log z hijack-a prosze o sprawdzenie :)

IP: *.neoplus.adsl.tpnet.pl 11.07.05, 20:32
problem nastepujacy:
twardy po sformatowaniu
klade wina
klade firewalla bardzo pobieznego
i zaraz wirus
prosze o pomoc




Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\mouse.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [mouse] mouse.exe
O4 - HKLM\..\RunServices: [mouse] mouse.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search &
Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
800-840\dslmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121105608737
O17 -
HKLM\System\CCS\Services\Tcpip\..\{153073A3-F363-4E15-B280-6C781A8EEEA9}:
NameServer = 194.204.152.34 217.98.63.164
O17 -
HKLM\System\CS2\Services\Tcpip\..\{01E35DE6-A5E2-4658-AB45-8B7155405CAE}:
NameServer = 194.204.152.34 217.98.63.164





    • Gość: Kolobos Re: log z hijack-a prosze o sprawdzenie :) IP: *.warszawa.sdi.tpnet.pl 11.07.05, 21:03
      Gdzie jest poczatek log'a? Zainstaluj aktauzlizacje i anryvirus:
      www.avast.com/eng/avast_4_home.html
      W hijackthis do kasacji to:
      O4 - HKLM\..\Run: [mouse] mouse.exe
      O4 - HKLM\..\RunServices: [mouse] mouse.exe

      Plik mouse.exe usuwasz z dysku, zaraziles sie nim przez otoczenie sieciowe.
      www.sophos.com/virusinfo/analyses/w32rbotahj.html
      • Gość: and Re: log z hijack-a prosze o sprawdzenie :) IP: *.neoplus.adsl.tpnet.pl 11.07.05, 21:09
        Plik mouse.exe usuwasz z dysku, zaraziles sie nim przez otoczenie sieciowe.
        www.sophos.com/virusinfo/analyses/w32rbotahj.html
        rozumiem ze to otoczenie omijac z daleka...
        antywira zaczalem sciagac czekajac na odp - szczesliwie wlasnie tego :)
        oczywiscie patrzac na forum po leczeniu przesle kontrolni hijacka i zdam sprawe
        jak wyglada sytuacja
    • Gość: and Re: log z hijack-a prosze o sprawdzenie :) IP: *.neoplus.adsl.tpnet.pl 11.07.05, 21:25
      niestety wciaz wyswietla sie komunikat ze niby jest blad w systemie
      komunikat poslaniec... odwiedz strone, pobierz z niej, popraw rejestr... itd -
      przy ponownym uruchomieniu kompa i skandisku wyskoczyl znow taki komunikat...
      anywir nic nie lapie
      spybot nic nie lapie
      microsoft nie lapie
      mks nie lapi
      ale swinstwo siedzi

      to jest wypisik z hijacka


      Logfile of HijackThis v1.99.1
      Scan saved at 21:21:10, on 2005-07-11
      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
      C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
      C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
      C:\WINDOWS\system32\cmd.exe
      C:\WINDOWS\System32\wuauclt.exe
      C:\WINDOWS\System32\winssh.exe
      C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
      C:\hijackthis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
      C:\PROGRA~1\SPYBOT~1\SDHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [Network Access] winssh.exe
      O4 - HKLM\..\RunServices: [Network Access] winssh.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search &
      Destroy\TeaTimer.exe
      O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
      800-840\dslmon.exe
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links -
      {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
      update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121105608737
      O17 - HKLM\System\CCS\Services\Tcpip\..\{153073A3-F363-4E15-B280-6C781A8EEEA9}:
      NameServer = 194.204.152.34 217.98.63.164
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashWebSv.exe" /service (file missing)

      • Gość: Kolobos Re: log z hijack-a prosze o sprawdzenie :) IP: *.warszawa.sdi.tpnet.pl 11.07.05, 22:43
        Uzyj tego i zamknij porty oraz wylacz messengera:
        www.firewallleaktester.com/tools/wwdc.exe
        I juz nic nie powinno wyskoczyc z Poslanca.

        I nastepny syf do usuniecia:
        O4 - HKLM\..\Run: [Network Access] winssh.exe
        O4 - HKLM\..\RunServices: [Network Access] winssh.exe
        Plik oczywiscie usuwasz.
        + to:
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        C:\WINDOWS\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links -
        {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

        • Gość: and Re: log z hijack-a prosze o sprawdzenie :) IP: *.neoplus.adsl.tpnet.pl 11.07.05, 23:08
          historia jest dluga i zawila, ale efekt koncowy jest cudowny! dziekuje bardzo w
          imieniu specjalisty ktory juz zbiegl!
    • Gość: and Re: log z hijack-a prosze o sprawdzenie :) IP: *.neoplus.adsl.tpnet.pl 11.07.05, 21:35
      jeden z komunikatow (sa dwa)
      registry error
      microsoft Windows has encountered an Internet Error
      Your Windows registry is corrupt
      this system may become unstable

      visit www.pcregfix.com to repair

      jak wyswietli sie drugi to tez przepisze moze to cos ulatwi
      • Gość: ald Re: log z hijack-a prosze o sprawdzenie :) IP: *.neoplus.adsl.tpnet.pl 11.07.05, 21:49
        o przepraszam jest jeszcze jeden mis
        ...
        e-regclean.com
    • Gość: and Re: log z hijack-a prosze o sprawdzenie :) IP: *.neoplus.adsl.tpnet.pl 11.07.05, 21:40
      o a to drugi

      Komunikat od SYSTEM dla ALERT ...
      STOP! WIDOWS REQUIRES IMMEDIATE ATTENTION
      windows has found critical system errors
      to fix the errors please do the following:

      1. Download Registry Repair from www.reg-patch.com
      2. Install Registry Repair
      3. Run Registry Repair
      4. Reboot your computer

      Failure to act now may lead to system failure!



      wczesniej przedostawaly sie przez system same i blokowaly kompa teraz oparte sa
      o spybota - nie daj pozwolenia na zmiany w rejestrze... + microsoft spywer...
      + spywareblaster...
    • Gość: and Re: log z hijack-a prosze o sprawdzenie :) IP: *.neoplus.adsl.tpnet.pl 11.07.05, 21:54
      no jednak jest troche ich...
      chyba nie bede pisal.... bo i tak co 5 min sie wyswietla... w kazdym razie w
      jednym typie...
Pełna wersja