Log po raz kolejny ;)
Cześć, na wstępie chciałbym przeprosić, ale piszę w imieniu swojego kumpla, który troszkę naistalował trojanów ;)
Sprawa wygląda nasepująco: siedzi sobie kilka trojanów w systemie i problem wielki z ich ubiciem.
Jak by moźna o pomoc poprosić ;)
Log:
Za wszelką pomoc dziękuję ;)
Pozdrawiam.
Sprawa wygląda nasepująco: siedzi sobie kilka trojanów w systemie i problem wielki z ich ubiciem.
Jak by moźna o pomoc poprosić ;)
Log:
Logfile of HijackThis v1.99.1
Scan saved at 17:04:10, on 2005–06–11
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
d:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
d:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\gglib.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
D:\kopia z d\Gadu–Gadu\gg.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\pablito\Pulpit\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchforfree.info/browser/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchforfree.info/browser/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/?sid=u002
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://searchforfree.info/?sid=u002
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchforfree.info/browser/
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\pablito\USTAWI~1\Temp\se.dll/spage.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/?sid=u002
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://searchforfree.info/browser/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F3 – REG:win.ini: run=C:\WINDOWS\htmlsync.exe
O2 – BHO: DownloadRedirect Class – {00000000–6CB0–410C–8C3D–8FA8D2011D0A} – D:\Program Files\iMesh\iMesh5\iMeshBHO.dll
O2 – BHO: BHObj Class – {00000010–6F7D–442C–93E3–4A4827C2E4C8} – C:\WINDOWS\nem220.dll (file missing)
O2 – BHO: Yahoo! Companion BHO – {02478D38–C3F9–4efb–9B51–7695ECA05670} – C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 – BHO: Idea2 SidebarBrowserMonitor Class – {45AD732C–2CE2–4666–B366–B2214AD57A49} – C:\Program Files\Desktop Sidebar\sbhelp.dll
O2 – BHO: (no name) – {50089F05–FAA2–35AF–523E–7C1A719A5254} – C:\WINDOWS\System32\4Z1c555m.dll
O2 – BHO: iMeshBar BHO – {5345A7A1–805A–4923–B505–86B2FEBA3FE0} – C:\Program Files\iMeshBar\bar\1.bin\IMESHBAR.DLL
O2 – BHO: (no name) – {7ACD6EA1–598C–4291–899F–C3E8645FF971} – C:\WINDOWS\System32\ogkm.dll (file missing)
O2 – BHO: BHObj Class – {8F4E5661–F99E–4B3E–8D85–0EA71C0748E4} – C:\WINDOWS\wsem303.dll (file missing)
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: iMeshBar – {5345A7A9–805A–4923–B505–86B2FEBA3FE0} – C:\Program Files\iMeshBar\bar\1.bin\IMESHBAR.DLL
O3 – Toolbar: Yahoo! Companion – {EF99BD32–C1FB–11D2–892F–0090271D4F88} – C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 – Toolbar: ISTbar – {FAA356E4–D317–42a6–AB41–A3021C6E7D52} – C:\Program Files\ISTbar\istbarcm.dll
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 – HKLM\..\Run: [vmtuner] gglib.exe
O4 – HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [isystem] C:\WINDOWS\System32\isystem.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Gadu–Gadu] "D:\kopia z d\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\ypager.exe" –quiet
O4 – HKCU\..\Run: [ldriver] C:\WINDOWS\System32\ldriver.exe
O4 – Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra button: Subscribe in Desktop Sidebar – {09FE188B–6E85–479e–9411–51FB2220DF80} – C:\Program Files\Desktop Sidebar\sbhelp.dll
O9 – Extra 'Tools' menuitem: Subscribe in Desktop Sidebar – {09FE188B–6E85–479e–9411–51FB2220DF80} – C:\Program Files\Desktop Sidebar\sbhelp.dll
O9 – Extra button: SideFind – {10E42047–DEB9–4535–A118–B3F6EC39B807} – C:\Program Files\SideFind\sidefind.dll (file missing)
O9 – Extra button: Messenger – {4528BBE0–4E08–11D5–AD55–00010333D0AD} – C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 – Extra 'Tools' menuitem: Yahoo! Messenger – {4528BBE0–4E08–11D5–AD55–00010333D0AD} – C:\Program Files\Yahoo!\Messenger\yhexbmes0521.dll
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O18 – Filter: text/html – {A64DE66F–2CB4–48C1–9932–EE3E2C281D71} – C:\WINDOWS\System32\ogkm.dll
O18 – Filter: text/plain – {A64DE66F–2CB4–48C1–9932–EE3E2C281D71} – C:\WINDOWS\System32\ogkm.dll
O21 – SSODL: dnnqxbNGLvH – {50089EFF–FAA2–3455–98BA–6B2E719A5251} – C:\WINDOWS\System32\wszp.dll (file missing)
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – d:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – d:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
Za wszelką pomoc dziękuję ;)
Pozdrawiam.
Odpowiedzi: 5
Bobi:
Moźesz spac spokojnie :wink:
Zawsze tak śpę :P
Ty moźe nie kozystasz, ale korzysta z niego dośc często badziew i Ty nawet o tym wiedzieć nie musisz.
Zresztą, zrób jak Ci się widzi :P
e co mi tam – sie robi apdejt ;)
Dzięki Bobi.
Czyli wszystko okej ? Czuję sie spokojniejszy ;)
Moźesz spac spokojnie :wink:
Sam nie wiem czy mi sie to opłaca i tak z niego nie korzystam :)
Ty moźe nie kozystasz, ale korzysta z niego dośc często badziew i Ty nawet o tym wiedzieć nie musisz.
Zresztą, zrób jak Ci się widzi :P
O3 – Toolbar: @msdxmLC.dll,–1@1033,&Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINNT\system32\msdxm.ocx
Kontrolka ActiveX w WMP do odtwarzania dźwięku bezpośrednio ze strony WWW
O3 – Toolbar: (no name) – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – (no file)
Szczątek FlashGet'a
w rejstrze w kluczu: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
mam jeden wpis: internat.exe
Od razu mówie, ze to plik systemowy odpowiedzialny za wielojęzyczność, ale widze ze w standardowym RUN juz go uciąłeś więć stamtad teź moźesz.
Se IE mimo wszystko uaktualnij :P
Cześć, jeden temat z logiem juź załoźyłem to będe go ciągną. Przepraszam z "post pod postem" :)
Do rzeczy:
Podaję log, tym razem mój
Interesują mnie dwa wpisy:
Co to jest i czy moźna wywalić ?
AA bym zapomniał w rejstrze w kluczu: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
mam jeden wpis: internat.exe to coś groźnego ?
Pozdrawiam i przepraszam za zamieszanie ;)
Do rzeczy:
Podaję log, tym razem mój
Logfile of HijackThis v1.99.1
Scan saved at 11:09:55, on 2005–07–12
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Konnekt\konnekt.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\ChaosSoft\TransText\TransText.exe
C:\Program Files\Opera\Opera.exe
D:\Instalki\Hijack this\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O3 – Toolbar: @msdxmLC.dll,–1@1033,&Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINNT\system32\msdxm.ocx
O3 – Toolbar: (no name) – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – (no file)
O4 – HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 – HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe –startgui
O4 – HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 – HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 – HKCU\..\Run: [Konnekt] "C:\Program Files\Konnekt\konnekt.exe" /autostart
O4 – Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 – Global Startup: TransText.lnk = C:\Program Files\ChaosSoft\TransText\TransText.exe
O8 – Extra context menu item: Add to &Teleport – C:\Program Files\Teleport Pro\teleport.htm
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINNT\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINNT\web\related.htm
O23 – Service: avast! iAVS4 Control Service (aswUpdSv) – Unknown owner – C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 – Service: avast! Antivirus – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 – Service: avast! Mail Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 – Service: avast! Web Scanner – Unknown owner – C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 – Service: Usługa administracyjna Menedźera dysków logicznych (dmadmin) – VERITAS Software Corp. – C:\WINNT\System32\dmadmin.exe
O23 – Service: NVIDIA Display Driver Service (NVSvc) – NVIDIA Corporation – C:\WINNT\System32\nvsvc32.exe
O23 – Service: Sygate Personal Firewall Pro (SmcService) – Sygate Technologies, Inc. – C:\Program Files\Sygate\SPF\smc.exe
Interesują mnie dwa wpisy:
O3 – Toolbar: @msdxmLC.dll,–1@1033,&Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINNT\system32\msdxm.ocx
O3 – Toolbar: (no name) – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – (no file)
Co to jest i czy moźna wywalić ?
AA bym zapomniał w rejstrze w kluczu: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
mam jeden wpis: internat.exe to coś groźnego ?
Pozdrawiam i przepraszam za zamieszanie ;)
Moźe bys tak jeszcze kolego podpuścił coby Windowsa i IE uaktualnił ?
Dzietam, oporna bestyja ;)
Strona 1 / 1