Sprawdzenie Loga

przez **LucaS** » 17 Sie 2006, 18:45

Nie chce zakładać nowego tematu,bo i po co skoro już taki zakładałem ;-)

Dziś nałapałem w cholere spyware'u i kilka trojanów. Wszystko usunełem na szczęscie. Rejestr poczyściłem kilkoma programami (RegCleaner, Registry Mechanic, RegSupreme). Również w systemowym edytorze rejesttru pousuwałem pozostałości. Przy okazji odinstalowałem Toolbara google dla IE, który sie zainstalowałe z Irfan View

Oto log:

Kod: Zaznacz wszystko: Logfile of HijackThis v1.99.1 Scan saved at 18:39:31, on 2006-08-17 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSExplorer.EXE C:WINDOWSsystem32spoolsv.exe C:Program FilesSunbelt SoftwarePersonal Firewallkpf4ss.exe C:Program FilesUnlockerUnlockerAssistant.exe D:ProgramyAutoConnectAutoConnect.exe C:WINDOWSSystem32 vsvc32.exe D:ProgramyAlcohol SoftAlcohol 120StarWindStarWindService.exe C:Program FilesSAGEMSAGEM F@st 800-840dslmon.exe C:Program FilesSunbelt SoftwarePersonal Firewallkpf4gui.exe C:Program FilesSunbelt SoftwarePersonal Firewallkpf4gui.exe D:ProgramyKonnektkonnekt.exe C:Documents and SettingsŁukaszPulpitHijackThis.exe R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = F2 - REG:system.ini: Shell= O3 - Toolbar: (no name) - {8E718888-423F-11D2-876E-00A0C9082467} - (no file) O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O4 - HKLM..Run: [UnlockerAssistant] "C:Program FilesUnlockerUnlockerAssistant.exe" O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup O4 - HKCU..Run: [AutoConnect] D:ProgramyAutoConnectAutoConnect.exe O4 - Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 800-840dslmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_04in pjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_04in pjpi150_04.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm O17 - HKLMSystemCCSServicesTcpip..{F36543CB-6C4D-4FEC-8D2D-7A293DB5F57E}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:Program FilesSunbelt SoftwarePersonal Firewallkpf4ss.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32 vsvc32.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:ProgramyAlcohol SoftAlcohol 120StarWindStarWindService.exe

Wydaje mi się czysty, ale wole się upwnić.

Jest kilka pustych kluczy (?) i nie wiem jak je usunąć. Próbowałem w regedit ale dalej są:

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =
F2 - REG:system.ini: Shell=
O3 - Toolbar: (no name) - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

Z góry dzięki za pomoc

LucaS Gdzie ukosniki ? //// POPRAW

niunka

przez **1jaa** » 17 Sie 2006, 18:51

Robisz w awaryjnym?
Po drugie musisz usnąć jeszcze to:

Kod: Zaznacz wszystko: O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm czyli to usuń C://WINDOWS/web/related.htm

przez **pp3088** » 17 Sie 2006, 18:52

Witaj!

Hmm log czysty, mam tylko podjerzenia do tego vsvc32.exe hmm zbyt duża pdobność do nvsvc32.exe

Co do tych wpisów to te dwa z noname to prawdopodobnie należa do spybota sam takie mam. Te wpisy bez strony startowej ja usuwam metodą fix i działa. Co do shella wygląda na walke z ibm. Czy tak było??

przez **banan** » 17 Sie 2006, 18:53

taki jakiś krótki ten log...

Po 1 to zainstaluj SP2

Po 2: delete:

F2 - REG:system.ini: Shell=
O3 - Toolbar: (no name) - {8E718888-423F-11D2-876E-00A0C9082467} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

widze znów

Kod: Zaznacz wszystko: C:WINDOWSExplorer.EXE

czyli skan ewido

aha jeszcze jedno: usun unlucker assistanta ze startu

przez **LucaS** » 17 Sie 2006, 19:25

Robisz w awaryjnym?

Usuwałem cały spyware itp w awaryjnym, o tych pustych nie pomyslalem

Co do shella wygląda na walke z ibm. Czy tak było??

hehe, tak

Po 1 to zainstaluj SP2

podziękuje

aha jeszcze jedno: usun unlucker assistanta ze startu

też podziękuje

LucaS Gdzie ukosniki ? //// POPRAW

niunka

Był, ale jak tu wkleiłem to widocznie zniknely, nie tylko u mnie tak widziałem, ze nie bylo :]

Co do tych wpisów to te dwa z noname to prawdopodobnie należa do spybota sam takie mam

nie używam spybota

Tylko Ad-aware. Ale są one najprawdopodobniej od Google Toolbara, który mi się zainstalował z Irfna View.

przez **Mac** » 17 Sie 2006, 19:55

pp3088 napisał(a):Witaj!

Hmm log czysty, mam tylko podjerzenia do tego vsvc32.exe hmm zbyt duża pdobność do nvsvc32.exe

Po prostu w logu wsysło n bo nie ma procesu nsvc32.exe. Daj se siana z tym wyciąganiem literówek. Jestes przewrażliwiony i chcesz pokazać jaki to jesteś pro. Zupełnie jak Kaczyński z tymi swoimi ochroniarzami z teczkami tudzież MP5 w rękach.

przez **pp3088** » 17 Sie 2006, 20:34

Mówiłem ci już Mac nie bulwersuj się. I nie wiem czemu się czepiasz, widać nie wiesz ile znaczy jedna litera, trudno. Ja wiem swoje jak może to byc niebezpieczne i nie potrzebuje ci tego udowadniać. Widać to, że ktoś chce komuś pomóc jest problemem, nie wiem z jakiego powodu, może sam chcesz wdzieczności za pomoc, albo bycia pro, bo wież mi bycie pro, mieć wiecej postów, wiecej wiedzy i dzięki temu być lepszym nie wystepują w moim cenniku wartości. Przykro mi, że musze się powtarzać, myślałem, że wyjaśniliśmy sprawe na pw, ale jednak niestety nie.

przez **niunka** » 17 Sie 2006, 21:33

Po 1 to zainstaluj SP2

podziękuje

Blad !

aha jeszcze jedno: usun unlucker assistanta ze startu

też podziękuje

nie rozumiem po co w autostarcie :roll:

Gdzie masz antywiara ?

przez **LucaS** » 17 Sie 2006, 23:56

niunka napisał(a):Gdzie masz antywiara ?

Na płycie

Kerio + Anty Spyware + Zdrowy rozsądek mi starcza.
Te Spyware złapałem przez chwile nie uwagi, gdy wyłączyłem Kerio na moment, aby pograc w gre przez hamachi. Lecz hamachi się aktualizowało i chyba tamtą drogą się dostały

Zresztą, testowałem już multum antywirusów, ale KAŻDY zmulał niemiłosiernie mojego kochanego złoma :sad:

niunka napisał(a):nie rozumiem po co w autostarcie

Hmm, moze zadab pytanie:
Czy jak wyłącze unlockera z autostartu, to wtedy gdy przy usuwaniu jakiegos pliku pojawi mi się, że nie mozna usunąc - unlocker sam sie właczy :?:

Mało pamięci zżera ten Asystent więc go pozostawiłem.

Blad !

Dla mnie nie błąd. Mam złe doświadczenia z SP2

Ale nie bede sie rozpisywał

przez **banan** » 18 Sie 2006, 00:52

unlocker sie włącza, ale to jest assistant-całkowicie nie potrzebny

SP2 to już twoja sprawa.

Z AntyVirem to wsumie rozumiem

przez **niunka** » 18 Sie 2006, 07:42

Unlockera masz w prawokliku myszki,usuwajac mozesz odrazu usuwac przez unlockera.

SP2 instaluje sie na swiezo zainstalowanym systemie.
A najlepiej miec zintegrowanego juz z SP2,albo samemu zintegrowac.

Zaden Firewall,zaden antyspy ani zdrowy rozsadek nic nie da jezeli bedziesz mial pecha i sciagniesz plik z niespodzianka.
Inaczej mowiac jak narazie miales naprawde szczescie.

przez **Mac** » 18 Sie 2006, 19:40

pp3088 napisał(a):Mówiłem ci już Mac nie bulwersuj się. I nie wiem czemu się czepiasz, widać nie wiesz ile znaczy jedna litera, trudno. Ja wiem swoje jak może to byc niebezpieczne i nie potrzebuje ci tego udowadniać. Widać to, że ktoś chce komuś pomóc jest problemem, nie wiem z jakiego powodu, może sam chcesz wdzieczności za pomoc, albo bycia pro, bo wież mi bycie pro, mieć wiecej postów, wiecej wiedzy i dzięki temu być lepszym nie wystepują w moim cenniku wartości. Przykro mi, że musze się powtarzać, myślałem, że wyjaśniliśmy sprawe na pw, ale jednak niestety nie.

Jakby był proces nvsvc32.exe dobra. Ale go nie ma. Więc wsysło. Proste. Wiedz se swoje ale jesteś ostro przewrażliwiony i widać z daleka że antywirusa zbyt często nie używałeś/używasz. A to jest głupota i szczerze mówiąc debilizm. Podobność nie oznacza że trzeba podnosić alarm. Trzeba sprawdzić czy proces do którego ten jest podobny jest czy go nie ma, jak go nie ma wsysło literę. Jeszcze wiele znacząca przerwa w logu. Kóniec.

przez **pp3088** » 18 Sie 2006, 19:48

Nie wiem jak można pisać nie sprawdzone informacje. Sam zobacz http://www.liutilities.com/products/win ... y/nvsvc32/ . Po za tym profesjonalny program, za jakiego używam i wy z pewnością takżę nie powinien scinać literek

Nie wiem na jakiej podstawie sugerujesz, że choruję na debilizm bez żadnego wzglądu w moje dokumenty. A antywirusa nie używam prawie w ogóle bo sam sobie radze i żebyś wiedział. "Głupotą nie jest brak wiedzy, ale brak chęci jej poznania" i to wyjątkowo teraz ilustruje sytuacje.

przez **Mac** » 18 Sie 2006, 20:06

1.Dobrze wiem co to za proces. I zanim to napisałem sprawdziłem pare rzeczy.

LucaS napisał(a):GeForce 2 MX 100/200 32MB

Cytat z drugiej strony tego tematu
Jakby miał radka albo cos innego byłyby też stery od tego ustrojstwa.

2.Program nie uciął literek po prostu przy kopiowaniu/wysyłaniu na forum zdarzają sie takie błedy.

3.Brak antywirusa jest dowodem głupoty i debilizmu(jak stracisz kasy trochę z tego powodu przypomnisz sobie moje słowa). Reagujesz to co widzisz w procesach i rejestrze. A wiedz że wirusy są jeszcze bardziej chytre i potrafią sie pod cos podszyć i wysyłać poufne dane a ty nawet o tym nie będziesz wiedział.

przez **pp3088** » 18 Sie 2006, 20:54

3.Brak antywirusa jest dowodem głupoty i debilizmu(jak stracisz kasy trochę z tego powodu przypomnisz sobie moje słowa). Reagujesz to co widzisz w procesach i rejestrze. A wiedz że wirusy są jeszcze bardziej chytre i potrafią sie pod cos podszyć i wysyłać poufne dane a ty nawet o tym nie będziesz wiedział

Znów jakieś domysły i insynuacje. pisałem, że rzadko używam, a nie, że nie mam. Mam i cały czas jest włączony. Poprotsu codzienny update i scan raz na miesiac i nigdy nic nie wykrywa.

Jakby był proces nvsvc32.exe dobra. Ale go nie ma

Nie wiem jak dla innych ale jak dla mnie brzmi to jakbyś mówił, że taki proces nie istnieje.

Hmm nie wiem nie zdarzyło mi się jeszce, żeby coś ucieło na innych forach. Jesteście wyjątkowi czy co?

Następna sprawa piszesz, że nie istnieje taki proces, a potem, że istnieje. Za dużo postów do pisania?? Zawody jakieś czy co?? Bo się gubisz.

Sprawdzenie Loga

Sprawdzenie Loga

Kto jest na forum