Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    Sprawdzenie loga z HijackThis

    20.11.05, 18:14
    Logfile of HijackThis v1.99.1
    Scan saved at 18:09:15, on 2005-11-20
    Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\explorer.exe
    C:\WINDOWS\SERVICES.EXE
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\winstall.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
    C:\WINDOWS\SERVICES.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Zbigniew\Pulpit\hijackthis\HijackThis.exe
    C:\Program Files\Microsoft AntiSpyware\gcasServAlert.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    www.google.pl/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    c:\secure32.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    c:\secure32.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32
    \userinit.exe,,C:\WINDOWS\SERVICES.EXE
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
    C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
    C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
    Shared\ccApp.exe"
    O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
    Shared\Security Center\UsrPrmpt.exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1
    \SNDMon.exe /Consumer
    O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client
    Access\cwbsvstr.exe"
    O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client
    Access\cwbinhlp.exe"
    O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client
    Access\cwbckver.exe" LOGIN
    O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program
    Files\IBM\Client Access\cwbwlwiz.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft
    AntiSpyware\gcasServ.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
    Folders\ibm00001.exe"
    O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
    res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
    C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O12 - Plugin for .spop: C:\Program Files\Internet
    Explorer\Plugins\NPDocBox.dll
    O15 - Trusted Zone: www.archiviosex.net
    O15 - Trusted Zone: www.redfunny.com
    O15 - Trusted Zone: www.skymasters.biz
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
    Validation Tool) - go.microsoft.com/fwlink/?linkid=39204
    O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll
    O20 - Winlogon Notify: URL - C:\WINDOWS\system32\lv8o09l3e.dll
    O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} -
    C:\WINDOWS\System32\okgbanoi.dll (file missing)
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec
    Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
    Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32
    \IDriverT.exe
    O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec
    Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) -
    Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton
    AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
    C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
    Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation -
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program
    Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

    Obserwuj wątek
      • Gość: k Re: Sprawdzenie loga z HijackThis IP: *.warszawa.sdi.tpnet.pl 20.11.05, 18:24
        Zakoncz procesy:
        C:\WINDOWS\SERVICES.EXE
        C:\winstall.exe
        C:\WINDOWS\SERVICES.EXE

        W hijackthis:

        R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        c:\secure32.html
        R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
        c:\secure32.html
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
        c:\secure32.html
        R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
        c:\secure32.html
        R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
        c:\secure32.html <- usun plik
        F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
        F2 - REG:system.ini: UserInit=C:\WINDOWS\system32
        \userinit.exe,,C:\WINDOWS\SERVICES.EXE
        O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE <- usun plik
        O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
        Folders\ibm00001.exe" <- usun plik
        O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe <- usun plik
        O15 - Trusted Zone: www.archiviosex.net
        O15 - Trusted Zone: www.redfunny.com
        O15 - Trusted Zone: www.skymasters.biz <- uzyj:
        www.searchengines.pl/phpbb203/index.php?act=Attach&type=post&id=459
        O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll <- usun
        plik
        O20 - Winlogon Notify: URL - C:\WINDOWS\system32\lv8o09l3e.dll <- uzyj
        uninstallera stad:
        www.pchell.com/support/look2me.shtml
        Jakby dalej wyskakiwaly strony z reklamami to sciagnij:
        www.downloads.subratam.org/l2mfix.exe uruchom l2mfix.bat wybierz opcje
        #1, a log ktory sie utworzy wyslij mi na maila -> kolobos1@gazeta.pl
        O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} -
        C:\WINDOWS\System32\okgbanoi.dll (file missing)

        I skan tym:
        download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
        przeskanowaniu odinstaluj.

        Po wszystkim nowy log.

        • przemo2310 Re: Sprawdzenie loga z HijackThis 20.11.05, 20:20
          Dzięki,za poprzednie porady,ale z kolegą jesteśmy totalnymi laikami w sprawach
          komputerowych, a zainfekowalismy firmowy komputer i nie bardzo nam idzie
          usuwanie tych problemów.Skanowaliśmy kompa programem Microsoft AntiSpyware
          Notice i cały czas pokazuje nam że w C:\Windows\services.exe jest jakiś Trojan
          chyba,bo cały czas pokazuje się okno o zablokowaniu tego wirusa w tym pliku, a
          usunąć się go nie da.Pomocy, bo inaczej zwolnią nas z pracy.
          • Gość: Kolobos Re: Sprawdzenie loga z HijackThis IP: *.warszawa.sdi.tpnet.pl 20.11.05, 20:54
            Przeciez wszystko Ci napisalem, nie musisz sie znac na komputerach zeby
            przeczytac co napisalem i sie zastosowac.
            Prawoklik na pasku starta i wybierasz menadzer zadan tam zakoncz to co podalem
            i dopiero usuwaj.
            • Gość: przemo2310 Re: Sprawdzenie loga z HijackThis IP: 212.244.154.* 20.11.05, 21:03
              Ale właśnie w tym jest problem,że nie możemy zkończyć procesu SERVICES.EXE,
              pojawia się komunikat, że to jest krytyczny proces systemu i nie może go
              zakończyć.Sorry że zawracamy głowę.
              • Gość: k Re: Sprawdzenie loga z HijackThis IP: *.warszawa.sdi.tpnet.pl 20.11.05, 21:11
                To jest proces systemowy, ale Ty masz zakonczyc tego nalezacego do trojana, a
                nie ten nalazacy do systemu.
                Najlepiej sciagnij killbox (z google) zaznacz w nim delete on reboot, wybierz
                ten services.exe z katalogu windowsa i po resecie go juz nie bedzie.
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.