Sprawdzenie loga- infekcja systemu

dziczek · 19 Maj 2006 13:14

Logfile of HijackThis v1.99.1

Scan saved at 15:11:01, on 2006-05-19

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\Program Files\Menedżer Licencji\licencje_klient.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe

C:\Program Files\mozilla.org\Mozilla\Mozilla.exe

C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\MICHAL MICHAL\Pulpit\Gadu-Gadu\gg.exe

C:\Program Files\D-Link AirPlus\AirPlus.exe

C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe

C:\Program Files\SysInfoMyWork\SysInfoMyWork.exe

C:\Program Files\ivo\UniSpiker-2.6\uni_spiker-2.6.exe

C:\Program Files\TechSmith\SnagIt 8\TSCHelp.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Google\Gmail Notifier\gnotify.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\MICHAL~1\USTAWI~1\Temp\Rar$EX08.719\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s

O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Program Files\WordPerfect Office X3\Programs\QFSCHD130.EXE"

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [licencje klient] C:\Program Files\Menedżer Licencji\licencje_klient.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [PowerBar] "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime

O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\mozilla.org\Mozilla\Mozilla.exe" -turbo

O4 - HKCU\..\Run: [tbon] C:\Program Files\TBONBin\tbon.exe /r

O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Documents and Settings\MICHAL MICHAL\Pulpit\Gadu-Gadu\gg.exe" /tray

O4 - Startup: SysInfoMyWork.lnk = C:\Program Files\SysInfoMyWork\SysInfoMyWork.exe

O4 - Startup: UniSpiker-2.6.lnk = C:\Program Files\ivo\UniSpiker-2.6\uni_spiker-2.6.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: D-Link AirPlus.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: SnagIt 8.lnk = C:\Program Files\TechSmith\SnagIt 8\SnagIt32.exe

O8 - Extra context menu item: Download with Internet TOOLS - C:\Program Files\MarBit\TOOLS\MBdownload.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open with WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_24.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B15C8D7A-92E3-435B-9ADD-8050E961C4E4}: NameServer = 213.172.186.5,213.172.186.4

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 127.0.0.1

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 127.0.0.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 127.0.0.1

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe


[code]

MaYsTeR · 19 Maj 2006 13:24

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz :

Plik ręcznie z dysku

zastanawia mnie

… raczej są ok

Pobierz program Ewido zrób update i przeskanuj

kuz5 · 19 Maj 2006 13:36

dziczek opisz swój problem, co sie dzieje

Wpisy ok

Ma usunąć cały folder a nie tylko plik

dziczek · 19 Maj 2006 13:45

w zasadzie to nic lecz dosc czesto dzis,rozlancza mi sie internet nie wiem czemu ,posiadam radiowke moze to u nich cos sie dzieje nie wiem,pozdrawiam

Złączono Posta : 19.05.2006 (Pią) 15:47

O17 - HKLM\System\CCS\Services\Tcpip\..\{B15C8D7A-92E3-435B-9ADD-8050E961C4E4}: NameServer = 213.172.186.5,213.172.186.4 

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 127.0.0.1 

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 127.0.0.1 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 127.0.0.1

wlasnie co z nimi zrobic wywalic?

kuz5 · 19 Maj 2006 13:59

Całkiem prawdopodobne, ja tez mam radiówkę i mam nie raz ten sam problem

Nie, nie wywalaj, broń cie panie boże

Jak to wywalisz to stracisz neta

dziczek · 19 Maj 2006 14:30

mam pytanie czy mozna na forum wklejac scriny?chcialel cos pokazac

adam9870 · 19 Maj 2006 14:32

Jasne, że tak. Tylko jeżeli ten screen jest duży to skorzystaj z miniaturek oferujących serwisy hostingowe na obrazki. Np. http://www.fotosik.pl

Bo jeżeli wkleiłbyś duży to forum by się “rozjechało” :?

http://forum.dobreprogramy.pl/viewtopic … highlight=

dziczek · 19 Maj 2006 14:32

dobra reasumujac to wszystko z moim logiem jest ok tak mam to tak rozumiec?

kuz5 · 19 Maj 2006 14:32

Można, oby nie były za duże, to wtedy wklejasz tylko link do screena

Update:

Tak wszystko jest ok

dziczek · 19 Maj 2006 14:38

Złączono Posta : 19.05.2006 (Pią) 16:42

pytanko do ciebie kuz5 masz radi tak a moze testowales program cfosspeed do przyspieszanie lącza i do zniwelowania PINGU W GRACH na serwerach?

adam9870 · 19 Maj 2006 14:42

kuz5 · 19 Maj 2006 14:47

Zobacz w Dodaj/Usuń czy nie ma aplikacji NewDotNet jeżeli będzie to odinstaluj

Dodatkowo w katalogu ProgramFiles skasuj folder NEWDOT~1

Pobierz program url=[http://cexx.org/LSPFix.exe]LSPFix](http://cexx.org/LSPFix.exe]LSPFix) odpal go i napisz jakie pliki znajduja sie w oknie KEEP

Wyczyść rejestr programem jv16 PowerTools

Opcje rejestru =>Klikamy “Czyszczenie rejestru” (opcja pokazana na na poniższym obrazku) następnie klikamy “Kontynuuj” po czym klikamy “Start” po tym jak program sprawdzi rejestr klikamy Wybierz => Wybór specjalny i klikamy “Pozycje które można bezpiecznie usunąć” i na koniec klikamy “Usuń”

Folder na czerwono usun ręcznie z dysku a wpis skasuj w HijackThis

Niestety nie testowałem, nie mam czasu na to

dziczek · 19 Maj 2006 15:05

kuz5 oto pliki w oknie keep -mswsock.dll TCP/IP

winrnr.dll NTDS

rsvpsp.dll (PROTOCOL HANDLER)

Złączono Posta : 19.05.2006 (Pią) 17:16

kuz5 oto pliki w oknie keep -mswsock.dll TCP/IP

winrnr.dll NTDS

rsvpsp.dll (PROTOCOL HANDLER)

NIE ma folderu NEWDOT~1 w ProgramFiles a mam problem bo …odpalilem program jv16 PowerTools i zrobilem tak mi kazales ;lecz pokazuje mi takie same pozycje ktore" bezpiecznie moge usunąci pokazuje mi to samo ktore usuniecie nie jest bezpieczne czyli pokazuje mi te same pliki!

kuz5 · 19 Maj 2006 15:29

Jest ok

Nie rozumiem twojej wypowiedzi

Masz zaznaczyś pozycje bezpieczne do usuniecia i kliknąć usuń

dziczek · 19 Maj 2006 15:37

mowie,że pokazuje mi takie same pozycje ktore moge bezpiecznie usunąc i takie same pozycje ktore USUNIĘCIE NIE JEST BEZPIECZNETO SA 2 PLIKI

Złączono Posta : 19.05.2006 (Pią) 17:42

OTO TE PLIKI!

Złączono Posta : 19.05.2006 (Pią) 17:50

DZIEKUJE WSZYTKIM ZA POMOC POZDRAWIM