SpySheriff !! jejuu niech no ktos pomoze !

IP: 80.54.200.* 24.09.05, 11:00
zrobiłam te analize? z hijacka ale dalej neiw iem co wklejam coz wykazał


Logfile of HijackThis v1.98.2
Scan saved at 10:33:02, on 2005-09-24
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\winldra.exe
C:\windows\system32\mdms.exe
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\ctfmon.exe
C:\winstall.exe
C:\WINDOWS\system32\paytime.exe
C:\winstall.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\tool2.exe
C:\Program Files\WLAN\WConfig\WConfig.exe
C:\WINDOWS\system32\devldr32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\xxx\USTAWI~1\Temp\Rar$EX12.312\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} -
C:\WINDOWS\system32\appwiz.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Program Files\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [ Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [load32] C:\WINDOWS\system32\winldra.exe
O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: WConfig.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing

    • Gość: Kolobos Re: SpySheriff !! jejuu niech no ktos pomoze ! IP: *.warszawa.sdi.tpnet.pl 24.09.05, 12:23
      Nie mozna miec dwoch antyvirusow! Odinstaluj eScan

      Usun messengera:
      Start->Uruchom->Wpisz polecenie
      RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

      Przeskanuj tym:
      download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
      download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
      przeskanowaniu odinstaluj.
      Zamknij porty tym:
      www.firewallleaktester.com/tools/wwdc.exe

      Naprawa tapety:
      www.searchengines.pl/phpbb203/index.php?showtopic=31936


      Zakoncz w menadzerze zadan:
      C:\WINDOWS\system32\winldra.exe
      C:\windows\system32\mdms.exe
      C:\WINDOWS\system32\paytime.exe
      C:\winstall.exe
      C:\WINDOWS\system32\paytime.exe
      C:\winstall.exe
      C:\WINDOWS\tool2.exe
      C:\WINDOWS\tool2.exe
      A pliki usun.

      W hijackthis:

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
      195.95.218.172/index.php
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      195.95.218.172/index.php
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
      195.95.218.172/index.php
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
      195.95.218.172/index.php
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
      195.95.218.172/index.php
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
      195.95.218.172/index.php
      O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} -
      C:\WINDOWS\system32\appwiz.dll <- usun plik
      O4 - HKLM\..\Run: [load32] C:\WINDOWS\system32\winldra.exe <- usun plik
      O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe <- usun
      plik, reszta opisu usuwania tutaj:
      securityresponse.symantec.com/avcenter/venc/data/trojan.repsamo.html
      O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe <- usun plik
      O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe <- usun plik
      O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
      O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
      O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe <-
      odinstaluj/usun katalog.
      O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing <-
      uzyj www.cexx.org/LSPFix.exe i usun w nim mwtsp.dll ale nic innego nie
      ruszaj.


      Po wszystkim wklej nowy log.
      • Gość: pomocy!!! Re: SpySheriff !! jejuu niech no ktos pomoze ! IP: 80.54.200.* 24.09.05, 16:16
        Zakoncz w menadzerze zadan:
        > C:\WINDOWS\system32\winldra.exe
        > C:\windows\system32\mdms.exe
        > C:\WINDOWS\system32\paytime.exe
        > C:\winstall.exe
        > C:\WINDOWS\system32\paytime.exe
        > C:\winstall.exe
        > C:\WINDOWS\tool2.exe
        > C:\WINDOWS\tool2.exe
        NIE MOGĘ TEGO TAM W SPISIE ZNALEZ WŁACZAM MENADZERA CRL ALT I DELETE
        coz tam tego nie widze , mam wchodzic na menadzera gdzie indziej?
        ahmm oj nie wiem

        O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe <- usun
        > plik, - mianowicie jak , czy w notatniku do plik zapisuje go usunac i
        zapisac zmiany? czy gdzie usunełam z tamtad w zasadzie nei jestem swiadoma
        czy o to chodziło ;]
        ps. tapeta zniknela . krzyzyki tez wiec pewnie jest lepiej
        z góry thx za dlasze wskazowki
        • neder Re: SpySheriff !! jejuu niech no ktos pomoze ! 24.09.05, 16:37
          1. jesli danych procesów w menadżerze zadań nie ma to nie kombinuj tylko wywal
          te pliki (znaczy nie są w 'uzyciu' więc dadzą się usunąć)


          2. usunąć pliki znaczy wywalic je z kompa z podanych lokalizacji. nie wywalasz
          wpisu z notatnika bo to tylko log - zapis skanowania. ;/
      • neder Re: SpySheriff !! jejuu niech no ktos pomoze ! 24.09.05, 16:38
        a poradziłaś sobie z usuwaniem wpisów z HijackThis? Mam nadzieję, że tego tez
        nie chciałaś robić w notatniku ;P
        • Gość: pomocy Re: SpySheriff !! jejuu niech no ktos pomoze ! IP: 80.54.200.* 24.09.05, 17:38
          heheh nie poradziłam sobie jak sie je wywala z tego HijackaThis / yyyy
          jak ? /.. nie lekaj sie nie wywalałam z notatnika ;] wszystko ładnie
          chodzi juz... ale czuje ze gdzies się kryje
          • Gość: Kolobos Re: SpySheriff !! jejuu niech no ktos pomoze ! IP: *.warszawa.sdi.tpnet.pl 24.09.05, 17:39
            To teraz wklej nowy log z NOWEJ wersji hijackthis.
            • Gość: pomocy Re: SpySheriff !! jejuu niech no ktos pomoze ! IP: 80.54.200.* 24.09.05, 18:06
              Logfile of HijackThis v1.98.2
              Scan saved at 18:04:55, on 2005-09-24
              Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

              Running processes:
              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\system32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\System32\svchost.exe
              C:\WINDOWS\system32\LEXBCES.EXE
              C:\WINDOWS\system32\spoolsv.exe
              C:\WINDOWS\system32\LEXPPS.EXE
              C:\WINDOWS\Explorer.EXE
              C:\Program Files\Winamp\winampa.exe
              C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
              C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
              C:\windows\system32\mdms.exe
              C:\WINDOWS\system32\ctfmon.exe
              C:\Program Files\WLAN\WConfig\WConfig.exe
              C:\WINDOWS\system32\devldr32.exe
              C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
              C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
              C:\WINDOWS\system32\cisvc.exe
              C:\WINDOWS\system32\wuauclt.exe
              C:\WINDOWS\system32\cidaemon.exe
              C:\Program Files\Gadu-Gadu\gg.exe
              C:\Program Files\Internet Explorer\IEXPLORE.EXE
              C:\Program Files\Internet Explorer\iexplore.exe
              C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
              C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
              C:\Program Files\WinRAR\WinRAR.exe
              C:\DOCUME~1\xxx\USTAWI~1\Temp\Rar$EX00.632\HijackThis.exe

              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = o2.pl/
              R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
              195.95.218.172/index.php
              R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
              195.95.218.172/index.php
              R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
              C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
              O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} -
              C:\WINDOWS\system32\appwiz.dll
              O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
              O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
              O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
              O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
              O4 - HKLM\..\Run: [ Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
              O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
              O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
              AntiSpyware\gcasServ.exe"
              O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
              O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
              O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
              O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
              O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
              O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
              Office\Office\OSA9.EXE
              O4 - Global Startup: WConfig.lnk = ?
              O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
              Files\Adobe\Calibration\Adobe Gamma Loader.exe
              O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
              skaner.mks.com.pl/SkanerOnline.cab
              • neder Re: SpySheriff !! jejuu niech no ktos pomoze ! 24.09.05, 18:08
                miał być log z nowej wersji HJ, ta jest stara. www.mgregor.republika.pl
                -> tu tez masz opis jak potem usuwać 'złe' wpisy
                • Gość: nowy loG! Re: SpySheriff !! jejuu niech no ktos pomoze ! IP: 80.54.200.* 25.09.05, 11:03
                  Logfile of HijackThis v1.99.1
                  Scan saved at 11:01:59, on 2005-09-25
                  Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
                  MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                  Running processes:
                  C:\WINDOWS\System32\smss.exe
                  C:\WINDOWS\system32\winlogon.exe
                  C:\WINDOWS\system32\services.exe
                  C:\WINDOWS\system32\lsass.exe
                  C:\WINDOWS\system32\svchost.exe
                  C:\WINDOWS\System32\svchost.exe
                  C:\WINDOWS\system32\LEXBCES.EXE
                  C:\WINDOWS\system32\LEXPPS.EXE
                  C:\WINDOWS\Explorer.EXE
                  C:\WINDOWS\system32\spoolsv.exe
                  C:\Program Files\Winamp\winampa.exe
                  C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
                  C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
                  C:\windows\system32\mdms.exe
                  C:\WINDOWS\system32\ctfmon.exe
                  C:\Program Files\WLAN\WConfig\WConfig.exe
                  C:\WINDOWS\system32\devldr32.exe
                  C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
                  C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
                  C:\WINDOWS\system32\cisvc.exe
                  C:\Program Files\Internet Explorer\iexplore.exe
                  C:\Program Files\Gadu-Gadu\gg.exe
                  C:\WINDOWS\system32\wuauclt.exe
                  C:\Program Files\Internet Explorer\IEXPLORE.EXE
                  C:\WINDOWS\system32\cidaemon.exe
                  C:\Documents and Settings\xxx\Pulpit\hijackthis\HijackThis.exe

                  R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = o2.pl/
                  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
                  195.95.218.172/index.php
                  R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
                  195.95.218.172/index.php
                  R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
                  O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
                  C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
                  O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} -
                  C:\WINDOWS\system32\appwiz.dll
                  O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
                  O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
                  O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
                  O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
                  O4 - HKLM\..\Run: [ Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
                  O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe
                  O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
                  AntiSpyware\gcasServ.exe"
                  O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
                  O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
                  O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
                  O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
                  O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
                  O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                  Office\Office\OSA9.EXE
                  O4 - Global Startup: WConfig.lnk = ?
                  O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
                  Files\Adobe\Calibration\Adobe Gamma Loader.exe
                  O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                  skaner.mks.com.pl/SkanerOnline.cab
                  O20 - Winlogon Notify: drct16 - drct16.dll (file missing)
                  O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
                  C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
                  O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1
                  \Grisoft\AVGFRE~1\avgupsvc.exe
                  O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
                  C:\WINDOWS\system32\LEXBCES.EXE

                  • Gość: Kolobos Re: SpySheriff !! jejuu niech no ktos pomoze ! IP: *.warszawa.sdi.tpnet.pl 25.09.05, 11:18
                    No co Ty nam tu wklejasz? zarty sobie robisz? Przeciez mialas usunac wpisy,
                    ktore podalem i pliki tez i co? wklejasz nam znowu to samo? heh.
                    Jak juz zrobisz wszystko co napisalem wczesniej to wklej nowy log.
                    • Gość: wdzięczna Re: SpySheriff !! jejuu niech no ktos pomoze ! IP: *.ab / *.internetdsl.tpnet.pl 25.09.05, 15:37
                      Mnie się też przytrafiło, to znaczy ktoś korzystający z mojego komputera
                      zainfekował mi go tym paskudztwem.
                      Skorzystałam z Waszych porad i wirusa ununęłam.
                      Dziękuję.
                      Nie mogę sobie tylko poradzić z tapetą i nadal jest ta z ostrzeżeniem,
                      wkurzająca.
                      • neder Re: SpySheriff !! jejuu niech no ktos pomoze ! 25.09.05, 15:45
                        przecież podawany był kilka razy link do opisu jak tapetę usunąć (spysheriff)
Pełna wersja