Vergil Posted March 26, 2006 Report Share Posted March 26, 2006 Mam duzy problem gdy próbuje odpalic nietóre programy to nic się nie pojawia ale w aktywnych procesach to jest naszczescie w bardzo niewielu przypadkach tak sie dzieje również gdy prubuje coś usunąć również nie moge tez w paru przypadkach zrobiłem loga z hijcak this proszę o pomoc co mam skasowac?Logfile of HijackThis v1.99.1Scan saved at 08:23:24, on 2006-03-26Platform: Windows XP (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSExplorer.EXEC:WINDOWSsystem32ntvdm.exeC:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeC:Program FilesAnalog DevicesSoundMAXSmax4.exeC:Program FilesJavajre1.5.0_05binjusched.exeC:WINDOWSsvchost.exeC:WINDOWSSystem32nvsvc32.exeC:WINDOWSsvchost.exeC:Program FilesAnalog DevicesSoundMAXSMAgent.exeC:WINDOWSSystem32wuauclt.exeC:Program FilesInternet ExplorerIEXPLORE.EXED:RóżneHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaF3 - REG:win.ini: load=C:YDPDictwatch.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocxO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocxO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInitO4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeO4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /trayO4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exeO4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_05binjusched.exeO4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /backgroundO4 - HKCU..Run: [NBJ] "C:Program FilesAheadNero BackItUpNBJ.exe"O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXEO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dllO12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dllO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exeproszę o szybką odpowiedz z góry thx:) Link to comment Share on other sites More sharing options...
wies.niak Posted March 26, 2006 Report Share Posted March 26, 2006 wszystko rób w trybie awaryjnym, wyłącz też przywracanie systemu. gdyby były problemy z usunięciem czegoś, użyj killbox'a. po oczyszczeniu wrzuć log do weryfikacji. i uaktualnij sobie system...do wywalenia:C:WINDOWSsvchost.exe (tylko nie pomyl z takim samym plikiem w system32, który tam ma być)F3 - REG:win.ini: load=C:YDPDictwatch.exe <- jeśli jesteś pewny tego pliku, wiesz co to jest, to zostaw, w przeciwnym razie wywal. Link to comment Share on other sites More sharing options...
Vergil Posted March 31, 2006 Author Report Share Posted March 31, 2006 Zrobiłem tak jak mówiłes oto log najnowszy log:Logfile of HijackThis v1.99.1Scan saved at 11:58:16, on 2006-03-31Platform: Windows XP (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSExplorer.EXEC:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeC:Program FilesAnalog DevicesSoundMAXSmax4.exeC:Program FilesJavajre1.5.0_05binjusched.exeC:WINDOWSSystem32RUNDLL32.EXEC:WINDOWSSystem32nvsvc32.exeC:WINDOWSsvchost.exeC:Program FilesAnalog DevicesSoundMAXSMAgent.exeD:RóżneHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocxO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocxO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeO4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /trayO4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_05binjusched.exeO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInitO4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXEO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dllO12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dllO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143371666578O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exeWszystko ok? Link to comment Share on other sites More sharing options...
wies.niak Posted March 31, 2006 Report Share Posted March 31, 2006 ciągle masz to dziadostwo:C:WINDOWSsvchost.execzy to oczyszczanie robiłeś przy odłączonym necie? (powinieneś)wywal to killbox'em.jak wywalisz, zrób log i sprawdź czy jest odniesienie do tego pliku. jak nie ma to ok, jak jest, to mamy problemik...odpal wtedy ten skrypt (http://www.silentrunners.org/ - jest bezpieczny) i wrzuć jego log.choć myślę, że akcja killbox'em powinna starczyć (tylko pamiętaj, net odłączony). Link to comment Share on other sites More sharing options...
tiges Posted April 7, 2006 Report Share Posted April 7, 2006 http://www.liutilities.com/products/wintas...ibrary/svchost/no dziadostwo MIcrosoftu ... Microsoft Service Host Processjest trojan pod, ktory pod to sie podszywa Link to comment Share on other sites More sharing options...
Vergil Posted April 7, 2006 Author Report Share Posted April 7, 2006 Najnowszy log:Logfile of HijackThis v1.99.1Scan saved at 18:48:09, on 2006-04-07Platform: Windows XP (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSSystem32nvsvc32.exeC:WINDOWSsvchost.exeC:Program FilesAnalog DevicesSoundMAXSMAgent.exeC:WINDOWSExplorer.EXEC:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeC:Program FilesAnalog DevicesSoundMAXSmax4.exeC:Program FilesJavajre1.5.0_05binjusched.exeC:WINDOWSSystem32RUNDLL32.EXEC:Program FilesGadu-Gadugg.exeC:Program FilesOperaOpera.exeD:RóżneHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocxO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocxO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeO4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /trayO4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_05binjusched.exeO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInitO4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXEO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dllO12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dllO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143371666578O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exeMam jeszcze pytanie czy da sie zrobic tak zeby przeglądac internet najpierw trzeba wpisac hasło?jest moze jakis program od tego?pomocy Link to comment Share on other sites More sharing options...
wies.niak Posted April 7, 2006 Report Share Posted April 7, 2006 ciągle masz tenC:WINDOWSsvchost.exeopisz co zrobiłeś, jak próbowałeś go wywalić? wrzuć lego z tego skryptu silentrunners (link w poście poprzednim).pobierz sobie trial programu ewido (http://www.ewido.net/) - przeskanuj i wyczyść nim komputer.co do pytania o hasło - jakiś programik do kontroli rodzicielskiej powinien załatwić sprawę.tiges -> nie rozumiem twojej wypowiedzi, chciałeś się odnieść do mojego określenia dziadostwo? jeśli tak, to polecam poczytać: plik svchost na który wskazuję to syf, a plik systemowy o którym mówisz, jest w windowssystem32 i tego pliku nie ruszam... Link to comment Share on other sites More sharing options...
tiges Posted April 7, 2006 Report Share Posted April 7, 2006 no a dalem linka, w ktorym jasno widac, ze pod to sie podszywaja trojanyNote: svchost.exe is also a process which is registered as the Trojan.W32.Dasher. It takes advantage of the Windows LSASS vulnerability, which creates a buffer overflow and instigates your computer to shut down. To see more information about this vulnerability please look at the following Microsoft bulletin: http://www.microsoft.com/technet/security/...n/ms04-011.mspxskilowac proces i zobaczyc czy cos sie zmieni Link to comment Share on other sites More sharing options...
mj Posted April 7, 2006 Report Share Posted April 7, 2006 Witam, wlasnie zrobilem scan hijackiem, tak profilaktycznie i zauwzylem cos takiego:C:WINDOWSsystem32nvsvc32.execzy ktos wiec co to moze byc? Link to comment Share on other sites More sharing options...
wies.niak Posted April 7, 2006 Report Share Posted April 7, 2006 skilowac proces i zobaczyc czy cos sie zmieni nie przejdzie, bo proces jest newralgiczny dla systemu.poza tym, gdyby tam był trojan "which creates a buffer overflow and instigates your computer to shut down" to system by się zwieszał lub wyłączał (tym bardziej, że system jest bez aktualizacji), a to się nie dzieje (lub Vergil o tym nie napisał).jeśli będziemy próbować zabić tego svchost'a, którego próbuję skasować, nic nie zyskamy, bo proces się odnowi. dlatego chcę to zrobić w awaryjnym + czyszczenie rejestru. po to też ewido polecam i log z silentrunners.mj -> google wie...http://www.liutilities.com/products/wintas...ibrary/nvsvc32/.takie lenistwo... Link to comment Share on other sites More sharing options...
mj Posted April 7, 2006 Report Share Posted April 7, 2006 aha, zapomnialem ;P Link to comment Share on other sites More sharing options...
tiges Posted April 7, 2006 Report Share Posted April 7, 2006 hmm .. jest tez inna mozliwosc .. zaden trojan, tylko jakis program popodmienial jakies biblioteki systemowe na starsze i jest klopot. Link to comment Share on other sites More sharing options...
wies.niak Posted April 7, 2006 Report Share Posted April 7, 2006 sfc /scannowi możemy zobaczyć czy coś zostało zmienione. zresztą proponuję poczekać na odpowiedź samego zainteresowanego. Link to comment Share on other sites More sharing options...
Makdonald Posted April 7, 2006 Report Share Posted April 7, 2006 ehhh :? jak z tego programu korzystac ??? Link to comment Share on other sites More sharing options...
wies.niak Posted April 7, 2006 Report Share Posted April 7, 2006 z hijack this?odpalasz program i klikasz "do a system scan and save a logfile". otwiera się notatnik z treścią loga. kopiujesz, wklejasz tu do analizy, albo sam próbujesz pod www.hijackthis.de (tylko ostrożnie).---[edit]---do ps z posta poniżej:nie mnie o tym dyskutować, ale z tego co widzę, ostrzeżeniach dostałeś za piractwo - posty traktujące o tym "zjawisku". Link to comment Share on other sites More sharing options...
Makdonald Posted April 7, 2006 Report Share Posted April 7, 2006 dobra dzieki widze ze Ewido sobie poradził ps : dostałem ostrzezenia za to ze sie słabo znam na kompach i na oprogramowaniu ?? tak ?? dzieki :?wiki-yu: informacja za co jest ostrzeżenie jest w dziale: "Banicja i Ostrzeżenia" Link to comment Share on other sites More sharing options...
Vergil Posted April 8, 2006 Author Report Share Posted April 8, 2006 Tak jak mówiłes wies.niak Najpierw odłączyłem neta potem odpaliłem killboxa podałem mu ścieżke co ma usunać czyli: CWIONDOWS|svhost.exe(czy cos w podobie) potem sie mnie ocos pytał i niby że go usuną i musiałem zapisać wszystko co aktualnie robiłęm bo program uruchomi ponownie komputer i prawie w ostatnich sekundach kliknąłm na jakims programie aby zapisał czy wyszedł nie pamiętam ale przy: trwa zapisywanie ustawien osobistych(podczas uruchamiania ponownie komputera) komputer sie zawiesił i musiałem go zresetowac i to wszystko potem zrobiłem loga hijcak this.PS a masz moze link do takiego programu i jak bys mógł to opisał mi dokładniej jak on działa pls Link to comment Share on other sites More sharing options...
wies.niak Posted April 8, 2006 Report Share Posted April 8, 2006 ewido pobierzesz stąd: http://www.ewido.net/en/, tam też opis jest itd...wnioskuję, że killbox zasugerował usunięcie pliku przy restarcie i kiedy miał to usunąć, komp się zawiesił przez co nie usunął pliku.skoro nie napisałeś, domyślam się, że nie robiłeś tego w trybie awaryjnym?spróbuj jeszcze raz, tym razem w awaryjnym. spróbuj też włączyć menadżer urządzeń i zabić proces przed jego usunięciem.cięzko tu poradzić coś więcej, po prostu czasem trzeba kilka razy aż do skutku.i jeszcze raz, wrzuć też log z http://www.silentrunners.org/. Link to comment Share on other sites More sharing options...
footman Posted April 8, 2006 Report Share Posted April 8, 2006 Zrobiłem sobie loga i dałem do analizy www.hijackthis.de i wykryło mi kilka syfów ale nie jestem pewien czy mam to na pewno wyrzucać więc daję tu log:Logfile of HijackThis v1.99.1Scan saved at 15:06:46, on 2006-04-08Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSSYSTEM32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSsystem32spoolsv.exeD:Program FilesAlwil SoftwareAvast4aswUpdSv.exeD:Program FilesAlwil SoftwareAvast4ashServ.exeC:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXEC:WINDOWSsystem32nvsvc32.exeD:Program FilesAlwil SoftwareAvast4ashMaiSv.exeD:Program FilesAlwil SoftwareAvast4ashWebSv.exeC:WINDOWSExplorer.EXEC:WINDOWSsystem32WgaTray.exeC:WINDOWSSOUNDMAN.EXEC:Program FilesJavajre1.5.0_06binjusched.exeD:Program FilesCyberLinkPowerDVDPDVDServ.exeC:WINDOWSsystem32rundll32.exeD:PROGRA~1ALWILS~1Avast4ashDisp.exeC:Program FilesWinampwinampa.exeC:WINDOWSsystem32ctfmon.exeC:Program FilesCursorXPCursorXP.exeC:WINDOWSSystem32svchost.exeC:WINDOWSBricoPacksVista InspiratObjectDockObjectDock.exeC:WINDOWSBricoPacksVista InspiratYzToolbarYzToolBar.exeD:Program FilesAzureusAzureus.exeC:Program FilesMozilla Firefoxfirefox.exeC:Documents and SettingsBartekPulpitHijackThis.exeR0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://VeryCD.265.comR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dllO2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:Program FilesNewDotNetnewdotnet7_22.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dllO4 - HKLM..Run: [soundMan] SOUNDMAN.EXEO4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exeO4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exeO4 - HKLM..Run: [RemoteControl] "D:Program FilesCyberLinkPowerDVDPDVDServ.exe"O4 - HKLM..Run: [WhenUSave] "C:Program FilesSaveSave.exe"O4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,ClientStartup -sO4 - HKLM..Run: [3DNADesktop] "D:Program Files3DNAResources3dnasys.exe" -openO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInitO4 - HKLM..Run: [avast!] D:PROGRA~1ALWILS~1Avast4ashDisp.exeO4 - HKLM..Run: [sysMetrix] C:Program FilesSysMetrixSysMetrix.exeO4 - HKLM..Run: [LogonStudio] "C:Program FilesWinCustomizeLogonStudiologonstudio.exe" /RANDOMO4 - HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exeO4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exeO4 - HKCU..Run: [NBJ] "C:Program FilesAheadNero BackItUpNBJ.exe"O4 - HKCU..Run: [shell] "C:Program FilesCommon FilesMicrosoft SharedWeb Foldersibm00001.exe"O4 - HKCU..Run: [CursorXP] C:Program FilesCursorXPCursorXP.exeO4 - Startup: Stardock ObjectDock.lnk = C:WINDOWSBricoPacksVista InspiratObjectDockObjectDock.exeO4 - Startup: Y'z ToolBar.lnk = C:WINDOWSBricoPacksVista InspiratYzToolbarYzToolBar.exeO4 - Startup: Rainlendar.lnk = C:Program FilesRainlendarRainlendar.exeO4 - Global Startup: PC Alert 4.lnk = C:Program FilesMSIPC Alert 4PCAlert4.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exeO8 - Extra context menu item: &Download with &DAP - D:Program FilesDAPdapextie.htmO8 - Extra context menu item: Download &all with DAP - D:Program FilesDAPdapextie2.htmO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:PROGRA~1FRONTP~1OFFICE11EXCEL.EXE/3000O8 - Extra context menu item: Pobierz z &BitSpirit - D:Program FilesBitSpiritbsurl.htmO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dllO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:PROGRA~1FRONTP~1OFFICE11REFIEBAR.DLLO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO12 - Plugin for .pdf: C:Program FilesInternet ExplorerPLUGINSnppdf32.dllO17 - HKLMSystemCCSServicesTcpip..{88F9AA6D-7C81-460B-98D1-3FDE012896BE}: NameServer = 10.0.0.138O17 - HKLMSystemCS1ServicesTcpip..{88F9AA6D-7C81-460B-98D1-3FDE012896BE}: NameServer = 10.0.0.138O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dllO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:Program FilesAlwil SoftwareAvast4aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:Program FilesAlwil SoftwareAvast4ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe Link to comment Share on other sites More sharing options...
wies.niak Posted April 8, 2006 Report Share Posted April 8, 2006 podobnie jak poprzednicy, odłączony net, wyłączone przywracanie systemu, najlepiej w awaryjnym. jeśli jakiś plik nie chce się usunąć, użyj killbox'a (jeśli więcej plików - zaznaczasz delete on reboot, wrzucasz plik, dostajesz info że plik zostanie skasowany po restarcie, zgadzasz się, wyskoczy pytanie czy zrestartować, nie zgadzasz się. teraz wrzucasz kolejny plik i znów ta sama procedura. kiedy już wrzucisz wszystkie pliki, wtedy kasujesz killbox'em. on zrestartuje komputer i wywali syf)do wywalenia:R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://VeryCD.265.com <- wywal jeśli sam tego nie ustawiałeś, strona podejrzanaO2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:Program FilesNewDotNetnewdotnet7_22.dllO4 - HKLM..Run: [WhenUSave] "C:Program FilesSaveSave.exe"O4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,ClientStartup -sO4 - HKCU..Run: [shell] "C:Program FilesCommon FilesMicrosoft SharedWeb Foldersibm00001.exe"O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net Link to comment Share on other sites More sharing options...
Vergil Posted May 11, 2006 Author Report Share Posted May 11, 2006 Chyba znowu mam syfy.Tak dla bezpieczeństwa wrzucam loga proszę o pomocLogfile of HijackThis v1.99.1Scan saved at 20:15:32, on 2006-05-11Platform: Windows XP (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSExplorer.EXEC:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeC:Program FilesAnalog DevicesSoundMAXSmax4.exeC:Program FilesJavajre1.5.0_06binjusched.exeC:WINDOWSSystem32RUNDLL32.EXEC:Program FilesCyberLinkPowerDVDPDVDServ.exeC:WINDOWSsvchost.exeC:WINDOWSSystem32nvsvc32.exeC:WINDOWSsvchost.exeC:Program FilesAnalog DevicesSoundMAXSMAgent.exeC:Program FilesAlcohol SoftAlcohol 120StarWindStarWindService.exeC:WINDOWSSystem32wuauclt.exeD:RóżneHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocxO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocxO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeO4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /trayO4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exeO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInitO4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"O4 - HKLM..Run: [DAEMON Tools] "C:Program FilesDAEMON Toolsdaemon.exe" -lang 1033O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXEO12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dllO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143371666578O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exeO23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:Program FilesAlcohol SoftAlcohol 120StarWindStarWindService.exe Link to comment Share on other sites More sharing options...
wies.niak Posted May 11, 2006 Report Share Posted May 11, 2006 ano masz. dokładnie to samo co wtedy, czyli postępowanie takie samo. plik C:WINDOWSsvchost.exe do wywalenia. Link to comment Share on other sites More sharing options...
mj Posted May 11, 2006 Report Share Posted May 11, 2006 Oprocz niezaktualizowanego Internet Explorera (o ile go uzywasz), niepokojacy jest tez svhost.exe, bo nie pochodzi z system32.Obydwa, pochodzace z C:/windows/ sa prawdopodobnie wirusami.Radze killboxa + skan antywirem przy wylaczonym necie. Link to comment Share on other sites More sharing options...
Turok Posted June 8, 2006 Report Share Posted June 8, 2006 Czy mogli byście sprawdzic mojego loga??? niejestem pewien czy jest ok pozatym ma problem z odblokowaniem menedżera zadańoto log:Logfile of HijackThis v1.99.1Scan saved at 21:18:08, on 2006-06-08Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:Program FilesAheadInCDInCDsrv.exeC:WINDOWSsystem32spoolsv.exeC:Program FilesMKSBinNetMonSV.exeC:Program FilesMKSBinmksmonsv.exeC:WINDOWSsystem32nvsvc32.exeC:WINDOWSsystem32svchost.exeC:WINDOWSExplorer.EXEC:WINDOWSsystem32RunDll32.exeC:WINDOWSsystem32RUNDLL32.EXEC:Program FilesMKSBinmks_menu.exeC:Program FilesMKSBinABregmon.exeC:WINDOWSsystem32rundll32.exeC:Program FilesLogitechVideoLogiTray.exeC:Program FilesHPHP Software UpdateHPWuSchd2.exeC:Program FilesHPhpcoretechhpcmpmgr.exeC:Program FilesCyberLinkPowerDVDPDVDServ.exeC:Program FilesAheadInCDInCD.exeC:Program FilesD-Toolsdaemon.exeC:Program FilesJavajre1.5.0_06binjusched.exeC:WINDOWSsystem32rundll32.exeC:Program Filesoutlookoutlook.exeC:WINDOWSsystem32ctfmon.exeC:WINDOWSsystem32LVComS.exeC:Program FilesHPDigital Imagingbinhpqtra08.exeC:Documents and SettingsAll UsersMenu StartProgramyAutostartmsconfig.exeC:Documents and SettingsAll UsersMenu StartProgramyAutostarttaskmgr.exeC:WINDOWSsystem32wuauclt.exeC:Program FilesHPDigital Imagingbinhpqgalry.exeC:Program FilesMKSBinmks_scan.exeC:Program FilesSnowball WarsLicense.exeC:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exeC:Program FilesMozilla Firefoxfirefox.exeC:Documents and SettingsPiotrMoje dokumentyprogramyHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:Program FilesNewDotNetnewdotnet7_22.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dllO3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:Program FilesToolBar888MyToolBar.dllO4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInitO4 - HKLM..Run: [MKS_MENU] C:Program FilesMKSBinmks_menu.exeO4 - HKLM..Run: [ABREGMON] C:Program FilesMKSBinABregmon.exeO4 - HKLM..Run: [LogitechVideoRepair] C:Program FilesLogitechVideoISStart.exeO4 - HKLM..Run: [LogitechVideoTray] C:Program FilesLogitechVideoLogiTray.exeO4 - HKLM..Run: [HP Software Update] "C:Program FilesHPHP Software UpdateHPWuSchd2.exe"O4 - HKLM..Run: [HP Component Manager] "C:Program FilesHPhpcoretechhpcmpmgr.exe"O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exeO4 - HKLM..Run: [inCD] C:Program FilesAheadInCDInCD.exeO4 - HKLM..Run: [DAEMON Tools-1033] "C:Program FilesD-Toolsdaemon.exe" -lang 1033O4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exeO4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,ClientStartup -sO4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exeO4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM..Run: [bearShare] "C:Program FilesBearShareBearShare.exe" /pauseO4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -kO4 - HKLM..Run: [outlook] C:Program Filesoutlookoutlook.exe /autoO4 - HKLM..Run: [winlog] winlog.exeO4 - HKLM..RunServices: [winlog] winlog.exeO4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exeO4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /trayO4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /backgroundO4 - HKCU..Run: [skype] "C:Program FilesSkypePhoneSkype.exe" /nosplash /minimizedO4 - Global Startup: HP Digital Imaging Monitor.lnk = C:Program FilesHPDigital Imagingbinhpqtra08.exeO4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:Program FilesHPDigital Imagingbinhpqthb08.exeO4 - Global Startup: msconfig.exeO4 - Global Startup: taskmgr.exeO8 - Extra context menu item: &MyToolBar Search - res://C:Program FilesToolBar888MyToolBar.dll/MENUSEARCH.HTMO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dllO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exeO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - C:Program FilesMKSBinNetMonSV.exeO23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exeO23 - Service: InCD Helper (InCDsrv) - Nero AG - C:Program FilesAheadInCDInCDsrv.exeO23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:Program FilesMKSbinMkSUpdateInt.exeO23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:Program FilesMKSBinmksmonsv.exeO23 - Service: MkS_Scan - Unknown owner - C:Program FilesMKSBinmks_scan.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exeO23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe Link to comment Share on other sites More sharing options...
José de Calasanza Posted June 8, 2006 Report Share Posted June 8, 2006 Użyj: WWDC przestaw znaczki z Disable na Enable.R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:Program FilesNewDotNetnewdotnet7_22.dllO3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:Program FilesToolBar888MyToolBar.dllO4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,ClientStartup -sO4 - Global Startup: msconfig.exe O4 - Global Startup: taskmgr.exe O8 - Extra context menu item: &MyToolBar Search - res://C:Program FilesToolBar888MyToolBar.dll/MENUSEARCH.HTMO10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net1. Ściągnij LSPFix2. Nastepnie uruchom, zaptasz "I'm know what I'm doing" -> zaznacz newdotnet7_22.dll (innych plików nie ruszać bo net padnie!) i naciśnij na ">>" a potem Naciśnij na przycisk "Finish". 3. Zafiksuj wymienione wyżej wpisy w Hijacku (O10 już nie będzie). Wejdź do Trybu awaryjnego F8 przed botem systemu i odinstaluj w Start -> Panel sterowania -> Dodaj/Usuń -> NewDotNet i ToolBar888 . Usuń resztki po NewDotNet i ToolBar888 Start -> Uruchom-> cmd wklepać komendy:RD /S /Q "C:Program FilesNewDotNet"RD /S /Q "C:Program FilesToolBar888"RD /S /Q "C:Documents and settingsNazwa twojego kontaUstawienia lokalneTemp"O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -kStart >>> Ustawienia >>> Panel sterowania >>> System >>> Zaawansowne >>> Uruchamianie i Odzyskiwanie >>> Ustawienia >>> Zapisywanie informacji o debugowaniu >>> Ustaw na BrakPrzeskanuj się EWIDO po update. Link to comment Share on other sites More sharing options...
