Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    Cos chyba wpuscilem na komp - prosba o weryfikacje

    09.03.06, 13:24
    Wiatm. Cos chyba (nawet na pewno)wpuscilem do komputera przy okazji
    instalowania innego programu z sieci - program odinstalowalem, przeskanowalem
    Spybotem, Scannerem ETD, Ad-awarem, wyczyscilem co wydawlao sie zbedne
    Registry-cleanerem ale dalej siedzi. Mam podejrzenia ale gdyby ktos z Was
    mogl rzucic okiem jeszcze na loga ponizej - objawy sa takie ze mi nagle
    rozne reklamowe strony sie "same" otwieraja
    Aha - wszsytko co zawiera "qeyfinanse" jest OK !

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\S24EvMon.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
    C:\WINDOWS\system32\cisvc.exe
    C:\Program Files\Symantec AntiVirus\DefWatch.exe
    C:\WINDOWS\System32\DVDRAMSV.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\System32\RegSrvc.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\TOSHIBA\TME3\Tmesrv31.exe
    C:\WINDOWS\system32\cidaemon.exe
    C:\WINDOWS\system32\ZCfgSvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\1XConfig.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\System32\igfxtray.exe
    C:\WINDOWS\System32\hkcmd.exe
    C:\WINDOWS\System32\00THotkey.exe
    C:\WINDOWS\system32\TFNF5.exe
    C:\Program Files\TOSHIBA\Program narzędziowy TOSHIBA Zooming
    Utility\SmoothView.exe
    C:\Program Files\SigmaTel\SigmaTel AC97 Audio Drivers\stacmon.exe
    C:\Program Files\Apoint2K\Apoint.exe
    C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
    C:\WINDOWS\LTSMMSG.exe
    C:\WINDOWS\system32\TPSMain.exe
    C:\Program Files\TOSHIBA\TME3\TMERzCtl.EXE
    C:\Program Files\TOSHIBA\TOSHIBA Controls\TFncKy.exe
    C:\Program Files\TOSHIBA\TME3\TMEEJME.EXE
    C:\WINDOWS\system32\dla\tfswctrl.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\PROGRA~1\SYMANT~1\VPTray.exe
    C:\Program Files\safe-share\SafeShare.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\TPSBattM.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Apoint2K\Apntex.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\WINDOWS\system32\RAMASST.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\administrator.QEY\Pulpit\Security\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.gazeta.pl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    file:///C:\Program Files\TOSHIBA\Free Update Service\splash.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext =
    support.sonic.com/download/mediaplayer/defaul.asp?lang=ENU
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
    Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
    Files\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} -
    C:\WINDOWS\system32\dla\tfswshx.dll
    O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program
    Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program
    files\google\googletoolbar1.dll
    O2 - BHO: (no name) - {CDB6E519-AB81-FD4B-F3FC-F79B3EAA1D84} - C:\DOCUME~1
    \ADMINI~1.QEY\DANEAP~1\STYLEO~1\creative bat.exe
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
    files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06
    \bin\jusched.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
    O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
    O4 - HKLM\..\Run: [SmoothView] C:\Program Files\TOSHIBA\Program narzędziowy
    TOSHIBA Zooming Utility\SmoothView.exe
    O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\SigmaTel AC97
    Audio Drivers\stacmon.exe
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
    O4 - HKLM\..\Run: [TouchED] C:\Program Files\TOSHIBA\TouchED\TouchED.Exe
    O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
    O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
    O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program Files\TOSHIBA\TME3
    \TMESRV31.EXE /Logon
    O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Program Files\TOSHIBA\TME3
    \TMERzCtl.EXE /Service
    O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
    O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Program
    Files\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
    O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec
    Shared\ccApp.exe"
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
    O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32
    \mobsync.exe /logon
    O4 - HKLM\..\Run: [Unshare] C:\Program Files\safe-share\SafeShare.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -
    atboottime
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
    Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software
    Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [barb deaf date default] C:\Documents and Settings\All
    Users\Dane aplikacji\Onlinedrawbarbdeaf\Shim win.exe
    O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1
    \NEWDOT~2.DLL,ClientStartup -s
    O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SoftPop] C:\DOCUME~1\ADMINI~1.QEY\DANEAP~1\REGSSL~1\POKE
    ROAD.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program
    Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:\Program
    Files\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
    Office\Office\OSA9.EXE
    O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
    O4 - Global Startup: Szybkie uruchamianie programu Microsoft Office OneNote
    2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Program
    Files\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://C:\Program
    Files\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://C:\Program
    Files\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program
    Files\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
    res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O8 - Extra context menu item: Similar Pages - res://C:\Program
    Files\Google\GoogleToolbar1.dll/cmsimilar.html
    Obserwuj wątek
      • kolobos Re: Cos chyba wpuscilem na komp - prosba o weryfi 09.03.06, 14:00
        Log sie nie zmiescil wiec doklej reszte, ale zgaduje, ze masz look2me.

        Zakoncz proces:
        C:\Program Files\safe-share\SafeShare.exe

        W hijackthis usun:
        R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext =
        support.sonic.com/download/mediaplayer/defaul.asp?lang=ENU
        O2 - BHO: (no name) - {CDB6E519-AB81-FD4B-F3FC-F79B3EAA1D84} - C:\DOCUME~1
        \ADMINI~1.QEY\DANEAP~1\STYLEO~1\creative bat.exe <- usun plik lub katalog
        Styleo~1
        O4 - HKLM\..\Run: [Unshare] C:\Program Files\safe-share\SafeShare.exe <- usun
        katalog safe-share
        O4 - HKLM\..\Run: [barb deaf date default] C:\Documents and Settings\All
        Users\Dane aplikacji\Onlinedrawbarbdeaf\Shim win.exe <- usun katalog Online...
        O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1
        \NEWDOT~2.DLL,ClientStartup -s <- odinstaluj newdotnet
        O4 - HKCU\..\Run: [SoftPop] C:\DOCUME~1\ADMINI~1.QEY\DANEAP~1\REGSSL~1\POKE
        ROAD.exe <- usun katalog REG...

        Zrob skan tym:
        linorg.ciagri.usp.br/ftp/pub/windows/anti-spyware/ssfsetup1_0.exe
        download.ewido.net/ewido-setup.exe
        Przed skanowaniem zrob update definicji, po przeskanowaniu odinstaluj oba
        programy.
        • gladiusz Re: Ale się porobiło ;) 09.03.06, 18:41
          • gladiusz Re: Cd Loga 09.03.06, 18:42
            O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
            v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106134849434
            O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
            download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
            O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = qeyfinanse.pl
            O17 - HKLM\Software\..\Telephony: DomainName = qeyfinanse.pl
            O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = qeyfinanse.pl
            O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = qeyfinanse.pl

            • Gość: k Re: Cd Loga IP: *.warszawa.sdi.tpnet.pl 09.03.06, 21:06
              Inne programy dzialaja czy tez nie?
              Sciagnij i uruchom sobie:
              www.kellys-korner-xp.com/regs_edits/exefix.reg
              Po co wklejasz ten sam log? Miales usunac to podalem, czemu tego nie zrobiles?!

              + do kasacji jeszcze to:
              O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
              O9 - Extra button: Messenger (HKLM)
              O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
              • gladiusz Re: Cd Loga 09.03.06, 22:44
                Sie nie denerwuj. Czuje sie opieprzony ale mam prawo do bledu ;) To blad
                sprawil ze wkleilem to co wkleilem. Tak czy inaczej: przepraszam.
                Z IE sobie poradzilem reszte tez wykasowalem poza POKEROAD.EXE bo zadna przeze
                mnie posiadana siła nie chce tego ruszyć. Ale po wykasowaniu pozostalych
                rzeczy problem zniknął.
                Poza tym Safeshare zostało bo to nie to bylo problemem - mam to od dluzszego
                czasu i uzywam i nie bylo "niespodzianek"
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.
    Wybrane treści z serwisu Sport.pl są dostępne po wykupieniu płatnej subskrypcji