log hijackthis

IP: *.internetdsl.tpnet.pl 12.03.06, 15:37
wyskoczyla informacja o zarazeniu komputera 29 spyware, nie wiem, co mozna usunac, dlatego prosze o pomoc, ja nie znam sie na komputerach prawie wcale, a kolezanka, ktorej to jest komputer zna sie jeszcze mniej, wiec bardzo prosze o pomoc, z gory dziekuje

Logfile of HijackThis v1.99.1
Scan saved at 15:29:05, on 2006-03-12
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\PROGRAM FILES\COMMON FILES\YDP\USERACCESSMANAGER\useraccess.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\winstall.exe
C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\SpySheriff\SpySheriff.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\Documents and Settings\Małgosia\Pulpit\hijackthis\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.mail.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
F3 - REG:win.ini: load=C:\YDPDict\watch.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - C:\WINDOWS\System32\amcis2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\System32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2860028F-2941-47D2-AECB-FB7F874A0FB8}: NameServer = 194.204.159.1,194.204.152.34
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Securom User Access for Windows 2000 and Windows XP a technology by Sony DADC (UserAccess) - Unknown owner - C:\PROGRAM FILES\COMMON FILES\YDP\USERACCESSMANAGER\useraccess.exe

    • Gość: k Re: log hijackthis IP: *.warszawa.sdi.tpnet.pl 12.03.06, 16:09
      W menadzerze zadan zakoncz:
      C:\winstall.exe
      C:\Program Files\SpySheriff\SpySheriff.exe

      W hijackthis usun:
      F2 - REG:system.ini: Shell=explorer.exe
      "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
      O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} -
      C:\WINDOWS\System32\amcis2.dll <- usun plik
      O4 - HKLM\..\Run: [Omnipage] C:\Program Files\ScanSoft\OmniPageSE\opware32.exe
      O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe <- usun plik
      O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
      Folders\ibm00001.exe" <- usun plik
      O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe <-
      usun katalog SpySheriff
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
      00aa003c157a} - C:\WINDOWS\web\related.htm
      O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1
      \MSNMES~1\msgrapp.dll" (file missing)

      Tapete tez masz zepsuta?

      Zrob skan tym:
      linorg.ciagri.usp.br/ftp/pub/windows/anti-spyware/ssfsetup1_0.exe
      download.ewido.net/ewido-setup.exe
      Przed skanowaniem zrob update definicji, po przeskanowaniu odinstaluj oba
      programy.
      • Gość: ania Re: log hijackthis IP: *.internetdsl.tpnet.pl 12.03.06, 17:30
        dzialam wg Twoich wytycznych. Skanujac EWIDO znajduje mi takie cos: REGISTRY: HKLM/SOFTWARE/Aureate/V3/Media/131092, Infection: Adware.Aureate Czy kasowac wszystkie podobne? Dzieki i wybacz jezeli to sa prymitywne pytania
        • Gość: k Re: log hijackthis IP: *.warszawa.sdi.tpnet.pl 12.03.06, 17:58
          Tak.
          • Gość: ania Re: log hijackthis IP: *.internetdsl.tpnet.pl 12.03.06, 21:48
            a czy cos takiego tez usunac, znalezione przez EWIDO:
            File: C:\WINDOWS\kl1.exe, Infection: Logger.Small.dg
            File: C:\WINDOWS\tool2.exe, Infection: Not-A-Virus.Hoax.Win32.Renos.bw

            i dodatkowo jeszcze raz do sprawdzenia, dziekuje bardzo za pomoc, jestem bardzo wdzieczna :)

            Logfile of HijackThis v1.99.1
            Scan saved at 21:47:31, on 2006-03-12
            Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\system32\spoolsv.exe
            C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            C:\Program Files\Alwil Software\Avast4\ashServ.exe
            C:\WINDOWS\System32\nvsvc32.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\explorer.exe
            C:\PROGRAM FILES\COMMON FILES\YDP\USERACCESSMANAGER\useraccess.exe
            C:\WINDOWS\system32\ntvdm.exe
            C:\WINDOWS\SOUNDMAN.EXE
            C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
            C:\Program Files\QuickTime\qttask.exe
            C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
            C:\WINDOWS\System32\ctfmon.exe
            C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
            C:\Program Files\SEC\Natural Color\NaturalColorLoad.exe
            C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
            C:\WINDOWS\System32\wuauclt.exe
            C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
            C:\Program Files\Opera\Opera.exe
            C:\Documents and Settings\Małgosia\Pulpit\hijackthis\hijackthis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.mail.yahoo.com/
            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            F3 - REG:win.ini: load=C:\YDPDict\watch.exe
            O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
            O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
            O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
            O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
            O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
            O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
            O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
            O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
            O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot
            O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\System32\PCLECoInst.dll",CheckUSBController
            O4 - HKLM\..\Run: [USBToolTip] "C:\Program Files\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
            O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
            O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
            O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
            O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
            O4 - Global Startup: NaturalColorLoad.lnk = ?
            O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
            O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
            O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
            O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - messenger.msn.com/download/MsnMessengerSetupDownloader.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{2860028F-2941-47D2-AECB-FB7F874A0FB8}: NameServer = 194.204.159.1,194.204.152.34
            O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
            O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
            O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
            O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
            O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
            O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
            O23 - Service: Securom User Access for Windows 2000 and Windows XP a technology by Sony DADC (UserAccess) - Unknown owner - C:\PROGRAM FILES\COMMON FILES\YDP\USERACCESSMANAGER\useraccess.exe


            • Gość: k Re: log hijackthis IP: *.warszawa.sdi.tpnet.pl 12.03.06, 22:03
              > a czy cos takiego tez usunac, znalezione przez EWIDO:
              > File: C:\WINDOWS\kl1.exe, Infection: Logger.Small.dg
              > File: C:\WINDOWS\tool2.exe, Infection: Not-A-Virus.Hoax.Win32.Renos.bw

              Tak.

              W hijackthis usun jeszcze to:
              O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
              • Gość: zainteresowana Re: log hijackthis IP: *.internetdsl.tpnet.pl 16.03.06, 08:24
                Ja przy okazji z pytaniem ;)
                Otoz przy pomocy hijackthis wyskoczyly mi logi i usunelam sobie pozycje 17 bo
                zobaczylam Name Server 2 IP i wydawalo mi sie, ze ktos jest podpiety do mojego
                komputera :P Teraz jak przegladam net, zauwazylam,ze Ania ma w tej pozycje
                dokladnie takie same IP i domyslilam sie,ze pewnie wyrzucilam sobie cos
                potrzebnego.Mozecie mnie uswiadomic co ja takiego narobilam i co stracilam ?:(
                Dzieki
                • kolobos Re: log hijackthis 16.03.06, 09:36
                  Name Server to jaka sama nazwa wskazuje server nazw (DNS) ktory zmienia IP na
                  nazwe domenowa i odwrotnie.
                  Ustaw sobie w opcjach sieciowych adresy jakie mialas wczesniej i po problemie :-
                  )
                  • Gość: zainteresowana Re: log hijackthis IP: *.internetdsl.tpnet.pl 16.03.06, 09:57
                    Kolobos - serdecznie dziekuje za odpowiedz, bo juz bylam wystraszona,ze
                    wyrzucilam z kompa cos, co bedzie mi niezbedne.Jednak chce dodac,ze po
                    usunieciu poz.17 stracilam dostep do internetu,zawiesil sie komp.i po 4
                    godzinach doszlam do tego,ze w miejscu,gdzie byly wpisane cyferki serwera DNS
                    jest pusto.Po uzupelnieniu tego, wszystko wrocilo do normy :)

                    Przepraszam,ze pisze "niefachowo", no ale gdybym sie znala na kompach,nie
                    zadawalabym takich pytan :D Mam nadzieje,ze wiesz o co mi chodzi ;)
                    Jeszcze raz dziekuje i pozdrawiam :)
Pełna wersja