Kolejny log hijacki :)


(Kefas) #1

Witam!

Zauważyłem ostatnio, że na forum jest modne wklejanie swojego loga z hijacki.

Dlatego, że nie znam się dobrze na tym proszę o sprawdzenie mojego loga. Z góry dzięki.

Logfile of HijackThis v1.97.7

Scan saved at 15:03:33, on 2004-10-03

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

D:\DiskeeperLite\DKService.exe

C:\WINDOWS\system32\nvsvc32.exe

D:\OUTPOS~1.0\outpost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\Opera\opera.exe

G:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://interia.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll

O4 - HKLM..\Run: [KAVPersonal50] d:\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM..\Run: [Outpost Firewall] D:\OUTPOS~1.0\outpost.exe /waitservice

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Pobierz używając Download &Express'a - D:\Download Express\Add_Url.htm

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab


(Xiao19) #2

log czysciutki

Running processes:

procesy prawidlowe i zdrowe

[Running processes:]

http://www.liutilities.com/products/win ... sslibrary/

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab

(zastrzeznie) mozesz usunac

cytat:

Jeśli coś jest ci kompletnie nie znane (ani nazwa pliku, ani "firmy", ani adres) to usuwasz. Przypadkowe usunięcie nieszkodliwej kontrolki niczym nie grozi gdyż po prostu ściągniesz ją z netu ponownie. Niekiedy sprawa jest oczywista gdy w URL figurują słowa typu sex, dialer, casino, free_plugin i oczywiście to dewastujemy. Olbrzymią bazę wiedzy o bardzo szkodliwych ActiveX ma super programik SpywareBlaster i on może posłużyć do wyszukania info na temat danego CLSID czyli numerku w klamerkach {}.

W normalnych przypadkach usunięcie wpisów O16 poprzez HijackThis spowoduje również i usunięcie tych obiektów z dysku. Zdarza się jednak iż Hijack z jakiś względów nie umie skasować agresywnego pliku i wtedy należy zastartować do trybu awaryjnego w celu dokonania kasacji ręcznej.

http://www.searchengines.pl/phpbb203/in ... =15989&hl=

poczytaj sobie moj post (masz tam wszystko praktycznie) ponizej link:

/skanery AV, zabezpieczenie itd. /

http://forum.dobreprogramy.pl/viewtopic.php?t=9722)

Na koniec sciagnij nowego Hijacka 1.98.2

i nim zeskanuj; jak cos wiecej wykryje dajesz nowy log (wklejasz)

http://www.spywareinfo.com/~merijn/downloads.html (homepage)

http://www.majorgeeks.com/download3155.html


(Alwaro7) #3

Proszę o sprawdzenie mojego loga. Dziękuje.

Logfile of HijackThis v1.98.2

Scan saved at 16:53:13, on 04-10-03

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\SPOOL32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\FMCTRL.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\PROGRAM FILES\COMMON FILES\ADAPTEC SHARED\CREATECD\CREATECD50.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\ROXIO\EASY CD CREATOR 5\DIRECTCD\DIRECTCD.EXE

C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE

C:\PROGRAM FILES\GADU-GADU\GG.EXE

C:\PROGRAM FILES\WINZIP\WZQKPICK.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\RNAAPP.EXE

C:\WINDOWS\SYSTEM\TAPISRV.EXE

C:\PROGRAM FILES\WINZIP\WINZIP32.EXE

C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F1 - win.ini: run=hpfsched

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM..\Run: [internat.exe] internat.exe

O4 - HKLM..\Run: [systemTray] SysTray.Exe

O4 - HKLM..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM..\Run: [Q3dctlTray] Fmctrl.EXE

O4 - HKLM..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM..\Run: [CreateCD50] "C:\Program Files\Common Files\Adaptec Shared\CreateCD\CreateCD50.exe" -r

O4 - HKLM..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min

O4 - HKLM..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM..\RunServices: [schedulingAgent] mstask.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\PROGRAM FILES\GADU-GADU\GG.EXE" /tray

O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll


(Xiao19) #4

kasujesz to

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O4 - HKLM..\Run: [Q3dctlTray] Fmctrl.EXE

[Q3dctlTray] jak znasz ten proces (progs) i wiesz co to jest to zostawiasz

jesli nie robisz tak

zbijasz ten proces

C:\WINDOWS\SYSTEM\FMCTRL.EXE

  1. Alt-Ctrl-Del i zabicie danego procesu

  2. Start w trybie awaryjnym

poczytaj sobie to (masz podane wsio)

/skanery AV, zabezpieczenie itd. /

)

nastepnie wykonaj skan skanerami AV

mks_vir, Rav, F-Sexure

nastepnie

--Pest-Scan--

http://www.pestscan.com/

jak cos wykryje sciagasz

go link podany wyzej

potem na koncu zabezpieczasz system

progsy podane takze w linku

1.) zabezpieczenie antyszpiegowskie


(Dragonlnx) #5

Twój Log chyba też czyściutki :smiley:

Dla mnie podjerzane wpisy to były

i

ale nic nie wykryło ...


(Xiao19) #6

Shark zgadza sie

zabijasz jeszcze ten proces

O4 - HKLM..\Run: [internat.exe] internat.exe

O4 - HKLM..\Run: [Q3dctlTray] Fmctrl.EXE

a ten proces jesli niejestes pewny na 100% ze jest prawidlowy

tez go zabijasz

  1. Alt-Ctrl-Del i zabicie danego procesu

  2. Start w trybie awaryjnym

odnajdujesz te pliki i kasujesz je

dalej masz napisane co robic post /moj/ wyzej


(Dragonlnx) #7

Kamcia ale na process libary go nie było ...

na process libary te wszystkie co tam są to trzeba je usuwać :?:

czy też tam są prawidłowe ? czy tylko te złe :smiley:

Post 2

co to znaczy Background Process: ??


(Adarek) #8

internat.exe - to obsłóga wielu języków w 98 - można usunąć jak tego nie używasz.

Natomiast ten Fmctrl.EXE - to za bardzo nie wiem ale chyba nie grożny

Wydaje mi sie ze od jakiegos programu do rejestru.

Na zagranicznych forach go zostawiają.

Na wszelki wypadek zostaw.

Natomisat reszta tak jak pisała kamica_18. Wreście trafiła.

to są dodatkowe przyciski w IE. Pewnie same sie wepchały

Znajdz jeszcze na dysku foldery o nawie web\related.htm i jak są to je na aut.

Możesz jeszcze usunąć z folderu autostart offica z a msconfig WinZip i zdaje sie Easy CD Creator 5.

Ps .

A już sie pośpieszyłem chwaląc Kamice_18 .

internat.exe - To jest prawidłowy proces systemu wind.98!!!

Można usunąć ale tak jak napisałem wyżej.


(Xiao19) #9

Shark wiem, ze niebylo dlatego karze go usunac w opisie Picasso

tak pisze zreszta

sama twierdzi ze to i tak nie zrobi zadnego uszczerbku na systemie wiec kasacja >>

zreszta jest to zupelnie i tak zbedne jesli to jest to co pisze PHYLBY wiec spox

Phylby znowu plame zaliczyles hihhih kontakt z Picasso jak ja to robie ci pomorze :stuck_out_tongue: :stuck_out_tongue:

zart

jak jest prawidlowy to powroci, poczytaj sobie

--HijackThis--

http://www.searchengines.pl/phpbb203/in ... =15989&hl=

caluskie :slight_smile: :slight_smile:


(Adarek) #10

A jak ktoś to używa ????

Gdzie ta plama ?

Ps.

Podaj mi linka gdzie picasso każe go usuwać bo jest beee.... itp


(Dragonlnx) #11

Phylby pisze tylko tak :

Prawidłowe:

______________________

Procesy Windows 98/Me:

O4 - HKLM..\Run: [internat.exe] internat.exe

to chyba rzecz jasna, że jest prawidłowy!! i nie trzeba go usuwać ani robić kł ótni ... jest on prawidłowy ale jak sie go usunie to nic sie nie stanie :smiley: sprawa jasna ...


(Adarek) #12

Wiesz co Shark , kamica_18 podaje ci link gdzie można to samemu sprawdzić a potem pisze bzdury . Podała Ci linka gdzie to sie sprawdza

Czyli

Prawda ?

A teraz poczytaj tu co to jest - internat.exe

http://www.liutilities.com/products/win ... /internat/

I co ? Zgadza sie z tym co napisałem?

To co Ona wypisuje to tylko sie ..... :beksa: .Normalnie załamka.


(Dragonlnx) #13

Cały czas przecież Phylby mówię, że masz rację :-({|= :-({|= :-({|= 0X 0X 0X