CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Prosze o sprawdzenie loga

Prosze o sprawdzenie loga

Z góry dzięki :–) Jesli bedziecie mieli jakies rady co usunąć to prosze jak do początkującego... bo nim jestem heh .. Krótko mówiąc zaznaczyć kwadracik i dać FIX CHECKED?
Czytałem teź, ze piszecie by włączyć/wyłączyć przywracanie, więc sie z góry zapytam gdzie się to robi... no to chyba tyle :roll:

Logfile of HijackThis v1.98.2
Scan saved at 13:48:56, on 2004–12–16
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesTGTSoftStyleXPStyleXPService.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesEPSONEBAPISAgent2.exe
C:Program FilesNorton SystemWorksNorton AntiVirus avapsvc.exe
C:Program FilesNorton SystemWorksNorton UtilitiesNPROTECT.EXE
C:WINDOWSSystem32 vsvc32.exe
C:PROGRA~1NORTON~1SPEEDD~1 opdb.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:Program FilesNetLimiterNetLimiter.exe
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:Program FilesWeb_RebatesWebRebates0.exe
C:WINDOWSSystem32 undll32.exe
C:WINDOWSSystem32ctfmon.exe
C:Program FilesTlen.pl len.exe
C:Program FilesTGTSoftStyleXPStyleXP.exe
C:Program FilesNokiaPC Suite for Nokia 7650connmngmntbox.exe
C:Program FilesNokiaPC Suite for Nokia 7650ectaskscheduler.exe
C:PROGRA~1NokiaPCSUIT~1Elogerr.exe
C:Program FilesIntuwaveSharedmRouterRunTimemRouterRuntime.exe
C:Program FilesWeb_RebatesWebRebates1.exe
C:PROGRA~1NokiaPCSUIT~1BROADC~1.EXE
C:PROGRA~1NokiaPCSUIT~1SCRFS.exe
C:Program FilesOutlook Expressmsimn.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program Files otalcmdTOTALCMD.EXE
C:Documents and SettingsJimiPulpitLANChat.exe
C:Program FilesSmartBarXP BETA4.91SmartBarXP.exe
C:WINDOWSSystem32sbmthread.exe
D:allinstalkihijackthisHijackThis.exe

R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://82.179.166.192/search.php?v=6&aff=271486
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://82.179.166.192/index.php?v=6&aff=271486
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = www.onet.pl
R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = w3cache.cyf–kr.edu.pl:8080
R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *new–search.net*;*x–google.net*
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 – BHO: DAPHelper Class – {0000CC75–ACF3–4cac–A0A9–DD3868E06852} – C:Program FilesDAPDAPBHO.dll
O2 – BHO: Yahoo! Companion BHO – {02478D38–C3F9–4efb–9B51–7695ECA05670} – C:PROGRA~1Yahoo!COMPAN~1Installscpnycomp5_5_7_0.dll
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: Zero Popup – {2EF37A01–884F–11d5–AC99–B112050ECB4F} – C:PROGRA~1PopupERO–P~1.DLL
O2 – BHO: URLLink Class – {4A2AACF3–ADF6–11D5–98A9–00E018981B9E} – C:Program FilesNewDotNet ewdotnet6_38.dll
O2 – BHO: QuickSearch Search Bar – {82315A18–6CFB–44a7–BDFD–90E36537C252} – C:Program FilesQuickSearchQuickSearchBar1_27.dll
O2 – BHO: CNavExtBho Class – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: DAP Bar – {62999427–33FC–4baf–9C9C–BCE6BD127F08} – C:Program FilesDAPDAPIEBar.dll
O3 – Toolbar: &Yahoo! Companion – {EF99BD32–C1FB–11D2–892F–0090271D4F88} – C:PROGRA~1Yahoo!COMPAN~1Installscpnycomp5_5_7_0.dll
O3 – Toolbar: QuickSearch Search Bar – {82315A18–6CFB–44a7–BDFD–90E36537C252} – C:Program FilesQuickSearchQuickSearchBar1_27.dll
O4 – HKLM..Run: [NetLimiter] C:Program FilesNetLimiterNetLimiter.exe /s
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [ccRegVfy] "C:Program FilesCommon FilesSymantec SharedccRegVfy.exe"
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [WebRebates0] "C:Program FilesWeb_RebatesWebRebates0.exe"
O4 – HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,NewDotNetStartup –s
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [Komunikator] C:Program FilesTlen.pl len.exe
O4 – HKCU..Run: [STYLEXP] C:Program FilesTGTSoftStyleXPStyleXP.exe –Hide
O4 – Global Startup: PCSuiteForNokia7650 Detect.lnk = ?
O4 – Global Startup: PCSuiteForNokia7650 TS.lnk = ?
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 – Extra context menu item: &Download with &DAP – C:PROGRA~1DAPdapextie.htm
O8 – Extra context menu item: &Yahoo! Search – file:///C:Program FilesYahoo!Common/ycsrch.htm
O8 – Extra context menu item: Download &all with DAP – C:PROGRA~1DAPdapextie2.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 – Extra context menu item: Web Rebates – file://C:Program FilesWeb_RebatesSy1150Tp1150scri1150a.htm
O8 – Extra context menu item: Yahoo! &Dictionary – file:///C:Program FilesYahoo!Common/ycdict.htm
O8 – Extra context menu item: Yahoo! &Maps – file:///C:Program FilesYahoo!Common/ycdict.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:WINDOWSSystem32msjava.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:WINDOWSSystem32msjava.dll
O9 – Extra button: Messenger – {4528BBE0–4E08–11D5–AD55–00010333D0AD} – C:Program FilesYahoo!Messengeryhexbmes0521.dll
O9 – Extra 'Tools' menuitem: Yahoo! Messenger – {4528BBE0–4E08–11D5–AD55–00010333D0AD} – C:Program FilesYahoo!Messengeryhexbmes0521.dll
O9 – Extra button: Run DAP – {669695BC–A811–4A9D–8CDF–BA8C795F261C} – C:PROGRA~1DAPDAP.EXE
O10 – Hijacked Internet access by New.Net
O16 – DPF: {FDDBE2B8–6602–4AD8–946D–94C5A32FA6C5} (GameDesire Snooker) – http://67.15.101.3/g_bin/eng/snooker_2_0_0_21.cab

Czy z procesami jest w porządku? Teź bym prosił o rzucenie okiem.
Dzięki!

Odpowiedzi: 4

no i wszystko jasne :) dzięki
jimi
Dodano
16.12.2004 17:14:54
Zwroc uwage na umiejscowienie smss.exe u Ciebie a w tym innym poscie
U Ciebie jest w System32 wiec jest dobrze
Tam o ile sie nie myle byl w Windows wiec jest felerny i podszywa sie pod systemowego

smss.exe to plik odpowiedzialny za ...sam zobacz za co
Bobi
Dodano
16.12.2004 17:07:42
HA! :D dzięki ... ten programik chciał reset kompa .. zrobiłem ale dalej te dwa procesy były .. no jakoś je tam skillowałem .. a i tak nie mogłem skasować tego ostatniego katalogu co podałeś, tak czy siak w końcu sie udało. Tych dwóch pierwszych katalogów nie widziałem w program files.. ale spoko pewnie kiedyś mi ad–aware wywalił albo coś .. Tak czy siak jest juź OK :)
Tego procesu co na końcu wymieniłeś juź nie ma .. jest za to smss.exe, a z tego co czytałem w poprzednich Twoich radach co do logów, to źeby to wywalić .. i teraz nie wiem .. nie chce nic skopać ;) za co on jest w ogóle odpowiedzialy? ( ten smss.exe) .. moźe narazie nie bede go wywalał .. zrobie reset i zobacze jak sie sprawy mają.
jimi
Dodano
16.12.2004 17:01:07
Przywracanie wylaczasz poprzez:
Kliknij przycisk Start, kliknij prawym przyciskiem myszy folder Moj komputer, a nastepnie kliknij polecenie Wlasciwosci.

Kliknij karte Przywracanie systemu.

Kliknij pole wyboru Wylacz Przywracanie systemu (lub pole wyboru Wylacz Przywracanie systemu na wszystkich dyskach), aby je wyczyscic, a nastepnie kliknij przycisk OK.



Teraz wylacz w tasku (alt+ctrl+del) procesy:
WebRebates0.exe
WebRebates1.exe

Sciagasz i wlaczasz:
http://www.new.net/support/uninstall4_50.exe

Usuwasz pliki/katalogi:
C:Program FilesNewDotNet
C:Program FilesQuickSearch
C:Program FilesWeb_Rebates

FIX:
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://82.179.166.192/search.php?v=6&aff=271486
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://82.179.166.192/index.php?v=6&aff=271486
R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *new–search.net*;*x–google.net*
O2 – BHO: URLLink Class – {4A2AACF3–ADF6–11D5–98A9–00E018981B9E} – C:Program FilesNewDotNet ewdotnet6_38.dll
O2 – BHO: QuickSearch Search Bar – {82315A18–6CFB–44a7–BDFD–90E36537C252} – C:Program FilesQuickSearchQuickSearchBar1_27.dll
O3 – Toolbar: QuickSearch Search Bar – {82315A18–6CFB–44a7–BDFD–90E36537C252} – C:Program FilesQuickSearchQuickSearchBar1_27.dll
O4 – HKLM..Run: [WebRebates0] "C:Program FilesWeb_RebatesWebRebates0.exe"
O4 – HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,NewDotNetStartup –s
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 – Extra context menu item: Web Rebates – file://C:Program FilesWeb_RebatesSy1150Tp1150scri1150a.htm
O10 – Hijacked Internet access by New.Net


Teraz mozesz wlaczyc przywracanie

Mam watpliowosci co do: sbmthread.exe
Nigdzie nie znazlem jednoznacznej definicji
IMO wylaczasz proces, szukasz pliku i usuwasz
Biorac pod uwage ze nie jest on Ci znany
Bobi
Dodano
16.12.2004 16:32:28
jimi
Dodano:
16.12.2004 14:50:48
Komentarzy:
4
Strona 1 / 1