hijackthis

IP: *.neoplus.adsl.tpnet.pl 20.09.04, 17:12
Jeszcze raz, czy ktos moze zerknac w to, co nizej?
Przyznam, bladgego pojecia nie mam. Jestem beradny.
Z gory dziekuje.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
f:\Program Files\AVPersonal\AVGUARD.EXE
f:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Grzechu\Pulpit\cws\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
F:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [AVGCtrl] F:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ashMaiSv] f:\PROGRA~2\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://F:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
F:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus
scanner) - security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {525A15D0-4938-11D4-94C7-0050DA20189B} (SnoopyCtrl Class) -
www.easports.com/downloads/games/common/snoopy/iesnoopy.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility
Class) - security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D0F83A9-3A6A-4973-9179-
517BA60AABDA}: NameServer = 194.204.152.34 217.98.63.164
    • netsec Re: hijackthis 20.09.04, 17:26
      Wklej cały Hijack włącznie z początkiem :)
    • Gość: opo Re: hijackthis IP: *.neoplus.adsl.tpnet.pl 20.09.04, 17:37
      Logfile of HijackThis v1.98.2
      Scan saved at 17:11:34, on 2004-09-20
      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      f:\Program Files\AVPersonal\AVGUARD.EXE
      f:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\Explorer.EXE
      F:\Program Files\AVPersonal\AVGNT.EXE
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Internet Explorer\iexplore.exe
      C:\Documents and Settings\Grzechu\Pulpit\cws\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      F:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
      O4 - HKLM\..\Run: [AVGCtrl] F:\Program Files\AVPersonal\AVGNT.EXE /min
      O4 - HKLM\..\Run: [ashMaiSv] f:\PROGRA~2\ALWILS~1\Avast4\ashmaisv.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
      \NvCpl.dll,NvStartup
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://F:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
      F:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
      C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-
      00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -
      security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
      O16 - DPF: {525A15D0-4938-11D4-94C7-0050DA20189B} (SnoopyCtrl Class) -
      www.easports.com/downloads/games/common/snoopy/iesnoopy.cab
      O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility
      Class) - security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
      O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
      www.pandasoftware.com/activescan/as5/asinst.cab
      O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
      bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab
      O17 - HKLM\System\CCS\Services\Tcpip\..\{8D0F83A9-3A6A-4973-9179-517BA60AABDA}:
      NameServer = 194.204.152.34 217.98.63.164

      • netsec Re: hijackthis 20.09.04, 17:56
        Gość portalu: opo napisał(a):

        > Logfile of HijackThis v1.98.2
        > Scan saved at 17:11:34, on 2004-09-20
        > Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
        > MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Sprawdź czy masz włączoną zaporę Internetową we właściwościach Twojego
        połączenia do Internetu. Tu jest opis jak to wykonać
        www.microsoft.com/poland/security/protect/windowsxp/firewall.aspx
        Wyłącz przywracanie systemu (tylko XP i Me)
        support.microsoft.com/default.aspx?scid=kb;pl;310405
        Uruchom komputer w trybie awaryjnym:
        support.microsoft.com/default.aspx?scid=KB;PL;315222
        Po uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

        Uruchom ponownie HijackTHis wykonaj SCAN i zaznacz te pozycje:


        O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A

        Po zaznaczeniu wykonaj FIX CHECKED i potwierdź Tak/OK.

        W Panel Sterowania =>Opcje Internetowe usuń
        Tymczasowe pliki Internetowe (Wszystkie) i Cooki.

        Uruchom komputer normalnie.

        Odinstaluj jeden z programów antywirusowych np.AVG i zostaw AVAST.
        Dwa programy jednocześnie mogą się blokować.

        Włącz przywracanie systemu.

        BTW to miałeś jakieś problemy?
        Oprócz tego jednego wpisu nic specjalnego tu nie ma.
    • Gość: opo Re: hijackthis IP: *.neoplus.adsl.tpnet.pl 20.09.04, 19:22
      A wiec tak. Zrobilem jak poleciles i ...problem pozostal.

      A objawy? jak wpisuje nazwe strony, ktorej na bank nie ma, np.
      www.hdjhdhdj.com - nie ma komunikatu, ze strony nie lub sie otwiera, ale znane
      search for...

      Kiedys byly problemy, ze te search for otwieralo sie przy kazdej innej stronie,
      albo przekierowywalo na to. Po skanowaniu ad-awerami itd juz tego nie ma. Ale
      dziwne, ze TYLKO przy neostrada.pl nadal przekierowywuje na search for...

      I od paru dni w grach zauwazylem wyzsze pingi - np. normalnie byly ok 100,
      teraz jest 170-200. Ale przy sciagniu czegos z sieci, sciaga z normalna jak neo
      predkoscia 73 kb/s...

      I po Twoich radach, jeszcze raz zhijackowalem i oto log ponizej...

      Bladego pojecia nie mam co to moze byc... Boje sie, ze reintalacja systemu...
      Z góry dzieki za odp.

      Logfile of HijackThis v1.98.2
      Scan saved at 19:18:02, on 2004-09-20
      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      F:\Program Files\AVPersonal\AVGNT.EXE
      C:\WINDOWS\System32\ctfmon.exe
      f:\Program Files\AVPersonal\AVGUARD.EXE
      f:\Program Files\AVPersonal\AVWUPSRV.EXE
      C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\WINDOWS\System32\nvsvc32.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\Documents and Settings\Grzechu\Pulpit\cws\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      F:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [AVGCtrl] F:\Program Files\AVPersonal\AVGNT.EXE /min
      O4 - HKLM\..\Run: [ashMaiSv] f:\PROGRA~2\ALWILS~1\Avast4\ashmaisv.exe
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
      \NvCpl.dll,NvStartup
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
      res://F:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
      F:\PROGRA~2\MICROS~1\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
      C:\Program Files\Messenger\MSMSGS.EXE
      O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-
      00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
      O17 - HKLM\System\CCS\Services\Tcpip\..\{8D0F83A9-3A6A-4973-9179-517BA60AABDA}:
      NameServer = 194.204.152.34 217.98.63.164
      • netsec Re: hijackthis 20.09.04, 20:44

        Przejdź Panel sterowania => Połączenia sieciowe i internetowe => Opcje
        Internetowe zakładka Zaawansowane odszukaj pozycje
        "Wyszukaj przy użyciu paska adresu" i zaznacz poniżej
        "Nie wyszukuj z paska adresu" zatwierdź OK

        Ściągnij CWShredder 1.59.1
        www.softpedia.com/public/cat/10/17/10-17-150.shtml
        Ściagnij ten plik www.google.com/default.reg

        Uruchom komputer w trybie awaryjnym z wyłączonym przywracaniem
        Po uruchomieniu komputera w trybie awaryjnym, nie otwieraj Internet Explorera.

        Uruchom CwShredder i wykonaj FIX.

        Po tym kliknij plik default.reg i zaakceptuj zmiany.

        Odinstaluj w Panelu sterowania Dodaj/Usuń programy wszystkie
        programy, co do których nie masz pewności, że Ci są potrzebne.

        Uruchom komputer w normalny sposób.

        Powinno pomóc.
        • Gość: opo Re: hijackthis IP: *.neoplus.adsl.tpnet.pl 20.09.04, 22:08
          Zadzialalo, strony wstretne search for sie nie otwieraja,
          ale wspomniane pingi nadal wysokie.
          W kazdym razie, dzieki Ci wielkie
          pozdrawiam,
          dalej ide walczyc z pingami
          • netsec Re: hijackthis 21.09.04, 09:25
            Gość portalu: opo napisał(a):

            > Zadzialalo, strony wstretne search for sie nie otwieraja,
            > ale wspomniane pingi nadal wysokie.

            Ping to nie jest dobry pomiar na jakość łącza.
            Protokół ICMP w którym wysyłane są pakiety ping często mają ustawiony najniższy
            priorytet przesyłania, stąd przy dużym ruchu czasy odpowiedzi na ping mogą być
            duże co nie odpowiada bezpośrednio prędkości łącza w danej chwili.
            Ściągnij testowe pliki ze strony www.noc.gts.pl/ . Testowe pliki w
            różnych rozmiarach są na dole strony. Sprawdź z jaką prędkością są przesyłane.
            Myślę, że wszystko jest ok.
Pełna wersja