Sprawdzcie mój log :-)

Lazio · 2 Marzec 2005 14:46

Tak więc, mam problemy z AllCyberSearch(temat gdzies tu powinien być), dlatego sprawdzcie mi mojego HiJack Loga. Enjoy:

Logfile of HijackThis v1.99.0

Scan saved at 15:41:50, on 05-03-02

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\EPOX\USDM\USDM.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\APVXDWIN.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\RUNDLL32.EXE

C:\PROGRAM FILES\PESTPATROL\PPCONTROL.EXE

C:\PROGRAM FILES\PESTPATROL\PPMEMCHECK.EXE

C:\PROGRAM FILES\PESTPATROL\COOKIEPATROL.EXE

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVPROXY.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

C:\WINDOWS\PULPIT\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {661144C9-7DE9-11D9-9C07-00019D52CAA6} - C:\WINDOWS\SYSTEM\BNHDEA.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM…\Run: [internat.exe] internat.exe

O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM…\Run: [systemTray] SysTray.Exe

O4 - HKLM…\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM…\Run: [VTTimer] VTTimer.exe

O4 - HKLM…\Run: [EPoXUSDM] “C:\PROGRAM FILES\EPOX\USDM\USDM.EXE” “5000”

O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE

O4 - HKLM…\Run: [AdTools Service] C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE

O4 - HKLM…\Run: [Windows FormatAd] C:\PROGRAM FILES\WINDOWS FORMATAD\WINFORM.EXE

O4 - HKLM…\Run: [sCANINICIO] “C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe”

O4 - HKLM…\Run: [APVXDWIN] “C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE” /s

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM…\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM…\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM…\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O4 - HKLM…\RunServices: [internat.exe] internat.exe

O4 - HKLM…\RunServices: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM…\RunServices: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM…\RunServices: [systemTray] SysTray.Exe

O4 - HKLM…\RunServices: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM…\RunServices: [VTTimer] VTTimer.exe

O4 - HKLM…\RunServices: [EPoXUSDM] “C:\PROGRAM FILES\EPOX\USDM\USDM.EXE” “5000”

O4 - HKLM…\RunServices: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE

O4 - HKLM…\RunServices: [AdTools Service] C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE

O4 - HKLM…\RunServices: [Windows FormatAd] C:\PROGRAM FILES\WINDOWS FORMATAD\WINFORM.EXE

O4 - HKLM…\RunServices: [sCANINICIO] “C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe”

O4 - HKLM…\RunServices: [APVXDWIN] “C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE” /s

O4 - HKLM…\RunServices: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\RunServices: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM…\RunServices: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM…\RunServices: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM…\RunServices: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray

O4 - HKCU…\Run: [ETD Security Scanner] “C:\PROGRAM FILES\ETD SECURITY SCANNER\ETD SECURITY SCANNER.EXE” /s

O4 - HKCU…\RunServices: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray

O4 - HKCU…\RunServices: [ETD Security Scanner] “C:\PROGRAM FILES\ETD SECURITY SCANNER\ETD SECURITY SCANNER.EXE” /s

O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

Pomóżcie?

stachan · 2 Marzec 2005 14:54

:roll: wg mnie do usunięcia jest to:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

Potem skan tymi aplikacjami:

http://forum.dobreprogramy.pl/viewtopic.php?t=8175

i ponownie log dla pewności.

musg · 2 Marzec 2005 14:58

O2 - BHO: (no name) - {661144C9-7DE9-11D9-9C07-00019D52CAA6} - C:\WINDOWS\SYSTEM\BNHDEA.DLL

O4 - HKLM…\Run: [AdTools Service] C:\PROGRAM FILES\ADTOOLS SERVICE\ADTOOLS.EXE

O4 - HKLM…\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O4 - HKLM…\RunServices: [Windows FormatAd] C:\PROGRAM FILES\WINDOWS FORMATAD\WINFORM.EXE

O4 - HKLM…\RunServices: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

to tez aut

boczi · 2 Marzec 2005 15:24

Dodatkowo, oprócz wyżej wymienionych, usuń to w trybie awaryjnym:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank  	 

   	R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

   	R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

   	R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank  	 

   	R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

No i zmień przeglądarkę na Firefox.

Lazio · 2 Marzec 2005 15:32

Usunołem to co powiedzieliście, teraz mój log wygląda tak:

Logfile of HijackThis v1.99.0

Scan saved at 16:27:49, on 05-03-02

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\EPOX\USDM\USDM.EXE

C:\PROGRAM FILES\ESET\NOD32KUI.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\APVXDWIN.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRAM FILES\PESTPATROL\PPCONTROL.EXE

C:\PROGRAM FILES\PESTPATROL\PPMEMCHECK.EXE

C:\PROGRAM FILES\PESTPATROL\COOKIEPATROL.EXE

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVPROXY.EXE

C:\WINDOWS\PULPIT\HIJACKTHIS\HIJACKTHIS.EXE

C:\WINDOWS\TEMP\UPDATE.TMP

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM…\Run: [internat.exe] internat.exe

O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM…\Run: [systemTray] SysTray.Exe

O4 - HKLM…\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM…\Run: [VTTimer] VTTimer.exe

O4 - HKLM…\Run: [EPoXUSDM] “C:\PROGRAM FILES\EPOX\USDM\USDM.EXE” “5000”

O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE

O4 - HKLM…\Run: [sCANINICIO] “C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe”

O4 - HKLM…\Run: [APVXDWIN] “C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE” /s

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM…\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM…\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray

O4 - HKCU…\Run: [ETD Security Scanner] “C:\PROGRAM FILES\ETD SECURITY SCANNER\ETD SECURITY SCANNER.EXE” /s

O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

Enjoy.

boczi · 2 Marzec 2005 15:35

No, już czysty, ew. możesz usunąć jeszcze to:

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

musg · 2 Marzec 2005 15:36

ok

Lazio · 2 Marzec 2005 16:29

Dzięki!!

Hmmm teraz mam inny problem. Gdy wpisze błędny adres w przeglądarce- pojawia mi się znów ta strona z popupami. Co mam zrobić?

Hijack Log:

Logfile of HijackThis v1.99.0

Scan saved at 17:24:20, on 05-03-02

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\APVXDWIN.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVPROXY.EXE

C:\WINDOWS\PULPIT\MACIEK\ICEX.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\PULPIT\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM…\Run: [internat.exe] internat.exe

O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM…\Run: [systemTray] SysTray.Exe

O4 - HKLM…\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM…\Run: [VTTimer] VTTimer.exe

O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE

O4 - HKLM…\Run: [sCANINICIO] “C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe”

O4 - HKLM…\Run: [APVXDWIN] “C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE” /s

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRAM FILES\GADU-GADU\GG.EXE” /tray

O4 - HKCU…\Run: [ETD Security Scanner] “C:\PROGRAM FILES\ETD SECURITY SCANNER\ETD SECURITY SCANNER.EXE” /s

O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

Czy macie może jakieś programy co się tego pozbędą- SB s&D nie wykrywa już wirusów. Z góry dziękuje

Enjoy

Phylby · 2 Marzec 2005 17:45

Start do trybu awatrynego

Z dysku usuń

C:\WINDOWS\PULPIT\MACIEK\ ICEX.EXE

Pobierz i sprawdz system programami

Pest Patrol

Ad-aware SE Personal 1.05

CWShredder 2.13

A czytałeś Przyklejone w dziale Bezpieczeństwo i logi HijackThis

http://forum.dobreprogramy.pl/viewforum.php?f=16

Jest tam wszystko

Lazio · 2 Marzec 2005 18:00

Re up.

Ten program to był program do wspomagania gry(cheat). Nie sądze że mógł mi zagrozić. Tak czy owak dalej nie wiem co zrobić że by mi nie wyświetlało jakiś stron jak wpisze błędny adres. Plaz hlap?

musg · 2 Marzec 2005 18:03

http://forum.dobreprogramy.pl/viewtopic.php?t=20621

a moze ten program ci pomoze sprawdz tutaj

Phylby · 2 Marzec 2005 19:00

Przejdz do rejestru

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

Usuwasz podeirzane wpisy

Dalej:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

W każdym z kluczy z w okienku po prawej stronie znajdz wartość o nazwie http. Powinno mieć przypisaną liczbę 3 Jak jest inaczej zmień. Kliknij podwójnie w http i w okienku wpisz 3.

W kluczach:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main oraz

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

Default_Page_URL = [www.syf.com] >>> usuwasz

Default_Search_URL = [www.syf.com] >>> usuwasz

Search Bar = [www.syf.com] >>> usuwasz

Search Page = [www.syf.com] >>> usuwasz

Start Page = [www.syf.com] >>> wpisz tu adres stronki, którą chcesz mieć startową

Use Search Assistant = “yes” >>> zmieniasz na “no”

W kluczach:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search oraz

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search

CustomizeSearch = [www.syf.com] >>> usuwasz

SearchAssistant = [www.syf.com] >>> usuwasz

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL

[www.syf.com] >>> usuwasz

Nie wszystkie klucze możesz mieć.

Po wszystkim restartujesz kompa.

Pobierasz i sprawdzasz system programem

Microsoft Anti Spyware