log-hijackthis,

[Gość: kura]

Witam, u kolgei na kompie zakradlo sie robactwo.kolega nie ma za wielkiego
pojecia wiec prosimz o rade.wklejam loga i prosze piecyka i innzch o pomoc.
Logfile of HijackThis v1.97.7
Scan saved at 11:23:23, on 14.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp\Winampa.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\Patrick Ahlers\Eigene
Dateien\Viren\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
ie-search.com/home.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
ie-search.com/srchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
ie-search.com/home.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant =
www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch =
www.008i.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ie-
search.com/srchasst.html
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32
\userinit.exe,C:\WINDOWS\System32\svcpack.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1E0F7DE7-A9D9-4208-9FFC-E48DF23B597F} -
C:\WINDOWS\System32\ppa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\domer00046\gd-
domer00046_de.exe -remove
O4 - HKCU\..\Run: [msmc] C:\WINDOWS\System32\msmc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone
Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A49C0AAD-15FF-4F19-9A51-
5EEEB9C79B7C}: NameServer = 134.96.155.18,134.96.100.105

[kalinowski11]

Witam ! Stały zestaw ratunkowy "Premiera" ;)

------------------------------------------------------------------

www.windowsupdate.com/
------------------------------------------------------------------

Skanery antywirusowe on-line :

security.symantec.com/sscv6/home.asp?j=1&langid=ie&venid=sym&close_parent=true&plfid=22&pkj=VJIGXIBVEMBQAUWZKTK
uk.mcafee.com/root/mfs/default.asp?cid=9575
www.pandasoftware.com/activescan/com/activescan_principal.htm
skaner.mks.com.pl/
www.kaspersky.pl/services.html?s=online_vir_chk

1. Te punkty chyba nie wymagają większych wyjaśnień ?

------------------------------------------------------------------

Program do likwidowania wrednych stron startowych IE .

www.spychecker.com/program/coolwebshredder.html
1. Ściągnij , zainstaluj , uruchom .
2. Kliknij "Fix"
3. Program spyta czy masz zamknięte przeglądarki , kliknij ok.
4. Na ewentualne następne pytania zawsze ok.
5. Jeżeli nie masz aktualnej wersji przed "Fix" kliknij "Check for
update"
6. Kliknij "Download and open the update"
7. Uruchom ściągniętą wersję.
8. Dalej punkty 2,3,4

------------------------------------------------------------------

Ad-aware , znajduje i likwiduje różne paskudztwa .

download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=buton

Przed pierwszym użyciem ustaw Ad-aware w sposób pokazany tutaj :

ralphcaddell.com/pchelp/Ad-aware%20instructions.htm

1. Ściągnij , zainstaluj , uruchom .
2. "sprawdż uaktualnienie"
3. "połącz"
4. po wczytaniu ewentualnych aktualizacji "zakończ"
5. "uruchom"
6. "dalej"
7. po skanowaniu "zakończ" , lub "dalej" jeżeli program coś
znajdzie .
8. zaznacz znalezione "pozycje"
9. "dalej"
10.program spyta , czy usunąć zaznaczone obiekty - "tak" .

------------------------------------------------------------------

Spy-bot , jak wyżej .

download.com.com/3000-8022-10194058.html?tag=lst-0-2
1. Ściągnij , zainstaluj , uruchom .
2. "Aktualizacja" .
3. "Znajdż i zniszcz" .
4. Pewnie sporo znajdzie .
5. "Znalezione" program odznaczy na zielono i czerwono . Czerwone
to "szpicle" , wywalamy . Zielone mogą zostać .
6. Czerwone zaznaczamy i klikamy "Napraw znalezione problemy" .

------------------------------------------------------------------

Program do zabezpieczenia systemu przed zmianami strony
startowej , szpiegami itp.

www.javacoolsoftware.com/spywareblaster.html
1. Ściągnij , zainstaluj , uruchom .
2. "Updates"
3. "Protection"
A. "Internet Explorer Protection" - zaznaczasz dwa pola .
B. "Restricted Sites Protection " - zaznaczasz jedno pole .
C. "Mozilla/Firefox Protection" - jeśli używasz możesz zaznaczyć .
4. "Tools"
A. "Misc. IE Settings" - zaznaczamy , ta funkcja blokuje podmianę
strony startowej .

------------------------------------------------------------------

Najważniejsze , zawsze zaktualizowany system , antywirus na
stałe , no i ogniomurek też jest wskazany .

------------------------------------------------------------------

Cytuję za Netsec'iem :)

Zainstaluj program antywirusowy do domowego użytku AVAST4 Home.
Jest to bezpłatny program antywirusowy po polsku.

Wersję polską możesz ściągnąć stąd :

www.avast.com/i_idt_1016.html

Przed instalacją zarejestruj się tu :

www.avast.com/i_kat_207.php?lang=ENG
Dzięki rejestracji otrzymasz mailem klucz rejestracyjny,
który umożliwi przez rok bezpłatną aktualizacje bazy wirusów.

------------------------------------------------------------------

Jeżeli nie pomogło , ściągnij poniższy program . HijackThis
pokaże co "siedzi" w Twoim kompie .

209.133.47.200/~merijn/files/HijackThis.exe
1.Ściągnij , uruchom .
2.Scan .
3.Save Log .
4.Zapisany log "skopiuj na myszkę" , wklej do posta i wyślij
na forum . Może jakaś "dobra dusza" się nad Tobą zlituje ;)

----------------------------------------------------------------

[Gość: kura]

CWSshreeder usunal juz czesc ale log dalej wyglada podejrzanie...poczekam na
Piecyka, Dzieki Ci Kalinowski11

[kalinowski11]

Póki co możesz wypróbować Ad-aware i Spybot-a .

[Gość: kura]

to juz przelecialo.wiesz kolega jest niemcem, wiec za wiele sie nie zna,a mnie
pomogl netsec wiec staram sie tez jak moge...z gory dzieki.kura
ogfile of HijackThis v1.97.7
Scan saved at 11:44:47, on 14.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Dokumente und Einstellungen\Patrick Ahlers\Eigene
Dateien\Viren\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -
atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\domer00046\gd-
domer00046_de.exe -remove
O4 - HKCU\..\Run: [msmc] C:\WINDOWS\System32\msmc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone
Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A49C0AAD-15FF-4F19-9A51-5EEEB9C79B7C}:
NameServer = 134.96.155.18,134.96.100.105

[kalinowski11]

> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
> file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
> file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
> www.web.de/
> R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
> file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
> file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
> file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
> R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
> file://C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\sp.html
> O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\domer00046\gd-
> domer00046_de.exe -remove
Oraz prawdopodobnie to :
> O4 - HKCU\..\Run: [msmc] C:\WINDOWS\System32\msmc.exe

To tyle ja , teraz musimy poczekać na konsultację ;)

[Gość: kura]

ok wielkie dzieki, juz to zrobilem ale zostawilem te strone > R0 -
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
> www.web.de/
bo to jest jego strona startowa...wielkie dzieki
nie dajcie sie tam prowokowac innym przyglupom.
fajnie ze pomagacie ludziom
pzdr

[kalinowski11]

Cholera nie zauważyłem , zawsze to co ważne umieszczone jest między "wszami" :)

Piecyk zerknij....

[Gość: kura]

Mozesz zerknac i potwierdzic to co powiedzial Kalinowski?to bylo wszystko czy
jest tam cos jeszcze do usuniecia?dzieki