CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo [LOG] Hijackthis – log mojego kumpla

[LOG] Hijackthis – log mojego kumpla

Logfile of HijackThis v1.99.0
Scan saved at 18:58:43, on 2005–01–12
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSOUNDMAN.EXE
C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
C:Program FilesWinampwinampa.exe
C:WINDOWSSystem32ServicesSVCHOST.exe
C:WINDOWSprocess.exe
C:Program FilesMicrosoft AntiSpywaregcasServ.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesMicrosoft AntiSpywaregcasDtServ.exe
C:WINDOWSSystem32wuauclt.exe
C:Program FilesTlen.pl len.exe
C:Documents and SettingsWaśkowiczPulpithijackthis1.99HijackThis.exe
C:Program FilesInternet Exploreriexplore.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.onet.pl/
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 – BHO: – {14ACA864–ECDA–42D2–97D3–421EE69166F3} – C:WINDOWSlbbho.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe
O4 – HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exe
O4 – HKLM..Run: [NeroCheck] C:WINDOWSSystem32\NeroCheck.exe
O4 – HKLM..Run: [Service Host] C:WINDOWSSystem32ServicesSVCHOST.exe
O4 – HKLM..Run: [process.exe] C:WINDOWSprocess.exe
O4 – HKLM..Run: [gcasServ] "C:Program FilesMicrosoft AntiSpywaregcasServ.exe"
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background
O4 – Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:WINDOWSweb elated.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:WINDOWSweb elated.htm
O12 – Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O15 – Trusted Zone: *.iframedollars.biz
O15 – Trusted Zone: *.slotchbar.com
O15 – Trusted Zone: *.ysbweb.com
O15 – Trusted Zone: *.iframedollars.biz (HKLM)
O15 – Trusted Zone: *.slotchbar.com (HKLM)
O15 – Trusted Zone: *.ysbweb.com (HKLM)
O15 – Trusted IP range: 213.159.117.202
O15 – Trusted IP range: 213.159.117.202 (HKLM)
O17 – HKLMSystemCCSServicesTcpip..{01028D34–D22D–45F1–ADFF–D42DC70E867C}: NameServer = 195.1.1.5,194.204.159.1
O17 – HKLMSystemCS1ServicesTcpip..{01028D34–D22D–45F1–ADFF–D42DC70E867C}: NameServer = 195.1.1.5,194.204.159.1
O17 – HKLMSystemCS2ServicesTcpip..{01028D34–D22D–45F1–ADFF–D42DC70E867C}: NameServer = 195.1.1.5,194.204.159.1
O23 – Service: Ati HotKey Poller – Unknown – C:WINDOWSSystem32Ati2evxx.exe
O23 – Service: ATI Smart – Unknown – C:WINDOWSsystem32ati2sgag.exe

Poniewaź sam się na tym nie znam tak jak wy, powiedzcie co i jak ma zrobić by pozbyć się świństw..

dodatkowo zamiast pulpitu zrobiła mu się jakaś idiotyczna strona www której nie moźe zamknąć :/

Odpowiedzi: 3

Bobi_robert:
Zastanawia mnie ten process.exe, jesli jest Ci znany to zostaw go, w innym wypadku kibel
I słusznie ze Cie zastanawia ;)
Wszedzie wala ze to keylogger wiec raczej cos w tym musi byc.

:arrow: http://www.plik.com.pl/antivir/program.asp?id=797

Jak XenonX wywali to co powiedział comet (witam wsród ludzi :D) niech wklei jeszcze raz logasa.

Pozdrawiam ;)
kietek
Dodano
17.01.2005 23:46:44
Jak wyzej + wywal related.htm i w wlasciwosci pulpitu >> zakładka pulpit >> dostosuj pulpit >> zakladka sieci web usun te strone

Zastanawia mnie ten process.exe, jesli jest Ci znany to zostaw go, w innym wypadku kibel
Bobi
Dodano
12.01.2005 22:02:53
Witam

Nie widzę u kumpla antywirusa :? Niech zainstaluje, uaktualni i przeskanuje nim kompa bo ma robala. Ewentualnie skanery online.
Jeśli antywir nie usunie to poniźej jest instrukcja

Zamykasz proces
C:WINDOWSprocess.exe
C:WINDOWSSystem32ServicesSVCHOST.exe
Nie pomyl tego pliku z plikiem systemowym!!!!!!!
Plik tego robaka internetowego opis tutaj rozpoznasz po jego lokalizacji tak:
Plik poprawny jest w tej lokalizacji C:WINDOWSsystem32svchost.exe
Plik robaka C:WINDOWSSystem32ServicesSVCHOST.exe
usuwasz ręcznie plik process.exe i svchost.exe

Usuń w trybie awaryjnym:
W HijackThis zaznaczasz poniźsze wpisy i naciskasz "Fix checked"


R3 – Default URLSearchHook is missing
O2 – BHO: – {14ACA864–ECDA–42D2–97D3–421EE69166F3} – C:WINDOWSlbbho.dll
O4 – HKLM..Run: [Service Host] C:WINDOWSSystem32ServicesSVCHOST.exe
O4 – HKLM..Run: [process.exe] C:WINDOWSprocess.exe
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:WINDOWSweb elated.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:WINDOWSweb elated.htm
O15 – Trusted Zone: *.iframedollars.biz
O15 – Trusted Zone: *.slotchbar.com
O15 – Trusted Zone: *.ysbweb.com
O15 – Trusted Zone: *.iframedollars.biz (HKLM)
O15 – Trusted Zone: *.slotchbar.com (HKLM)
O15 – Trusted Zone: *.ysbweb.com (HKLM)
O15 – Trusted IP range: 213.159.117.202
O15 – Trusted IP range: 213.159.117.202 (HKLM)


Poczekaj jeszcze na potwierdzenie od kogoś bardziej doświadczonego!!!
Pozdrawiam
comet
Dodano
12.01.2005 21:30:24
XenonX
Dodano:
12.01.2005 20:23:22
Komentarzy:
3
Strona 1 / 1