Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    Proszę o sprawdzenie loga

    IP: *.neoplus.adsl.tpnet.pl 30.01.07, 17:48
    Od jakiegoś czasu same otwierają mi się dziwne strony internetowe, pop-upy i
    dostaję dziwne maile...Niedawno Avast wykrył konia trojańskiego w kilku
    plikach i wyświetla mi się to co kilka minut, zawsze daję usuń plik. Wszystko
    się zamyka, a po 30 sek. otwierają się strony o wiadomej tematyce...Za kilka
    minut to samo...Wklejam loga:

    Logfile of HijackThis v1.99.1
    Scan saved at 17:46:28, on 07-01-30
    Platform: Windows 98 SE (Win9x 4.10.2222A)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\SPOOL32.EXE
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
    C:\WINDOWS\SYSTEM\LEXBCES.EXE
    C:\WINDOWS\SYSTEM\RPCSS.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\CMMPU.EXE
    C:\WINDOWS\SYSTEM\INTERNAT.EXE
    C:\WINDOWS\TASKMON.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAM FILES\NEOSTRADA TP\CNXMON.EXE
    C:\PROGRAM FILES\NEOSTRADA TP\TASKBARICON.EXE
    C:\WINDOWS\SYSTEM\PRINTRAY.EXE
    C:\WINDOWS\SYSTEM\LXSUPMON.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
    C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
    C:\WINDOWS\SYSTEM\QTTASK.EXE
    C:\WINDOWS\LOADQM.EXE
    C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\PL-PL\MSNAPPAU.EXE
    C:\WINDOWS\V6.EXE
    C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
    C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\PROGRAM FILES\NEOSTRADA TP\NEOSTRADATP.EXE
    C:\PROGRAM FILES\NEOSTRADA TP\COMCOMP.EXE
    C:\PROGRAM FILES\NEOSTRADA TP\WATCH.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    C:\PROGRAM FILES\GADU-GADU\GG.EXE
    C:\WINDOWS\PULPIT\HIJACKTHIS\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
    szukaj.wp.pl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    www.neostrada.pl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada
    TP
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
    C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
    F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
    O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
    C:\PROGRAM FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\PL-PL\MSNTB.DLL
    O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN
    APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
    C:\WINDOWS\SYSTEM\MSDXM.OCX
    O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM
    FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\PL-PL\MSNTB.DLL
    O4 - HKLM\..\Run: [internat.exe] internat.exe
    O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
    O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
    powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
    O4 - HKLM\..\Run: [LexStart] Lexstart.exe
    O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
    O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
    O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4
    \ASHWEBSV.EXE
    O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN
    Apps\Updater\01.02.3000.1001\pl-pl\msnappau.exe"
    O4 - HKLM\..\Run: [syswin] C:\WINDOWS\V6.EXE
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
    powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4
    \ashServ.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN
    Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray
    O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840
    \dslmon.exe
    O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
    Office\Office\OSA9.EXE
    O4 - Startup: QuickShelf Deutsch 3.0.lnk = C:\Program Files\Microsoft
    Nachschlagewerke\LexiROM 3.0\QS97D.EXE
    O15 - Trusted Zone: *.p0rt2.com
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
    Class) - acs.pandasoftware.com/activescan/as5free/asinst.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) -
    software-dl.real.com/236acac3338dc4ef9e19/netzip/RdxIE601.cab
    O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    www.www2.p0rt2.com/files/epl85.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193423} -
    www.www2.p0rt2.com/files/777.cab
    Obserwuj wątek
      • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.escom.net.pl 30.01.07, 21:09
        alt+ctrl+del i zakoncz:
        C:\WINDOWS\V6.EXE

        W hjt usun:
        O4 - HKLM\..\Run: [syswin] C:\WINDOWS\V6.EXE
        O15 - Trusted Zone: *.p0rt2.com
        O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
        O16 - DPF: {33331111-1111-1111-1111-615111193427} -
        www.www2.p0rt2.com/files/epl85.cab
        O16 - DPF: {33331111-1111-1111-1111-611111193423} -
        www.www2.p0rt2.com/files/777.cab

        Przeskanuj tez system przy pomocy SpyBot S&D.
        • Gość: Madzik Re: Proszę o sprawdzenie loga - log "po" IP: *.neoplus.adsl.tpnet.pl 30.01.07, 22:55
          Usunęłam w hjt wszystko, co było napisane. Ściągnęłam SpyBot S&D i
          przeskanowałam, a potem usunęłam znalezione pliki (mam nadzieję, że dobrze
          zrobiłam...?) Teraz log wygląda tak:


          Logfile of HijackThis v1.99.1
          Scan saved at 22:58:06, on 07-01-30
          Platform: Windows 98 SE (Win9x 4.10.2222A)
          MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

          Running processes:
          C:\WINDOWS\SYSTEM\KERNEL32.DLL
          C:\WINDOWS\SYSTEM\MSGSRV32.EXE
          C:\WINDOWS\SYSTEM\SPOOL32.EXE
          C:\WINDOWS\SYSTEM\MPREXE.EXE
          C:\WINDOWS\SYSTEM\MSTASK.EXE
          C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
          C:\WINDOWS\SYSTEM\LEXBCES.EXE
          C:\WINDOWS\SYSTEM\RPCSS.EXE
          C:\WINDOWS\SYSTEM\mmtask.tsk
          C:\WINDOWS\EXPLORER.EXE
          C:\WINDOWS\SYSTEM\CMMPU.EXE
          C:\WINDOWS\SYSTEM\INTERNAT.EXE
          C:\WINDOWS\TASKMON.EXE
          C:\WINDOWS\SYSTEM\SYSTRAY.EXE
          C:\PROGRAM FILES\NEOSTRADA TP\CNXMON.EXE
          C:\PROGRAM FILES\NEOSTRADA TP\TASKBARICON.EXE
          C:\WINDOWS\SYSTEM\PRINTRAY.EXE
          C:\WINDOWS\SYSTEM\LXSUPMON.EXE
          C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
          C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
          C:\WINDOWS\SYSTEM\QTTASK.EXE
          C:\WINDOWS\LOADQM.EXE
          C:\PROGRAM FILES\MSN APPS\UPDATER\01.02.3000.1001\PL-PL\MSNAPPAU.EXE
          C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE
          C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
          C:\WINDOWS\SYSTEM\WMIEXE.EXE
          C:\WINDOWS\SYSTEM\RNAAPP.EXE
          C:\WINDOWS\SYSTEM\TAPISRV.EXE
          C:\PROGRAM FILES\NEOSTRADA TP\NEOSTRADATP.EXE
          C:\PROGRAM FILES\NEOSTRADA TP\COMCOMP.EXE
          C:\PROGRAM FILES\NEOSTRADA TP\WATCH.EXE
          C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
          C:\WINDOWS\SYSTEM\PSTORES.EXE
          C:\WINDOWS\PULPIT\HIJACKTHIS\HIJACKTHIS.EXE

          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
          szukaj.wp.pl
          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          www.neostrada.pl/
          R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
          R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
          C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
          F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
          O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM
          FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\PL-PL\MSNTB.DLL
          O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\PROGRAM FILES\MSN
          APPS\ST\01.03.0000.1005\EN-XU\STMAIN.DLL
          O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program
          Files\Spybot - Search & Destroy\SDHelper.dll
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
          C:\WINDOWS\SYSTEM\MSDXM.OCX
          O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAM
          FILES\MSN APPS\MSN TOOLBAR\01.02.5000.1021\PL-PL\MSNTB.DLL
          O4 - HKLM\..\Run: [internat.exe] internat.exe
          O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
          O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
          O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
          O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe
          powrprof.dll,LoadCurrentPwrScheme
          O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
          O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
          O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
          O4 - HKLM\..\Run: [LexStart] Lexstart.exe
          O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
          O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\SYSTEM\LXSUPMON.EXE RUN
          O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
          O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
          O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
          O4 - HKLM\..\Run: [LoadQM] loadqm.exe
          O4 - HKLM\..\Run: [msnappau] "c:\program files\MSN Apps\Updater\01.02.3000.1001
          \pl-pl\msnappau.exe"
          O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe
          powrprof.dll,LoadCurrentPwrScheme
          O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
          O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4
          \ashServ.exe
          O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN
          Messenger\MsnMsgr.Exe" /background
          O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray
          O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
          O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
          Office\Office\OSA9.EXE
          O4 - Startup: QuickShelf Deutsch 3.0.lnk = C:\Program Files\Microsoft
          Nachschlagewerke\LexiROM 3.0\QS97D.EXE
          O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
          acs.pandasoftware.com/activescan/as5free/asinst.cab
          O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - software-
          dl.real.com/236acac3338dc4ef9e19/netzip/RdxIE601.cab

          • Gość: Kolobos Re: Proszę o sprawdzenie loga - log "po" IP: *.escom.net.pl 31.01.07, 01:37
            Nowy log nie jest potrzebny, sama widzisz, ze tego co podalem juz nie ma.
        • Gość: Madzik Re: Proszę o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 31.01.07, 16:45
          Wszystko niby wygląda ok, ale dziś znów dostałam kilka dziwnych maili (na
          skrzynkę na Neostradzie, jak przedtem)...Przypomniałam też sobie, że kiedyś
          instalowałam a-squared...Przeskanowałam nim dziś komputer i log wygląda tak:


          a-squared Free - Version 2.1

          Scan settings:
          Objects: Memory, Traces, Cookies, C:\
          Scan archives: On
          Heuristics: On
          ADS Scan: On
          Scan start: 07-01-29 15:53:50


          C:\WINDOWS\SYSTEM\ActiveScan\sporder.dll detected: Trojan-
          Downloader.Win32.Agent.avq

          C:\WINDOWS\SYSTEM\eid.exe detected: Trojan-Downloader.Win32.Mediket.dq

          C:\WINDOWS\Temporary Internet Files\Content.IE5\8K2YP91N\ied_[1].exe
          detected: Trojan-Downloader.Win32.Mediket.dq

          C:\WINDOWS\Temporary Internet Files\Content.IE5
          \RRTNV1OW\eied_s7_851].cab/eied_s7_c_85.exe detected: Trojan-
          Downloader.Win32.Mediket.dq

          C:\WINDOWS\Temporary Internet Files\Content.IE5\0PA7K5E3\epl85[1].cab/epl.exe
          detected: Heuristic.Dialer

          C:\WINDOWS\internt.exe detected: Heuristic.Dialer

          C:\eied_s7_c_85bf2.exe detected: Trojan-Downloader.Win32.Mediket.dq

          C:\eied_s7.cab/eied_s7_c_85.exe detected: Trojan-Downloader.Win32.Mediket.dq



          Co to za pliki? Czy to jakieś trojany, które wczoraj nie zostały usunięte??Mogę
          wszystkie te pliki usunąć??






          • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.escom.net.pl 31.01.07, 18:55
            Spam to normalna rzecz.
            Mozesz usunac to co wykrylo.
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.