Log do sprawdzenia - dziwne zachowanie kompa


(Proph3t) #1
Logfile of HijackThis v1.99.1

Scan saved at 19:59:06, on 2006-10-09

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

G:\SBAudigy\Surround Mixer\CTSysVol.exe

G:\SOnic\SsAAD.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\System32\ctfmon.exe

G:\MediaSource\Detector\CTDetect.exe

C:\WINDOWS\system32\??pPatch\s?rvices.exe

G:\Kalendarz XP\Kalendarz.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

G:\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\HP\hpcoretech\comp\hptskmgr.exe

C:\WINDOWS\System32\ismini.exe

C:\WINDOWS\System32\ishost.exe

C:\Documents and Settings\Proph3T\Pulpit\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {F28F9888-0D3A-21B8-4101-5FF07ABB6EE2} - C:\WINDOWS\System32\siaufiku.dll

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Alcohol Toolbar Helper - {0ACF00E0-C1E4-4F6B-B290-10AC7505C47A} - C:\Program Files\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll

O2 - BHO: PrintViewBHO Class - {D4E0C464-30CE-4075-9A10-71FD106C2847} - C:\PROGRA~1\PRINTV~1\PRINTH~1.DLL

O2 - BHO: (no name) - {F28F9888-0D3A-21B8-4101-5FF07ABB6EE2} - C:\WINDOWS\System32\siaufiku.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Alcohol Toolbar - {DC59A0D4-0ED6-4A73-B356-1B977F2A7725} - C:\Program Files\Alcohol Toolbar\v3.0.0.0\AudioGizmo_Toolbar.dll

O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [CTSysVol] g:\SBAudigy\Surround Mixer\CTSysVol.exe /r

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SsAAD.exe] G:\SOnic\SsAAD.exe

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Creative Detector] g:\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU\..\Run: [Konnekt] "G:\konnekt\konnekt.exe" /autostart

O4 - HKCU\..\Run: [µTorrent] "G:\qtorrent\utorrent.exe"

O4 - HKCU\..\Run: [Suou] "C:\WINDOWS\YSTEM~1\chkntfs.exe" -vt yazb

O4 - HKCU\..\Run: [Lqtjt] C:\WINDOWS\system32\??pPatch\s?rvices.exe

O4 - HKCU\..\Run: [eMuleAutoStart] G:\eMule\emule.exe -AutoStart

O4 - Startup: SpeedFan.lnk = C:\Program Files\SpeedFan\speedfan.exe

O4 - Global Startup: Kalendarz XP.lnk = G:\Kalendarz XP\Kalendarz.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{959E6DC4-FF5F-4ED8-B294-A92DFE25477D}: NameServer = 213.199.252.254,62.148.87.180

O17 - HKLM\System\CS1\Services\Tcpip\..\{959E6DC4-FF5F-4ED8-B294-A92DFE25477D}: NameServer = 213.199.252.254,62.148.87.180

O17 - HKLM\System\CS2\Services\Tcpip\..\{959E6DC4-FF5F-4ED8-B294-A92DFE25477D}: NameServer = 213.199.252.254,62.148.87.180

O20 - Winlogon Notify: winjks32 - C:\WINDOWS\SYSTEM32\winjks32.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - G:\Alcohol 120\StarWind\StarWindService.exe

(Bbieniol) #2

Użyj narzędzia -> SmitFraudFix (w trybie awaryjnym z opcji 2 )

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):

Ten wpis z kreseczką "_" usuniesz edytorem rejestru Registrar Lite

Uruchom edytor w pole Address wklej ścieżke

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} wszystkie inne wpisy z taką samą kreseczką także kasujesz i z prawokliku kasujesz wpisy.

Po zabiegach nowy log z Hijacka + log z Silent Runners


(Proph3t) #3

Złączono Posta : 09.10.2006 (Pon) 23:32


(adam9870) #4

Pobierz Gmera.

Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.

  • W zakładce CMD z zaznaczoną podopcją CMD.EXE wklej następujące komendy:

  • Nadal w zakładce CMD tylko z zaznaczoną podopcją REGEDIT.EXE wklejasz to:

  • W zakładce Procesy wybierz opcję Zabij wszystko

  • Wróc do zakładki CMD i kolejno kliknij Uruchom przy zaznaczonym CMD.EXE i REGEDIT.EXE

  • W zakładce Procesy przez trzy kropki ( ... ) wskaż Hijacka, kliknij Uruchom i skasuj w nim następujące wpisy (jeśli będą):

  • Resetujesz komputer.

W razie problemów, wątpliwości odnośnie z Gmerem proponuję przeczytać ten temat:

http://forum.dobreprogramy.pl/viewtopic.php?t=101848