mam/miałem Spy Falcona-wklejam loga

IP: *.devs.futuro.pl 21.02.06, 01:17
Mam/miałem problem ze spyaxe. Przeczytałem większość wątkow tego dotyczących
na forum, postąpiłem zgodnie ze wskazówkami (ewido,SmitRem, Fix.reg etc).
Najbardziej widoczne objawy Spy Falcona zniknely, ale ewido jednak ciagle cos
znajduje..
Uprzejma prośba o sprawdzenie loga.
Dzieki
Logfile of HijackThis v1.99.1
Scan saved at 01:12:22, on 2006-02-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Program Files\AntiVirenKit 2005 trial\AVKService.exe
C:\WINDOWS\system32\carpserv.exe
C:\Program Files\AntiVirenKit 2005 trial\AVKWCtl.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\HPQ\One-Touch\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\Common Files\G DATA\AVKMail\AVKPOP.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\pawel\LOCALS~1\Temp\Rar$EX02.417\HijackThis.exe
C:\Program Files\Internet Explorer\iexplore.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
qus8l.hpwis.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
qus8l.hpwis.com/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
C:\WINDOWS\Downloaded Program Files\googlenav.dll
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe
c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook
Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\HP Share-
to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [System32] "user32.exe" -user
O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\Hotbar\bin\4.5.3.0
\WeatherOnTray.exe
O4 - HKLM\..\Run: [WinTimer] "C:\WINDOWS\system32\msupdate.cmd"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Program Files\Common Files\G
DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Konektor.lnk = C:\Program Files\Konektor\Konektor.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program
Files\Microsoft Office\Office\1045\OLFSNT40.EXE
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded
Program Files\googlenav.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded
Program Files\googlenav.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page -
res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded
Program Files\googlenav.dll/cmsimilar.html
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-
49c8-9F63-900533FAFE14} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} -
c:\Program Files\Microsoft Money\System\mnyside.dll (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-
4a96-8D08-02B42891C169} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=qus8l.hpwis.com
O15 - Trusted Zone: arcaonline.arcabit.com
O15 - Trusted Zone: www.mks.com.pl
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) -
toolbar.google.com/data/pl/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140478869197
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
www.mks.com.pl/skaner/SkanerOnline.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1
\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32
\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. -
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program
Files\AntiVirenKit 2005 trial\AVKService.exe
O23 - Service: AVK Monitor (AVKWCtl) - Unknown owner - C:\Program
Files\AntiVirenKit 2005 trial\AVKWCtl.exe
O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-
Packard - C:\WINDOWS\system32\HPConfig.exe
O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program
Files\HPQ\Notebook Utilities\HPWirelessMgr.exe


    • Gość: k Re: mam/miałem Spy Falcona-wklejam loga IP: *.warszawa.sdi.tpnet.pl 21.02.06, 01:44
      Usun:
      O4 - HKLM\..\Run: [System32] "user32.exe" -user <- usun plik user32.exe
      O4 - HKLM\..\Run: [WeatherOnTray] C:\Program Files\Hotbar\bin\4.5.3.0
      \WeatherOnTray.exe <- odinstaluj i usun katalog hotbar
      O4 - HKLM\..\Run: [WinTimer] "C:\WINDOWS\system32\msupdate.cmd" <- usun plik
      O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-
      49c8-9F63-900533FAFE14} - C:\WINDOWS\System32\shdocvw.dll
      O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} -
      c:\Program Files\Microsoft Money\System\mnyside.dll (file missing)
      O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-
      4a96-8D08-02B42891C169} - C:\WINDOWS\System32\shdocvw.dll
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1
      \MSNMES~1\msgrapp.dll" (file missing)
    • wwwandal1 Re: mam/miałem Spy Falcona-wklejam loga 21.02.06, 10:58

      • kolobos Re: mam/miałem Spy Falcona-wklejam loga 21.02.06, 12:13
        Przeciez napisal, ze juz skorzystal.
        • Gość: PR Re: mam/miałem Spy Falcona-wklejam loga IP: *.neoplus.adsl.tpnet.pl 21.02.06, 14:22
          Dzieki wielkie, wieczorem usune, co trzeba i wkleje loga raz jeszcze.
          I jeszcze cos - probuje od paru dni wejsc na strone, która wielokrotnie jest
          wskazywana na forum jako miejsce, gdzie mozna znaleźc opis, jak usuwać rozne
          syfy (np www.searchengines.pl/phpbb203/index.php?showtopic=31936). Po otwarciu
          strony ukazuje sie komunikat, że trwa przerwa konserwacyjna, a po chwili laduje
          sie strona domow studenckich:) Wpisania w wyszukiwarke na tej stronie szukanego
          hasla tez niewiele daje.
          Czy cos jest nie tak ze strona czy ze mna?
          • neder Re: mam/miałem Spy Falcona-wklejam loga 21.02.06, 14:27
            mają tam na forum jakąś przerwę ;) ale rozwiązaniem jest znalezienie kopii tej
            stronki w google. Będzie bez obrazków, ale i tak wszystko jest jasno opisane ;)
            • Gość: PR Re: mam/miałem Spy Falcona-wklejam loga IP: *.neoplus.adsl.tpnet.pl 21.02.06, 14:42
              Dzieki.
              • Gość: PR Re: mam/miałem Spy Falcona-wklejam loga IP: *.devs.futuro.pl 21.02.06, 19:26
                A oto log obecny (ewido juz nic nie znajduje)
                Czy wszystko juz ok?
                Dzieki.


                Logfile of HijackThis v1.99.1
                Scan saved at 19:22:59, on 2006-02-21
                Platform: Windows XP SP2 (WinNT 5.01.2600)
                MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

                Running processes:
                C:\WINDOWS\System32\smss.exe
                C:\WINDOWS\system32\winlogon.exe
                C:\WINDOWS\system32\services.exe
                C:\WINDOWS\system32\lsass.exe
                C:\WINDOWS\system32\Ati2evxx.exe
                C:\WINDOWS\system32\svchost.exe
                C:\WINDOWS\System32\svchost.exe
                C:\WINDOWS\Explorer.EXE
                C:\WINDOWS\system32\spoolsv.exe
                C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
                C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
                C:\Program Files\ewido anti-malware\ewidoctrl.exe
                C:\Program Files\ewido anti-malware\ewidoguard.exe
                C:\WINDOWS\system32\carpserv.exe
                C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
                C:\Program Files\HPQ\One-Touch\OneTouch.EXE
                C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
                C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
                C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
                C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
                C:\WINDOWS\system32\ctfmon.exe
                C:\WINDOWS\system32\HPConfig.exe
                C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
                C:\WINDOWS\System32\svchost.exe
                C:\Program Files\WinRAR\WinRAR.exe
                C:\DOCUME~1\pawel\LOCALS~1\Temp\Rar$EX01.631\HijackThis.exe
                C:\Program Files\Internet Explorer\iexplore.exe

                R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
                qus8l.hpwis.com
                R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
                R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =
                qus8l.hpwis.com/
                O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} -
                C:\WINDOWS\Downloaded Program Files\googlenav.dll
                O4 - HKLM\..\Run: [CARPService] carpserv.exe
                O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
                O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
                Panel\atiptaxx.exe
                O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe
                c:\hp\drivers\printers\photosmart\setup.exe -d
                O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
                O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook
                Utilities\hptasks.exe /s
                O4 - HKLM\..\Run: [QT4HPOT] C:\Program Files\HPQ\One-Touch\OneTouch.EXE
                O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
                O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
                O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe
                O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\HP Share-to-
                Web\hpgs2wnd.exe
                O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
                O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
                O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
                O4 - Startup: Konektor.lnk = C:\Program Files\Konektor\Konektor.exe
                O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
                Files\Adobe\Calibration\Adobe Gamma Loader.exe
                O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                Office\Office\OSA9.EXE
                O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program
                Files\Microsoft Office\Office\1045\OLFSNT40.EXE
                O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\Downloaded
                Program Files\googlenav.dll/cmsearch.html
                O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\Downloaded
                Program Files\googlenav.dll/cmbacklinks.html
                O8 - Extra context menu item: Cac&hed Snapshot of Page -
                res://C:\WINDOWS\Downloaded Program Files\googlenav.dll/cmcache.html
                O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\Downloaded
                Program Files\googlenav.dll/cmsimilar.html
                O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-
                9F63-900533FAFE14} - C:\WINDOWS\System32\shdocvw.dll
                O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-
                4a96-8D08-02B42891C169} - C:\WINDOWS\System32\shdocvw.dll
                O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
                C:\Program Files\Messenger\msmsgs.exe
                O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
                00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
                O14 - IERESET.INF: START_PAGE_URL=qus8l.hpwis.com
                O15 - Trusted Zone: arcaonline.arcabit.com
                O15 - Trusted Zone: www.mks.com.pl
                O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) -
                toolbar.google.com/data/pl/big/1.1.62-big/GoogleNav.cab
                O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
                update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140478869197
                O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
                www.mks.com.pl/skaner/SkanerOnline.cab
                O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32
                \Ati2evxx.exe
                O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. -
                C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
                O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1
                \Grisoft\AVGFRE~1\avgupsvc.exe
                O23 - Service: ewido security suite control - ewido networks - C:\Program
                Files\ewido anti-malware\ewidoctrl.exe
                O23 - Service: ewido security suite guard - ewido networks - C:\Program
                Files\ewido anti-malware\ewidoguard.exe
                O23 - Service: HP Configuration Interface Service (HPConfig) - Hewlett-Packard -
                C:\WINDOWS\system32\HPConfig.exe
                O23 - Service: HPWirelessMgr - Hewlett-Packard Co. - C:\Program
                Files\HPQ\Notebook Utilities\HPWirelessMgr.exe

                • neder Re: mam/miałem Spy Falcona-wklejam loga 21.02.06, 19:31
                  Wygląda ok. Porobiłabym na Twoim miejscu trochę porządków w autostarcie.

                  pzdr
                  • Gość: PR Re: mam/miałem Spy Falcona-wklejam loga IP: *.devs.futuro.pl 21.02.06, 19:44
                    Chetnie to zrobie, czy mozesz mną jakos pokierowac?
                    • neder Re: mam/miałem Spy Falcona-wklejam loga 21.02.06, 19:51
                      zbędne sa chociażby:
                      O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
                      O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
                      O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe
                      O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\HP Share-to-
                      Web\hpgs2wnd.exe
                      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common
                      Files\Adobe\Calibration\Adobe Gamma Loader.exe
                      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
                      Office\Office\OSA9.EXE
                      • Gość: PR Re: mam/miałem Spy Falcona-wklejam loga IP: *.devs.futuro.pl 21.02.06, 19:53
                        Czyli moge je spokojnie usunac?
                        I to wszystko?
                        Dzieki.
    • wwwandal1 Re: mam/miałem Spy Falcona-wklejam loga 22.02.06, 07:10

Pełna wersja