YYY65.html–SYSTEM INFECTED–moj log..POMOCY!! wszystko siada!
Pod moją nieobecność na moim sprzęcie zasiadło młodsze rodzeństwo...Przychodze do domu wlanczam kompa i na dziendobry pojawia sie pulpit– "Odzyskiwanie pulpitu Active Desktop". Przywracam swój poprzedni pulpit lecz nie na długo..(max.3 min) W autostarcie dwie ikonki z chmurkami YOUR COMPUTER INFECTED... ponadto ciągle wyskakują stronki typu:
http://www.searc–h.com/normal/yyy65.html
http://www.mega–savings.com/normal/yyy65.html
http://www.virtual–coupon.com/normal/yyy65.html
––––––––––––––––––––––––––––––––––––––––––––––––––
Czytałem juz troche o podobnych problemach na tym forum... nic z tego nie przemawia jednak do mnie w 100%... ale mam nadzieje ze ktos z Was zajmie sie mną od poczatku do konca... z góry Dziekuję za POMOC!!
––––––––––––––––––––––––––––––––––––––––––––––––––
Oto mój log z HIJACKA:
––––––––––––––––––––––––––––––––––––––––––––––––––
Logfile of HijackThis v1.99.1
Scan saved at 19:54:41, on 2005–11–27
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\inet20003\services.exe
D:\Programy\Winamp\winampa.exe
C:\windows\system32\mdms.exe
D:\Programy\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\tool2.exe
C:\Program Files\Internet Optimizer\optimize.exe
D:\Programy\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\inet20003\mm.exe
C:\winstall.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\CTFMON.EXE
C:\WINDOWS\System32\sywsvcs.exe
D:\Programy\Adobe Reader\Reader\reader_sl.exe
C:\WINDOWS\System32\svchost.exe
D:\Programy\Corel\Graphics9\Register\Remind32.exe
D:\Programy\Logfile of HijackThis v1.99.1\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
F3 – REG:win.ini: run=C:\WINDOWS\inet20003\services.exe
O4 – HKLM\..\Run: [gcasServ] "D:\Programy\GIANT AntiSpyware\gcasServ.exe"
O4 – HKLM\..\Run: [gcasDtServ] gcasDtServ.exe
O4 – HKLM\..\Run: [yduver] C:\WINDOWS\yduver.exe
O4 – HKLM\..\Run: [xp_system] C:\WINDOWS\inet20003\services.exe
O4 – HKLM\..\Run: [WinampAgent] D:\Programy\Winamp\winampa.exe
O4 – HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 – HKLM\..\Run: [RemoteControl] D:\Programy\PowerDVD\PDVDServ.exe
O4 – HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 – HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 – HKLM\..\Run: [DAEMON Tools–1033] "D:\Programy\DAEMON Tools\daemon.exe" –lang 1033
O4 – HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 – HKLM\..\Run: [avast!] D:\Programy\Avast\ashDisp.exe
O4 – HKLM\..\Run: [180sa] c:\program files\180search assistant\180sa.exe
O4 – HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 – HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 – HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [EdHTML] D:\Programy\EdHTMLv5.0\EdHTML.exe /none
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe
O4 – HKCU\..\Run: [xp_system] C:\WINDOWS\inet20003\services.exe
O4 – HKCU\..\Run: [eMuleAutoStart] D:\Programy\eMule\emule.exe –AutoStart
O4 – Startup: Rejestrowanie produktów Corela.lnk = D:\Programy\Corel\Graphics9\Register\Remind32.exe
O4 – Global Startup: Microsoft Office.lnk = D:\Programy\Microsoft Office\Office10\OSA.EXE
O4 – Global Startup: Adobe Reader Speed Launch.lnk = D:\Programy\Adobe Reader\Reader\reader_sl.exe
O4 – Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://D:\Programy\MICROS~1\Office10\EXCEL.EXE/3000
O20 – Winlogon Notify: Media Center – C:\WINDOWS\system32\j82q0if5e82.dll
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
––––––––––––––––––––––––––––––––––––––––––––––––––––
http://www.searc–h.com/normal/yyy65.html
http://www.mega–savings.com/normal/yyy65.html
http://www.virtual–coupon.com/normal/yyy65.html
––––––––––––––––––––––––––––––––––––––––––––––––––
Czytałem juz troche o podobnych problemach na tym forum... nic z tego nie przemawia jednak do mnie w 100%... ale mam nadzieje ze ktos z Was zajmie sie mną od poczatku do konca... z góry Dziekuję za POMOC!!
––––––––––––––––––––––––––––––––––––––––––––––––––
Oto mój log z HIJACKA:
––––––––––––––––––––––––––––––––––––––––––––––––––
Logfile of HijackThis v1.99.1
Scan saved at 19:54:41, on 2005–11–27
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\inet20003\services.exe
D:\Programy\Winamp\winampa.exe
C:\windows\system32\mdms.exe
D:\Programy\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\tool2.exe
C:\Program Files\Internet Optimizer\optimize.exe
D:\Programy\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\inet20003\mm.exe
C:\winstall.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\CTFMON.EXE
C:\WINDOWS\System32\sywsvcs.exe
D:\Programy\Adobe Reader\Reader\reader_sl.exe
C:\WINDOWS\System32\svchost.exe
D:\Programy\Corel\Graphics9\Register\Remind32.exe
D:\Programy\Logfile of HijackThis v1.99.1\HijackThis.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
F3 – REG:win.ini: run=C:\WINDOWS\inet20003\services.exe
O4 – HKLM\..\Run: [gcasServ] "D:\Programy\GIANT AntiSpyware\gcasServ.exe"
O4 – HKLM\..\Run: [gcasDtServ] gcasDtServ.exe
O4 – HKLM\..\Run: [yduver] C:\WINDOWS\yduver.exe
O4 – HKLM\..\Run: [xp_system] C:\WINDOWS\inet20003\services.exe
O4 – HKLM\..\Run: [WinampAgent] D:\Programy\Winamp\winampa.exe
O4 – HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 – HKLM\..\Run: [RemoteControl] D:\Programy\PowerDVD\PDVDServ.exe
O4 – HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
O4 – HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 – HKLM\..\Run: [DAEMON Tools–1033] "D:\Programy\DAEMON Tools\daemon.exe" –lang 1033
O4 – HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 – HKLM\..\Run: [avast!] D:\Programy\Avast\ashDisp.exe
O4 – HKLM\..\Run: [180sa] c:\program files\180search assistant\180sa.exe
O4 – HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 – HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 – HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [EdHTML] D:\Programy\EdHTMLv5.0\EdHTML.exe /none
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe
O4 – HKCU\..\Run: [xp_system] C:\WINDOWS\inet20003\services.exe
O4 – HKCU\..\Run: [eMuleAutoStart] D:\Programy\eMule\emule.exe –AutoStart
O4 – Startup: Rejestrowanie produktów Corela.lnk = D:\Programy\Corel\Graphics9\Register\Remind32.exe
O4 – Global Startup: Microsoft Office.lnk = D:\Programy\Microsoft Office\Office10\OSA.EXE
O4 – Global Startup: Adobe Reader Speed Launch.lnk = D:\Programy\Adobe Reader\Reader\reader_sl.exe
O4 – Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://D:\Programy\MICROS~1\Office10\EXCEL.EXE/3000
O20 – Winlogon Notify: Media Center – C:\WINDOWS\system32\j82q0if5e82.dll
O23 – Service: Ati HotKey Poller – Unknown owner – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
––––––––––––––––––––––––––––––––––––––––––––––––––––
Odpowiedzi: 3
http://forum.centrumxp.pl/viewtopic.php?t=43523 oto fragment topicu... jest tam mowa ze trzeba usunąc jakies wpisy.. ale jak ??
beco:
C:\WINDOWS\inet20003\services.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\inet20003\mm.exe
C:\winstall.exe
C:\WINDOWS\System32\sywsvcs.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
O4 – HKLM\..\Run: [yduver] C:\WINDOWS\yduver.exe
O4 – HKLM\..\Run: [xp_system] C:\WINDOWS\inet20003\services.exe
O4 – HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 – HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKLM\..\Run: [180sa] c:\program files\180search assistant\180sa.exe
O4 – HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 – HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 – HKCU\..\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe
O4 – HKCU\..\Run: [xp_system] C:\WINDOWS\inet20003\services.exe
O20 – Winlogon Notify: Media Center – C:\WINDOWS\system32\j82q0if5e82.dll
To do wywałki.
W systemie panoszy się L2M – trza by sie nim zająć – temat przykjony dział Bezpieczeństwo
Te pilki które były na pozycjach run z w tym co dałem do usunięcia wywalasz wszystko + folder z program files:
\180searchassistant\
z windows:
\system32\inet2003\
Przyklejone dwa tematy – w jednym instrukcja do logów, a w drugim – FAQ instrukcja do usuwania Look2Me
Strona 1 / 1