Logfile of HijackThis v1.99.1
Scan saved at 13:30:01, on 2005-07-30
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\SYSTEM32\qttask.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\trala\USTAWI~1\Temp\Katalog tymczasowy 17 dla hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rmfclassic.pl/index.html?a=repertuar
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM32\qttask.exe" -atboottime
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
Z tego, co widzę ciągle siedzi to about:blanc (ale nie ma tego żadnych objawów - strony startowe są takie, jak ustawiłam)
Z góry (i dołu) dzięki.
detektyw
(Qbek50)
30 Lipiec 2005 11:33
#2
na oko czysty
Złączono Posta : 30.07.2005 (Sob) 13:37
ciachnij kosmetycznie:
ciachałam już kila razy. Jest ciachoodporny.
musg
(Musg)
30 Lipiec 2005 11:56
#4
banzai_bin:
Jest ciachoodporny.
nie jest
podczas usuwania wylacz przywracanie systemu
prawoklik na moj komputer>> wlasciwosci >>system i odptaszkuj przywracanie systemu,nastepnie usuwasz wpis z hijacka
boczi
(boczi)
30 Lipiec 2005 12:02
#5
Do tego drobna kosmetyka
PS Jeśli sama ustawiałaś about:blank w IE, to jest OK, w przeciwnym razie zrób jak radzą przedmówcy.
Start -> uruchom -> msconfig możesz odznaczyć:
realsched.exe
qttask.exe
Adobe Gamma Loader.exe
Dodatkowo, Real Player i QuickTime Player możesz zastąpić lżejszymi odpowiednikami - kodekami:
http://amnezja.org/modules.php?name=New … e&sid=3511
banzai
(Aaaaanka)
30 Lipiec 2005 14:14
#6
[sarcasm] ■■■■! Nie wpadłabym na to! [/sarcasm]
Daruj, dobrze wiem, że trzeba to zaznaczyć. A ten wpis ciągle wraca.
boczi
(boczi)
30 Lipiec 2005 14:16
#7
banzai:
A ten wpis ciągle wraca.
Usuwasz w trybie awaryjnym [F8]?
Czyli to ustawiło się samo?
Zrób skan CWShredder, powinien wykryć i usunąć:
http://dobreprogramy.pl/index.php?dz=2&t=82&id=657
PS Piszesz z dwóch kont…
detektyw
(Qbek50)
30 Lipiec 2005 14:32
#8
banzai - to jest tylko kosmetyka - nie musisz tego usuwać :!:
:shock:
nowy log:
Logfile of HijackThis v1.99.1
Scan saved at 17:45:10, on 2005-07-30
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\trala\USTAWI~1\Temp\Katalog tymczasowy 18 dla hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rmfclassic.pl/index.html?a=repertuar
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
CWShredder nic nie wykrył, a about:blanc wrócił na swoje miejsce (w tr. awaryjnym, jak robiłam drugi scan po usunięciu - nie było. Czyli wrócił po restarcie. Oczywiście cały czas mam zaznaczone “wyłącz przywracanie systemu”). Może, skoro to niegroźne, zostawić?
a co to powoduje? (Poza tym, ze po restarcie otwiera się okno konfiguracji systemu)
detektyw
(Qbek50)
30 Lipiec 2005 15:52
#10
banzai_bin
daj se spokój z tym about:blank
to są programy które po starcie sysa się uruchamiają. Można je wyłączyć, jak chcesz 8)
boczi
(boczi)
30 Lipiec 2005 15:52
#11
Log czysty.
A co masz, jak uruchamiasz Internet Explorer?
Po prostu pustą stronę, jak tu?
http://img163.imageshack.us/img163/8798/ddd3kv.jpg
Masz możliwości konfiguracji strony startowej w Narzędzia -> Opcje internetowe?
Jeśli tak, to jest ok. I zostaw.
Bo sprawdź, co będzie, jak zmienisz stronę startową w IE, czy wpis w logu się zmieni.
banzai_bin:
a co to powoduje?
Mniej zbędników, zbędnych aktualizatorów etc. uruchamianych przy starcie systemu a co za tym idzie mniejsze obciążenie RAM.
Gdy będzie ten komunikat, “zaptasz” i więcej się już nie pokaże.
detektyw
(Qbek50)
30 Lipiec 2005 15:53
#12
no bo nie masz żadnego trojana CWS about:blank 8)
zatem dzięki wszystkim za pomoc
Złączono Posta : 30.07.2005 (Sob) 17:58
mam stronę, którą sobie ustawiłam (i która też jest w logu):
http://www.rmfclassic.pl/index.html?a=playlista