujesz takze folder C:\Centura

i pliki z HDD o nawie

hpfsched.bat

hpfsched.exe

hpfsched.scr

hpfsched.vbs

(sa zarazone)

jakiego masz antywira, antyszpiega jak niemasz to polecam

BitDefender 7 FREE

oraz PestPatrol

maniutek · 17 Marzec 2005 10:29

Narazie serdeczne dzięki ja i tak sobie nie poradzę poczekam na kogos sprytniejszego ode mnie i wtedy dam nowy log do sprawdzenia.

Dziękuje

musg · 17 Marzec 2005 11:02

http://support.microsoft.com/support/kb … 2/1/06.asp

sprawdz jeszcze tutaj swoj problem

fiesta · 17 Marzec 2005 11:14

A czy nie są to procesy jakiegoś urządzenia HP ???

boczi · 17 Marzec 2005 11:15

Po rozszerzeniach wydaje mi się, że jednak nie, ale poczekajmy na głos samego Autora.

maniooo · 17 Marzec 2005 11:21

Witam,

Raczej nie.

Z tego, co udało mi się wyszukać, wszyscy to usuwają.

fiesta · 17 Marzec 2005 11:24

http://www.answersthatwork.com/Tasklist … list_h.htm

maniooo · 17 Marzec 2005 11:31

Witam,

Wiem, wiem, ale chodzi mi o takie zestawienie, różne rozszerzenia itp…

Jest tego niewiele, ale w kilku linkach, jakie znalazłem, usuwano to.

Jak powiedział boczi , poczekajmy na autora, niech się wypowie.

fiesta · 17 Marzec 2005 11:36

Oczywiście można to skasować, a w przypadku nieprawidłowego działania urządzenia zainstalować je ponownie.

maniutek · 17 Marzec 2005 12:24

Centura - jest to katalog tak mi sie wydaje z programem do pracy jaki posiadam na tym kompie czy cos takiego - przynajmniej tak mi sie wydaje. co do Hp to też może być ponieważ jest do tego kompa podłączone kilka rodzajów drukarek (w zależności od potrzeby przełączam).

Nie chciałbym się dalej wypowiadać bo może cos namieszam i niepotzrebnie wprowadzę Was w błąd - dlatego pozwulcie aż poczekam na kolege który sam mi to sprawdzi i wrazie problemów odezwę sie do Szanownego Grona Forumowiczów.

Jeszcze raz Dziękuje i przepraszam że zawracam głowe - myślałem że to będzie prostrze.

Kamcia_18 · 17 Marzec 2005 12:45

co za problem

zainstalujesz stery jeszcze raz ,ale niewydaje mi sie zeby tyle plikow sie powtarzalo

czesc z nich juz jest na bank podmieniona

chorymi

zrob wszystko wedlug mojego postu i bedzie RuleZZ

pozdro

maniutek · 26 Marzec 2005 14:21

I stało sie - doczekałem sie formatu - tak to jest ufać ,kolegom,

Dziękuję Wszystkim i żałuję że Was nie posłuchałem.

Pozdrawiam Kamcie, Manioo,Bocziego,Fieste i Muzg-a