Log z Hijack-a /dużo syfu

squeet · 7 Lipiec 2005 15:10

Wyratowałem system z niebieskich okien, lecz jest tu sporo syfu…

Zabieram się za to manualnie, ale za wczasu wrzucam log, aby moi koledzy mogli się poużerać trochę ze mną :lol:

Logfile of HijackThis v1.99.1 Scan saved at 17:12:23, on 2005-07-07 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Media Gateway\MediaGateway.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\lala\budzik.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Program Files\iPod\bin\iPodService.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\RegCleaner\RegCleanr.exe C:\Documents and Settings\DonMYCHOdrom!!\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yamakaze.prv.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [sCANINICIO] “C:\Program Files\Panda Software\Panda Platinum Internet Security\Inicio.exe” O4 - HKLM…\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe O4 - HKLM…\Run: [firewall_anti] C:\WINDOWS\firewall_anti.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM…\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKLM…\RunServices: [PANDA ANTISPAM SERVER SERVICE] “C:\Program Files\Panda Software\Panda Platinum Internet Security\PasSrv.exe” O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe O4 - Startup: Budzik.lnk = C:\Program Files\lala\budzik.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Media … ge-c18.cab O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

OverRide · 7 Lipiec 2005 15:16

Log czysty

kuz5 · 7 Lipiec 2005 15:21

Po co piszesz takie bzdury :?

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Pliki na czerwono usun ręcznie z dysku

Ten wpis z kreseczką “_” usuniesz edytorem rejestru Registrar Lite

Uruchom edytor w pole Address wklej ścieżke

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} wszystkie inne wpisy z taką samą kreseczką także kasujesz i z prawokliku kasujesz wpisy.

To chyba znasz, czy nie znasz

squeet · 7 Lipiec 2005 15:24

To jest budzik mojego kolegi :))

Nie skomentuję tego :x

musg · 7 Lipiec 2005 15:28

ta…

spsob usuwania znasz!

za pomocą hijacka usuwasz:

dalej:

sciagasz progs:

http://www.resplendence.com/reglite

Otwórz edytor. Skopiuj i wklej poniższą linijkę i kliknij GO:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

Zostaniesz przeniesiony do tego kluczyka. Po prawej stronie będzie figurować wpis {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ (tak ten znaczek “_” powinien tam być, wszystkie inny wpisy z tym samym znaczkiem też idą na kasację). I z prawego kliku kasujesz owe wpisy.

sciagasz nastepnie :

http://www.bleepingcomputer.com/files/killbox.php

odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej scieżke:

C:\WINDOWS\System32\winshost.exe

następnie program będzie pytał o restart-potwierdzasz

to samo masz zrobic killboxem z wpisem:

C:\WINDOWS\firewall_anti.exe

dajesz kolejny log

ps

i obowiazkowo musisz zainstalowac sobie:

http://www.networld.pl/ftp/pc/programy/ … r.1.3.html

zamknij wszystkie porty

greghS · 7 Lipiec 2005 15:30

fix (tryb awaryjny) - wylacz przywracanie systemu

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O4 - HKLM…\Run: [winshost.exe] C:\WINDOWS\System32\ winshost.exe

O4 - HKLM…\Run: [firewall_anti] C:\WINDOWS\ firewall_anti.exe

O4 - HKLM…\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe

[znasz zostawiasz /NIE/ kasacja]

pliki zaznacz. na czarno kasujesz recznie z dysku (tryb awaryjny)

1.) Zasysasz to Windows Worms Doors Cleaner v1.4.1

http://www.firewallleaktester.com/tools/wwdc.exe

zamykasz porty ALL w tym progsie reset kompa

2.) Skanujesz skanerami AV

–F-Secure–

http://support.f-secure.com/enu/home/ols.shtml

–GeCAD (RAV)–

http://www.ravantivirus.com/scan/

do wyboru

–Softwin (BitDefender)–

http://www.bitdefender.com/scan/licence.php

–Trend Micro (PC-cillin)–

http://housecall.trendmicro.com/houseca … t_corp.asp

3.) dzialasz tym ETD Security

http://www.download.com/ETD-Security-Sc … 29424.html

ps.

wow niema to jak 500 osob sprawdza log jeee

wszyscy chca pomagac jestem pod wrazeniem

pozdro

squeet · 7 Lipiec 2005 15:39

:))

Nie ma tego pliku - jest wiwshost.exe

Dałem pokaż wszystkie pliki, wyszukiwałem w systemie. Jest tylko to

musg · 7 Lipiec 2005 15:45

http://www.bleepingcomputer.com/files/killbox.php

squeet · 7 Lipiec 2005 15:49

Logfile of HijackThis v1.99.1 Scan saved at 17:50:59, on 2005-07-07 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\iTunes\iTunesHelper.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Media Gateway\MediaGateway.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe C:\Program Files\lala\budzik.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Program Files\iPod\bin\iPodService.exe C:\Documents and Settings\DonMYCHOdrom!!\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yamakaze.prv.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM…\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe O4 - Startup: Budzik.lnk = C:\Program Files\lala\budzik.exe O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Oto log - teraz odpalam AdAware i Spybot

kuz5 · 7 Lipiec 2005 15:51

Musi byś HijackThis jasno go pokazał skasuj go normalnie przez HijackThis

To musi być jakiś jego brat takze go kasuj

Jeżeli masz problem ze skasowaniem jakiegoś pliku to skożystaj z rady musg

Pamietaj

TUTAJ masz opis tego gó…a

squeet · 7 Lipiec 2005 15:55

Logfile of HijackThis v1.99.1 Scan saved at 17:56:35, on 2005-07-07 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SYSTEM32\Ati2evxx.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\lala\budzik.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Documents and Settings\DonMYCHOdrom!!\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yamakaze.prv.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - Startup: Budzik.lnk = C:\Program Files\lala\budzik.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

kuz5 · 7 Lipiec 2005 16:01

Log masz czysty

Czasem za dużo nie skasowałeś tych wpisów :roll:

Ważne: Zainstaluj sp2

squeet · 7 Lipiec 2005 16:02

Nie :lol:

Dziękuję Wam serdecznie :bukiet:

musg · 7 Lipiec 2005 16:06

obowiazkowo musisz zaaplikowac:

http://www.networld.pl/ftp/pc/programy/ … r.1.3.html

bo przyjaciele wrocą

squeet · 7 Lipiec 2005 17:28

Uczyniłem i zamknąłem