Sprawdzenie loga


(Ozzi91) #1

Witam! Chcialbym prosic expertow o sprawdzenie loga... Bardzo prosze... Jakie wpisy mam usunac?? Oto moj log:

Logfile of HijackThis v1.99.1

Scan saved at 19:52:08, on 2005-07-02

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\spoolsv.exe

E:\Ochrona Systemu\AntiVirenKit\AVKService.exe

C:\Program Files\FarStone\VirtualDrive\VDTask.exe

C:\WINDOWS\vcdplayx.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE

C:\WINDOWS\System32\ctfmon.exe

E:\Ochrona Systemu\AntiVirenKit\AVKWCtl.exe

E:\Internet\Gadu-Gadu\gg.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\System32\devldr32.exe

E:\Ochrona Systemu\AntiVirenKit\AVK.exe

C:\WINDOWS\system32\cmd.exe

E:\INTERNET\MOZILL~1\FIREFOX.EXE

E:\Ochrona Systemu\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe jusched.exe

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing)

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll (file missing)

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Program Files\ISTbar\istbarcm.dll (file missing)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [Microsoft Update] wuamkop32.exe

O4 - HKLM\..\Run: [SXusvAdX] C:\WINDOWS\lldvyu.exe

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM\..\Run: [KYM Control Settings] phqghum.EXE

O4 - HKLM\..\Run: [VirtualDrive] "C:\Program Files\FarStone\VirtualDrive\VDTask.exe" /AutoRestore

O4 - HKLM\..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [daEE5eBt] C:\WINDOWS\jiuhh.exe

O4 - HKLM\..\Run: [SXusv\‚˘‘–˛ŤŔ>ßfĎF`C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\jiuhh.exe

O4 - HKLM\..\Run: [SXusv\‚˛ŤŔ>ßfĎF`ŤS+C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\jiuhh.exe

O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE"

O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe

O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop32.exe

O4 - HKLM\..\RunServices: [KYM Control Settings] phqghum.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Internet\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [KYM Control Settings] phqghum.EXE

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [AVKBar] "E:\Ochrona Systemu\AntiVirenKit\AVKBar.exe"

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

O17 - HKLM\System\CCS\Services\Tcpip\..\{28A23EE7-B361-44B5-8DC7-532D75BF8CA3}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip\..\{28A23EE7-B361-44B5-8DC7-532D75BF8CA3}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: AVK Service (AVKService) - Unknown owner - E:\Ochrona Systemu\AntiVirenKit\AVKService.exe

O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - E:\Ochrona Systemu\AntiVirenKit\AVKWCtl.exe

O23 - Service: Managing FAT and NTFS partitions (Defragmentation Manager) - Unknown owner - C:\WINDOWS\System32\dfrgfat16.exe (file missing)

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - E:\Ochrona Systemu\Kerio\Personal Firewall 4\kpf4ss.exe

(boczi) #2

Wszystkie czynności wykonujesz w trybie awaryjnym [F8] w czasie bootowania systemu z wyłączonym przywraniem systemu w XP.

I wykonujesz następujące czynności.

Pliki, które masz usuwać ręcznie, najlepiej usuwać narzędziem KillBox.

http://www.downloads.subratam.org/KillBox.zip

Info:

Odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę (przykład):

C:\WINDOWS\System32\xxx.exe

następnie program będzie pytał o restart (oczywiście zgadzasz się).

Co do wpisu:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

Ten wpis z kreseczką "_" usuniesz edytorem rejestru Registrar Litehttp://www.resplendence.com/regliteUruchom edytor w pole Address wklej ścieżke HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} wszystkie inne wpisy z taką samą kreseczką także kasujesz i z prawokliku kasujesz wpisy. Następnie: Kasacja wpisów: (Pogrubione pliki/foldery póżniej wyszukujesz i usuwasz, może ich już nie być.

Następnie wyszukujesz pliki na dysku: Szukasz także w ukrytych. wuamkop32.exe C:\WINDOWS\ lldvyu.exe C:\Program Files\ Internet Optimizer \optimize.exe phqghum.EXE C:\WINDOWS\ jiuhh.exe C:\Program Files\ ISTsvc Kasacja z Hijacka:

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)

   	O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

   	O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Następnie kasacja wpisu 015. Jeśli będzie sprawiał problem w usuwaniu, użyj KillTrusted.http://www.searchengines.pl/phpbb203/in ... pic=26221#

O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)

Następnie:

Włącz HijackThis -> Open the MiscTools section -> Delete an NT service i wpisujesz kolejno:

dfrgfat16.exe

hwclock.exe

Po czynnościach nowy log, ale uprzednio zrób skan programami anty.

Info:

http://forum.dobreprogramy.pl/viewtopic.php?t=23036


(Czornyaa) #3

http://support.f-secure.com/enu/home/ols.shtml

http://pl.trendmicro-europe.com/consume ... ll_pre.php

http://www.bitdefender.com/scan/licence.php

te 3 skanery AV to podstawa

wczesniej zassaj progs Windows Worms Doors Cleaner v1.4.1

zablokuj ALL porty w nim - bo zadna latka ci niepomorze jesli niemasz zablokowanego/kontrolowanego portu od worms/malware

http://www.firewallleaktester.com/tools/wwdc.exe

zainstaluj antyszpiega PestPatrol

http://download.zonelabs.com/bin/free/p ... olHome.exe

przeskanuj nim partycje systemowa


(Ozzi91) #4

mam pytanie co do

Mam usunac caly wpis czy tylko kreseczke?


(boczi) #5

Cały wpis z tego miejsca, gdzie podałem:

_{CFBFAE00-17A6-11D0-99CB-00C04FD64497}

cały wpis.


(Ozzi91) #6

Jak odnalezc te wpisy?

Co po odszukaniu mam zrobic z tymi plikami?

Co to jest ta kasacja z Hijacka?

Sory ze przynudzam ale nie znam sie kompletnie na rejestrze


(Qbek50) #7

kasujesz je w Hijacku, przy kazdej pozycji masz biały kwadracik, zaptaszczasz go i klikasz na Fix Checked

usuwasz je ręcznie z dysku


(boczi) #8

Poczytaj temat: http://forum.dobreprogramy.pl/viewtopic ... 158#244158

Reszta jak mówi Detektyw


(Ozzi91) #9
Logfile of HijackThis v1.99.1

Scan saved at 21:17:45, on 2005-07-02

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\spoolsv.exe

E:\Ochrona Systemu\AntiVirenKit\AVKService.exe

E:\Ochrona Systemu\AntiVirenKit\AVKWCtl.exe

C:\Program Files\FarStone\VirtualDrive\VDTask.exe

C:\WINDOWS\vcdplayx.exe

C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE

C:\WINDOWS\System32\ctfmon.exe

E:\Ochrona Systemu\Kerio\Personal Firewall 4\kpf4ss.exe

E:\Internet\Gadu-Gadu\gg.exe

C:\Program Files\Messenger\msmsgs.exe

E:\Ochrona Systemu\AntiVirenKit\AVKBar.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\System32\devldr32.exe

E:\Ochrona Systemu\Kerio\Personal Firewall 4\kpf4gui.exe

E:\Ochrona Systemu\Kerio\Personal Firewall 4\kpf4gui.exe

E:\Ochrona Systemu\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=Explorer.exe jusched.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [Microsoft Update] wuamkop32.exe

O4 - HKLM\..\Run: [SXusvAdX] C:\WINDOWS\lldvyu.exe

O4 - HKLM\..\Run: [VirtualDrive] "C:\Program Files\FarStone\VirtualDrive\VDTask.exe" /AutoRestore

O4 - HKLM\..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe"

O4 - HKLM\..\Run: [daEE5eBt] C:\WINDOWS\jiuhh.exe

O4 - HKLM\..\Run: [SXusv\‚˘‘–˛ŤŔ>ßfĎF`C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\jiuhh.exe

O4 - HKLM\..\Run: [SXusv\‚˛ŤŔ>ßfĎF`ŤS+C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\jiuhh.exe

O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE"

O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop32.exe

O4 - HKLM\..\RunServices: [KYM Control Settings] phqghum.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Internet\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [KYM Control Settings] phqghum.EXE

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [AVKBar] "E:\Ochrona Systemu\AntiVirenKit\AVKBar.exe"

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O23 - Service: AVK Service (AVKService) - Unknown owner - E:\Ochrona Systemu\AntiVirenKit\AVKService.exe

O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - E:\Ochrona Systemu\AntiVirenKit\AVKWCtl.exe

O23 - Service: Managing FAT and NTFS partitions (Defragmentation Manager) - Unknown owner - C:\WINDOWS\System32\dfrgfat16.exe (file missing)

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - E:\Ochrona Systemu\Kerio\Personal Firewall 4\kpf4ss.exe

To moj nowy log. Mozecie mi napisac co zapomnialem zrobic??


(boczi) #10

Kasacja z Hijacka:

R3 - Default URLSearchHook is missing

   	O4 - HKLM\..\Run: [Microsoft Update] wuamkop32.exe

   	O4 - HKLM\..\Run: [SXusvAdX] C:\WINDOWS\lldvyu.exe

O4 - HKLM\..\Run: [daEE5eBt] C:\WINDOWS\jiuhh.exe

   	O4 - HKLM\..\Run: [SXusv\‚˘‘–˛ŤŔ>ßfĎF`C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\jiuhh.exe

   	O4 - HKLM\..\Run: [SXusv\‚˛ŤŔ>ßfĎF`ŤS+C:\Program Files\ISTsvc\istsvc.exe] C:\WINDOWS\jiuhh.exe

   	O4 - HKLM\..\RunServices: [Microsoft Update] wuamkop32.exe

   	O4 - HKLM\..\RunServices: [KYM Control Settings] phqghum.EXE

   	O4 - HKCU\..\Run: [KYM Control Settings] phqghum.EXE

Zostały wpisy:

O23 - Service: Managing FAT and NTFS partitions (Defragmentation Manager) - Unknown owner - C:\WINDOWS\System32\dfrgfat16.exe (file missing)

O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)

Czy próbowałeś je już usuwać, jak wyżej mówiłem? Jeśli nie, to

Start -> uruchom -> services.msc

I szukaj usług typu Defragmentation Manager oraz Hardware Clock Driver i tym podobne (muszą być dwie) i je zatrzymaj i wtedy usuwaj te pliki wg mojej porady.

Wyczyść katalogi TEMP, Prefetch z katalogu systemowego WINDOWS.

Wyczyść rejestr programem CCleaner lub jv16 PowerTools.

I nowy log.