Log z Hijack'a

IP: *.neoplus.adsl.tpnet.pl 28.07.04, 23:10
Możecie mi powiedzieć co z moim komputerkiem jest nie tak?

Logfile of HijackThis v1.98.0
Scan saved at 23:03:05, on 2004-07-28
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\pavsrv51.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\apvxdwin.exe
C:\Program Files\Panda Software\Panda Titanium Antivirus 2004\WebProxy.exe
C:\Program Files\Common files\updater\wupdater.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\mozilla.org\Mozilla\Mozilla.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\VBouncer\VIRTUA~1.EXE
C:\WINDOWS\System32\cidaemon.exe
C:\Program Files\Web_Rebates\WebRebates0.exe
C:\Program Files\Web_Rebates\WebRebates1.exe
C:\Documents and Settings\Kiuppa\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
searchcentral.cc/search.php?v=4&aff=3509
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
searchcentral.cc/index.php?v=4&aff=3509
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: IncrediFindBHO Class -
{5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} -
C:\WINDOWS\System32\ATPART~1.DLL
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} -
C:\WINDOWS\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} -
C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} -
C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Titanium
Antivirus 2004\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Program
Files\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 - HKLM\..\Run: [BelferC] C:\Adalex\BelferCommander2\Belfer.exe
O4 - HKLM\..\Run: [BelferCommanderCv1]
C:\Adalex\BelferCommander\BelferCommander.exe
O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunOnce: [tlc] C:\WINDOWS\update13.js
O4 - HKLM\..\RunOnce: [djtopr1150.exe]
"C:\DOCUME~1\Kiuppa\USTAWI~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program
Files\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash
/minimized
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Gadu-Gadu34\gg.exe" /tray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search &
Destroy\TeaTimer.exe
O4 - Startup: AdDestroyer.lnk = C:\Program Files\AdDestroyer\AdDestroyer.exe
O4 - Startup: Virtual Bouncer.lnk = C:\Program Files\VBouncer\VirtualBouncer.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program
Files\GetRight\getright.exe
O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Start.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Podświetl - C:\RAKS\Web\highlight.htm
O8 - Extra context menu item: Download &all with DAP -
C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with GetRight - C:\Program
Files\GetRight\GRdownload.htm
O8 - Extra context menu item: O do&kumencie... - C:\RAKS\Web\aboutdoc.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program
Files\GetRight\GRbrowse.htm
O8 - Extra context menu item: Otwórz ramkę w &nowym oknie -
C:\RAKS\Web\frm2new.htm
O8 - Extra context menu item: Po&mniejsz - C:\RAKS\Web\zoomout.htm
O8 - Extra context menu item: Pow&iększ - C:\RAKS\Web\zoomin.htm
O8 - Extra context menu item: Web Rebates - file://C:\Program
Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Wyszukiwanie w sieci &Web -
C:\RAKS\Web\selsearch.htm
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a -
C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a -
C:\PROGRA~1\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console -
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} -
C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet -
{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {5F874A6F-8B34-433D-BA4B-47AC91C0567F} (MailCfg Control) -
poczta.wp.pl/autoryzacja/mailcfg2.ocx
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class)
- www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GINWORDS Class) -
gryonline.wp.pl/files/words_2_0_0_18.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
skaner.mks.com.pl/SkanerOnline.cab
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} -
C:\WINDOWS\System32\xplugin.dll
O20 - AppInit_DLLs: NVDESK32.DLL



PS: Na górze pisze że mam Internet Explorera ale ja używam Mozilli.
    • kalinowski11 Re: Log z Hijack'a 28.07.04, 23:19
      Gość portalu: Stevenator napisał(a):

      > Możecie mi powiedzieć co z moim komputerkiem jest nie tak?
      >
      > Logfile of HijackThis v1.98.0
      > Scan saved at 23:03:05, on 2004-07-28
      > Platform: Windows XP (WinNT 5.01.2600) !!!!!!<- Dodatek SP. 1 ?
      > MSIE: Internet Explorer v6.00 (6.00.2600.0000) !!!!!!<- To ?

      Zacznij od tego :

      Czy masz włączonego firewalla systemowego XP ? Jeżeli nie uruchom zaporę .
      Jak ?
      Wszystko poniżej :

      www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx

      Potem zajrzyj tutaj :

      www.windowsupdate.com/
      • Gość: Stevenator Re: Log z Hijack'a IP: *.neoplus.adsl.tpnet.pl 28.07.04, 23:34
        Firewalla włączyłem ale na strone windows update mi nie wchodzi - ani przez
        Internet Explorera ani przez Mozille. Jest biały ekran a na dole pisze, że gotowe.
        Co robić?
        • Gość: Stevenator Re: Log z Hijack'a IP: *.neoplus.adsl.tpnet.pl 28.07.04, 23:40
          Zapomniałem dodać, że skaner mks_vir online wykrył na moim kompie 18 trojanów.
          Część z nich usunąłem ale kilka zostało. Jeden z trojanów nazywał się
          Trojan.Wupdater.
    • Gość: piecyk gazowy Re: Log z Hijack'a IP: *.neoplus.adsl.tpnet.pl 28.07.04, 23:38
      Gość portalu: Stevenator napisał(a):

      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
      > searchcentral.cc/search.php?v=4&aff=3509
      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
      > searchcentral.cc/index.php?v=4&aff=3509
      > R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
      > Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*

      > O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
      > O1 - Hosts: 81.211.105.69 lender-search.com
      > O1 - Hosts: 81.211.105.68 hot-searches.com
      > O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} -
      > C:\WINDOWS\System32\ATPART~1.DLL
      > O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} -
      > C:\WINDOWS\twaintec.dll

      > O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)

      > O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
      > O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
      > O4 - HKLM\..\RunOnce: [tlc] C:\WINDOWS\update13.js
      > O4 - HKLM\..\RunOnce: [djtopr1150.exe]
      > "C:\DOCUME~1\Kiuppa\USTAWI~1\Temp\djtopr1150.exe"

      > O8 - Extra context menu item: Web Rebates - file://C:\Program
      > Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

      > O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no
      fil
      > e)
      > O9 - Extra 'Tools' menuitem: Sun Java Console -
      > {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

      > C:\WINDOWS\System32\xplugin.dll
      > O20 - AppInit_DLLs: NVDESK32.DLL

      Wywal to wszystko co tu zostawiłem.



      piecyk gazowy
      z-ca Netseca ds. HijackThis

      ;-)
      • amj77 Re: Log z Hijack'a 29.07.04, 08:37
        Gość portalu: piecyk gazowy napisał(a):

        > piecyk gazowy
        > z-ca Netseca ds. HijackThis
        >
        > ;-)


        Niestety TYLKO ds HiJackthis...
        • Gość: piecyk gazowy Re: Log z Hijack'a IP: *.internetdsl.tpnet.pl 29.07.04, 09:52
          No, niestety... Nie jestem fanem logów z HT. Tym bardziej, że każdy może
          sprawdzić sam każdą pozycję np. na Google, ale komu się nie chce?
    • kalinowski11 Re: Log z Hijack'a 28.07.04, 23:50
      Zaktualizuj Pandę

      Wyłącz przywracanie systemu :

      support.microsoft.com/default.aspx?scid=kb;pl;310405
      Otwórz "Panel Sterowania" i w "Opcjach Internetowych" "Usuń pliki cookie" oraz
      "usuń pliki..." zaznaczając "Usuń całą zawartość offline" .

      Przeskanuj system Pandą .

      Za pomocą hijacka usuń poniższe wpisy :

      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
      > searchcentral.cc/search.php?v=4&aff=3509
      > R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
      > searchcentral.cc/index.php?v=4&aff=3509
      > R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
      > Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
      > R3 - URLSearchHook: IncrediFindBHO Class -
      > {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
      > O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts
      > O1 - Hosts: 81.211.105.69 lender-search.com
      > O1 - Hosts: 81.211.105.68 hot-searches.com
      > O2 - BHO: F1 Organizer Class - {00000EF1-0786-4633-87C6-1AA7A44296DA} -
      > C:\WINDOWS\System32\ATPART~1.DLL
      > O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} -
      > C:\WINDOWS\twaintec.dll
      > O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} -
      > C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
      > O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
      > O4 - HKLM\..\Run: [updater] C:\Program Files\Common files\updater\wupdater.exe
      > O4 - HKLM\..\RunOnce: [tlc] C:\WINDOWS\update13.js
      > O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no
      fil
      > e)
      > O9 - Extra 'Tools' menuitem: Sun Java Console -
      > {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

      Moim zdaniem to do usunięcia , ktoś bardziej doświadczony może znajdzie coś
      jeszcze .

      Po usunięciu przeskanuj jeszcze system Ad-aware , który
      znajduje i likwiduje różne "paskudztwa" .

      download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=buton
      dobreprogramy.pl/index.php?dz=2&t=39&id=151&t=39
      Przed pierwszym użyciem ustaw Ad-aware w sposób pokazany tutaj :

      ralphcaddell.com/pchelp/Ad-aware%20instructions.htm
      1. Ściągnij , zainstaluj , uruchom .
      2. "sprawdż uaktualnienie"
      3. "połącz"
      4. po wczytaniu ewentualnych aktualizacji "zakończ"
      5. "uruchom"
      6. "dalej"
      7. po skanowaniu "zakończ" , lub "dalej" jeżeli program coś
      znajdzie .
      8. zaznacz znalezione "pozycje"
      9. "dalej"
      10.program spyta , czy usunąć zaznaczone obiekty - "tak" .

      Na zakończenie włącz przywracanie systemu .

      Pozdrawiam .

      P.S. System musi być zaktualizowany , bez względu na to jakiej przeglądarki
      używasz .
Pełna wersja