patrol69
2 Kwiecień 2005 12:02
#1
z gory dzieki wielkie
oto log:
Logfile of HijackThis v1.99.1
Scan saved at 14:01:36, on 2005-04-02
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programki\Panda Antivirus Platinum\pavsrv51.exe
C:\Programki\Panda Antivirus Platinum\AVENGINE.EXE
C:\Programki\Panda Antivirus Platinum\apvxdwin.exe
C:\WINDOWS\Explorer.EXE
C:\Programki\Overnet0,53a\Overnet.exe
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Pass\MediaPassK.exe
C:\Programki\Gadu-Gadu\gg.exe
C:\Programki\JTV\JTVRemote.exe
C:\Program Files\Media Pass\MediaPass.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Programki\Panda Antivirus Platinum\pavProxy.exe
C:\Programki\JTV\JTV.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programki\Ad-aware 6\Ad-watch.exe
C:\Programki\totalcmd\TOTALCMD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
c:\Internet\do wypakowania\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programki\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programki\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Overnet] C:\Programki\Overnet0,53a\Overnet.exe -t
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programki\Gadu-Gadu\gg.exe" /tray
O4 - Startup: JTVRemote.lnk = C:\Programki\JTV\JTVRemote.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://tdt.org.pl/popup/tdt.chm::/bridge-c18.cab
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programki\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programki\Panda Antivirus Platinum\pavsrv51.exe
boczi
2 Kwiecień 2005 12:17
#2
Wejdź w tryb awaryjnym z wyłączonym przywracaniem systemu. Informacje poniżej:
Searchengines.pl/picasso:
Control Panel (Panel sterowania) >>> System >>> System Restore (Przywracanie systemu) Tam zaznacz opcję Turn off System Restore lub Turn off System Restore on all drives (Wyłącz przywracanie na wszystkich dyskach). Zatwierdzasz wszystkie zmiany.
Searchengines.pl/picasso:
Jak zastartować do trybu awaryjnego? Są dwie metody: 1. Przez klawisz F8 (lub F5): W momencie kiedy komputer się resetuje i ma jeszcze czarny ekran klikamy nieustannie i bardzo szybko w klawisz F8. Na starszych kompach ta metoda może się nie sprawdzić gdyż klawisz F8 może być wyłączony lub może być przypisany inny. Np. jeśli komuś po kliknięciu w F8 wyskoczy wybór urządzenia bootującego to znaczy, że u niego klawiszem dzięki, któremu przechodzi się w tryb awaryjny prawdopodobnie jest F5. Problem z metodą F8 polega na strzelaniu w ten klawisz WE WŁAŚCIWYM MOMENCIE: na czarnym ekranie ale nie za wcześnie (inaczej wystąpi błąd klawiatury) i nie za późno (inaczej załaduje się Windows w trybie Normalnym). 2. Przez narzędzie systemowe MSCONFIG. Patrz niżej na różnice w jego użyciu pomiędzy Windowsami. Ta metoda może się nie powieść jeśli na kompie jest śmieć gdyż wiele śmieci w pierwszej kolejności blokuje msconfig właśnie! Wniosek: nie działa F8 to msconfig, nie działa msconfig to F8.
Znajdź wtedy na dysku cały folder C:\Program Files\ *Media Access* oraz C:\Program Files\ Media Pass i usuń je. Jeśli zwykłe usuwanie nie pomoże, użyj programu KillBox.
W hijacku natomiast usuwasz:
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
Tą ko ntrolkę też usuwasz:
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxxx.mht!http://tdt.org.pl/popup/tdt.chm::/bridge-c18. cab
Kosmetycznie z autostartu - [start/Uruchom/msconfig] wyłączasz następujące usługi:
NeroCheck.exe
nwiz.exe /install - o ile nie używasz wirtualnych pulpitów.
Następnie wklej kontrolny log i zainstaluj SP2.
Są to normalne procesy systemowe!
sprawdzic pliki czy niezostaly zarazone proste
–Kaspersky–
http://kaspersky.pl/services.html?s=online_vir_chk
patrol69
2 Kwiecień 2005 13:03
#4
no i dupa zrobile boczi tak jak mowiles,ale te pieprzone media ... jeszcze nadal sa, kilbox nie robilem bo nie moge tego znalezc
oto log i co mam zrobic
Logfile of HijackThis v1.99.1
Scan saved at 15:01:19, on 2005-04-02
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programki\Panda Antivirus Platinum\pavsrv51.exe
C:\Programki\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\Explorer.EXE
C:\Programki\Panda Antivirus Platinum\apvxdwin.exe
C:\Programki\Overnet0,53a\Overnet.exe
C:\Programki\Gadu-Gadu\gg.exe
C:\Programki\JTV\JTVRemote.exe
C:\Programki\Ad-aware 6\Ad-watch.exe
C:\Programki\Panda Antivirus Platinum\pavProxy.exe
C:\Programki\totalcmd\TOTALCMD.EXE
c:\Internet\do wypakowania\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programki\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programki\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Overnet] C:\Programki\Overnet0,53a\Overnet.exe -t
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Programki\Gadu-Gadu\gg.exe" /tray
O4 - Startup: JTVRemote.lnk = C:\Programki\JTV\JTVRemote.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programki\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programki\Panda Antivirus Platinum\pavsrv51.exe
boczi
2 Kwiecień 2005 13:09
#5
Jeszcze to - to wpisy do autostartu.
Sprawdź, czy teraz masz te foldery C:\Program Files\Media Access\ oraz C:\Program Files\Media Pass. Jeśli tak, KillBoxa pobierzesz: http://www.downloads.subratam.org/KillBox.zip
O4 - HKLM\..\Run: [ap9h4qmo] C:\WINDOWS\System32\ap9h4qmo.exe
O4 - HKLM\..\Run: [AdTools Service] C:\Program Files\AdTools Service\AdTools.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
patrol69
2 Kwiecień 2005 13:27
#6
juz jest looz ,wlaczylem msconfig i wylaczylem to badziewie w h…j , dzieki za pomoc,
tylko ze teraz mi wyskakuje jak wlaczam kompa cos takiego
C;\WINDOWS\PCHeath\HelpCtr\Binaries\MSConfig.exe/auto
czy to jest cos groznego ??
boczi
2 Kwiecień 2005 13:33
#7
W jakim sensie Ci to wyskakuje?
patrol69:
czy to jest cos groznego
Nie, ale możesz skasować ten wpis:
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
w Hijacku.
patrol69
2 Kwiecień 2005 13:40
#8
wyskakuje mi to jak wlacze ad-watch ,a tego nie ma w hijacku,no ale jak mowisz ze to jest niegrozne to wtedy dupa z tym
dziex za help
Gutek
2 Kwiecień 2005 13:51
#9
Nie możesz zignorować ten program może to uczynić(wyczyść w tym programie od ad-aware pamieć)
