Bardzo proszę o prewencyjne spr. loga


(Lila) #1
Logfile of HijackThis v1.99.1

Scan saved at 13:30:01, on 2005-07-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\SYSTEM32\qttask.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\DOCUME~1\trala\USTAWI~1\Temp\Katalog tymczasowy 17 dla hijackthis.zip\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rmfclassic.pl/index.html?a=repertuar

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM32\qttask.exe" -atboottime

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EPUWALControl_v1-0-3-18.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

Z tego, co widzę ciągle siedzi to about:blanc (ale nie ma tego żadnych objawów - strony startowe są takie, jak ustawiłam)

Z góry (i dołu) dzięki.


(Qbek50) #2

na oko czysty :slight_smile:

Złączono Posta : 30.07.2005 (Sob) 13:37

ciachnij kosmetycznie:


(Lila) #3

ciachałam już kila razy. Jest ciachoodporny.


(Musg) #4

nie jest :slight_smile:

podczas usuwania wylacz przywracanie systemu

prawoklik na moj komputer>> wlasciwosci >>system i odptaszkuj przywracanie systemu,nastepnie usuwasz wpis z hijacka :slight_smile:


(boczi) #5

Do tego drobna kosmetyka :slight_smile:

PS Jeśli sama ustawiałaś about:blank w IE, to jest OK, w przeciwnym razie zrób jak radzą przedmówcy.

Start -> uruchom -> msconfig możesz odznaczyć:

realsched.exe

qttask.exe

Adobe Gamma Loader.exe

Dodatkowo, Real Player i QuickTime Player możesz zastąpić lżejszymi odpowiednikami - kodekami:

http://amnezja.org/modules.php?name=New ... e&sid=3511


(Aaaaanka) #6

[sarcasm] Shit! Nie wpadłabym na to! [/sarcasm]

Daruj, dobrze wiem, że trzeba to zaznaczyć. A ten wpis ciągle wraca.


(boczi) #7

Usuwasz w trybie awaryjnym [F8]?

Czyli to ustawiło się samo?

Zrób skan CWShredder, powinien wykryć i usunąć:

PS Piszesz z dwóch kont... :stuck_out_tongue:


(Qbek50) #8

banzai - to jest tylko kosmetyka - nie musisz tego usuwać :!:

:shock:


(Lila) #9

nowy log:

Logfile of HijackThis v1.99.1

Scan saved at 17:45:10, on 2005-07-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\trala\USTAWI~1\Temp\Katalog tymczasowy 18 dla hijackthis.zip\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rmfclassic.pl/index.html?a=repertuar

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EPUWALControl_v1-0-3-18.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

CWShredder nic nie wykrył, a about:blanc wrócił na swoje miejsce (w tr. awaryjnym, jak robiłam drugi scan po usunięciu - nie było. Czyli wrócił po restarcie. Oczywiście cały czas mam zaznaczone "wyłącz przywracanie systemu"). Może, skoro to niegroźne, zostawić?

a co to powoduje? (Poza tym, ze po restarcie otwiera się okno konfiguracji systemu)


(Qbek50) #10

banzai_bin

daj se spokój z tym about:blank

to są programy które po starcie sysa się uruchamiają. Można je wyłączyć, jak chcesz 8)


(boczi) #11

Log czysty.

A co masz, jak uruchamiasz Internet Explorer?

Po prostu pustą stronę, jak tu?

Masz możliwości konfiguracji strony startowej w Narzędzia -> Opcje internetowe?

Jeśli tak, to jest ok. I zostaw.

Bo sprawdź, co będzie, jak zmienisz stronę startową w IE, czy wpis w logu się zmieni.

Mniej zbędników, zbędnych aktualizatorów etc. uruchamianych przy starcie systemu a co za tym idzie mniejsze obciążenie RAM.

Gdy będzie ten komunikat, "zaptasz" i więcej się już nie pokaże.


(Qbek50) #12

no bo nie masz żadnego trojana CWS about:blank 8)


(Lila) #13

zatem dzięki wszystkim za pomoc :slight_smile:

Złączono Posta : 30.07.2005 (Sob) 17:58

mam stronę, którą sobie ustawiłam (i która też jest w logu):

http://www.rmfclassic.pl/index.html?a=playlista