squeet
(squeet)
7 Lipiec 2005 15:10
#1
Wyratowałem system z niebieskich okien, lecz jest tu sporo syfu…
Zabieram się za to manualnie, ale za wczasu wrzucam log, aby moi koledzy mogli się poużerać trochę ze mną :lol:
Logfile of HijackThis v1.99.1 Scan saved at 17:12:23, on 2005-07-07 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Media Gateway\MediaGateway.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\lala\budzik.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\RegCleaner\RegCleanr.exe C:\Documents and Settings\DonMYCHOdrom!!\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yamakaze.prv.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [sCANINICIO] “C:\Program Files\Panda Software\Panda Platinum Internet Security\Inicio.exe” O4 - HKLM…\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe O4 - HKLM…\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM…\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKLM…\RunServices: [PANDA ANTISPAM SERVER SERVICE] “C:\Program Files\Panda Software\Panda Platinum Internet Security\PasSrv.exe” O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe O4 - Startup: Budzik.lnk = C:\Program Files\lala\budzik.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media … ge-c18.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe
kuz5
(Kuz5)
7 Lipiec 2005 15:21
#3
OverRide:
Log czysty
Po co piszesz takie bzdury :?
Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
Pliki na czerwono usun ręcznie z dysku
Ten wpis z kreseczką “_” usuniesz edytorem rejestru Registrar Lite
Uruchom edytor w pole Address wklej ścieżke
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} wszystkie inne wpisy z taką samą kreseczką także kasujesz i z prawokliku kasujesz wpisy.
To chyba znasz, czy nie znasz
squeet
(squeet)
7 Lipiec 2005 15:24
#4
To jest budzik mojego kolegi
OverRide:
Log czysty
Nie skomentuję tego :x
musg
(Musg)
7 Lipiec 2005 15:28
#5
ta…
spsob usuwania znasz!
za pomocą hijacka usuwasz:
dalej:
sciagasz progs:
http://www.resplendence.com/reglite
Otwórz edytor. Skopiuj i wklej poniższą linijkę i kliknij GO:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
Zostaniesz przeniesiony do tego kluczyka. Po prawej stronie będzie figurować wpis {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ (tak ten znaczek “_” powinien tam być, wszystkie inny wpisy z tym samym znaczkiem też idą na kasację). I z prawego kliku kasujesz owe wpisy.
sciagasz nastepnie :
http://www.bleepingcomputer.com/files/killbox.php
odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej scieżke:
C:\WINDOWS\System32\winshost.exe
następnie program będzie pytał o restart-potwierdzasz
to samo masz zrobic killboxem z wpisem:
C:\WINDOWS\firewall_anti.exe
dajesz kolejny log
ps
i obowiazkowo musisz zainstalowac sobie:
http://www.networld.pl/ftp/pc/programy/ … r.1.3.html
zamknij wszystkie porty
greghS
(Czornyaa)
7 Lipiec 2005 15:30
#6
fix (tryb awaryjny) - wylacz przywracanie systemu
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM…\Run: [winshost.exe] C:\WINDOWS\System32\ winshost.exe
O4 - HKLM…\Run: [firewall_anti] C:\WINDOWS\ firewall_anti.exe
O4 - HKLM…\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe
[znasz zostawiasz /NIE/ kasacja]
pliki zaznacz. na czarno kasujesz recznie z dysku (tryb awaryjny)
1.) Zasysasz to Windows Worms Doors Cleaner v1.4.1
http://www.firewallleaktester.com/tools/wwdc.exe
zamykasz porty ALL w tym progsie reset kompa
2.) Skanujesz skanerami AV
–F-Secure–
http://support.f-secure.com/enu/home/ols.shtml
–GeCAD (RAV)–
http://www.ravantivirus.com/scan/
do wyboru
–Softwin (BitDefender)–
http://www.bitdefender.com/scan/licence.php
–Trend Micro (PC-cillin)–
http://housecall.trendmicro.com/houseca … t_corp.asp
3.) dzialasz tym ETD Security
http://www.download.com/ETD-Security-Sc … 29424.html
ps.
wow niema to jak 500 osob sprawdza log jeee
wszyscy chca pomagac jestem pod wrazeniem
pozdro
squeet
(squeet)
7 Lipiec 2005 15:39
#7
Nie ma tego pliku - jest wiwshost.exe
Dałem pokaż wszystkie pliki, wyszukiwałem w systemie. Jest tylko to
musg
(Musg)
7 Lipiec 2005 15:45
#8
squeet
(squeet)
7 Lipiec 2005 15:49
#9
Logfile of HijackThis v1.99.1 Scan saved at 17:50:59, on 2005-07-07 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Media Gateway\MediaGateway.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe C:\Program Files\lala\budzik.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Program Files\iPod\bin\iPodService.exe C:\Documents and Settings\DonMYCHOdrom!!\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yamakaze.prv.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM…\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe O4 - Startup: Budzik.lnk = C:\Program Files\lala\budzik.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
Oto log - teraz odpalam AdAware i Spybot
kuz5
(Kuz5)
7 Lipiec 2005 15:51
#10
Musi byś HijackThis jasno go pokazał skasuj go normalnie przez HijackThis
squeet:
jest wiwshost.exe
To musi być jakiś jego brat takze go kasuj
Jeżeli masz problem ze skasowaniem jakiegoś pliku to skożystaj z rady musg
Pamietaj
TUTAJ masz opis tego gó…a
kuz5
(Kuz5)
7 Lipiec 2005 16:01
#12
Log masz czysty
Czasem za dużo nie skasowałeś tych wpisów :roll:
Ważne: Zainstaluj sp2
squeet
(squeet)
7 Lipiec 2005 16:02
#13
Nie :lol:
Dziękuję Wam serdecznie :bukiet:
musg
(Musg)
7 Lipiec 2005 16:06
#14
squeet:
Pokój…
obowiazkowo musisz zaaplikowac:
http://www.networld.pl/ftp/pc/programy/ … r.1.3.html
bo przyjaciele wrocą