Logi - hijack this


(system) #1

Jak w tytule.


(Dragonlnx) #2

Hej:!:

Zacznijmy może tak : Logi numerujmy np,

01 LOG

treść loga

02 LOG

treść loga

ODPOWIEDZI

01 Odpowiedź :

Treść odpowiedzi

02 Odpowiedź :

Treść odpowiedzi


(Xiao19) #3

Logii wklejmy zawsze; zrobione najnowsza dostepne wersja Hijack

--Down1--

http://www.spywareinfo.com/~merijn/downloads.html (homepage)

--Down2--

http://www.majorgeeks.com/download3155.html

HijackThis - narzedzie diagnostyczne (opis+intrucja)

http://www.searchengines.pl/phpbb203/in ... =15989&hl=

sprawdz sam, swoj wpis

przydatne /dodatki/

BHO & Toolbar List

/02 - BHO czyli Browser Helper Objects/

/O3 - Paski narzędziowe w IE/

http://www.sysinfo.org/bholist.php

INFO:

wpisujesz class ID (CLSID)

np.

O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

8E718888-423F-11D2-876E-00A0C9082467

PacMan's Startup List

/O4 - Autostart programów z kluczy rejestru lub folderu Startup/

http://www.sysinfo.org/startuplist.php

INFO:

X - (wejścia oznaczone jako X są tymi które czym prędzej należy kasować!).

Running processes

http://www.liutilities.com/products/win ... sslibrary/

(otwarte procesy)

/zabicie procesu/ dwa sposoby

  1. Alt-Ctrl-Del i zabicie danego procesu

  2. Start w trybie awaryjnym


(Wolin) #4

To ja zaczne od mojego Loga:

LOG 1

P.S. Dobry pomysł z przyklejeniem tego tematu do forum "Problemy", tego nam trzeba było, strzał w dziesiątke !!


(Xiao19) #5

kasujesz w trybie awaryjnym

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C**** :\WINDOWS\system32\qmupm.dll/sp.html#29126

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C**** :\WINDOWS\system32\qmupm.dll/sp.html#29126

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C**** :\WINDOWS\system32\qmupm.dll/sp.html#29126

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C**** :\WINDOWS\system32\qmupm.dll/sp.html#29126

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C**** :\WINDOWS\system32\qmupm.dll/sp.html#29126

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C**** :\WINDOWS\system32\qmupm.dll/sp.html#29126

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C**** :\WINDOWS\system32\qmupm.dll/sp.html#29126

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {FA9B33EE-6AA5-0861-55D2-E2A766D4C7CC} - C:\WINDOWS\crgx32.dll

------------------------------------------------------------------

O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

(znasz zostawiasz /NIE/ kasacja)

------------------------------------------------------------------

O4 - HKLM..\Run: [javasf.exe] C:\WINDOWS\system32\javasf.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroun

(nieuzywasz kasujesz/wylaczasz np. sobie za pomoca tego

xp-AntiSpy_V3.9-1)

O4 - Global Startup: 22M WLAN Adapter.lnk = ?

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

(kasacja dla bezpieczenstwa / niesciagsz danych za pomoca IE)

O15 - Trusted Zone: *.05p.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.scoobidoo.com

O15 - Trusted Zone: *.searchbarcash.com

O15 - Trusted Zone: *.searchmiracle.com

------------------------------------------------------------------

O16 - DPF: {0B682CC1-FB40-4006-A5DD-99EDD3C9095D} (vbiewer control) - http://www.thepaymentcentre.com/build/vbiewer.cab

O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/L ... _EN_XP.cab

O16 - DPF: {AB8638BB-79E8-4E9D-ABF2-8F33054E3941} (Guesser Class) - http://czat.onet.pl/client/kalambury/NetPunGame.dll

O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll

(jesli ktorys znasz potrzebny ci to zostawiasz)


sciagasz CWShredder_v1.59.1

skanujesz kompa

http://www.majorgeeks.com/download4086.html

potem PestPAtrol

dalej Webroot Spy Audit, mks_vir, RAV, F-Secure

http://forum.dobreprogramy.pl/viewtopic ... pestpatrol

Na koniec jak zawsze zabezpieczasz kompa

link wyzej jak i ponizej /opis/

http://forum.dobreprogramy.pl/viewtopic ... bezpieczyc


(Adarek) #6
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe 

O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

Sterowniki drukarki .Zostaw to w spokoju bo jutro się zdziwisz dlaczego nie działa. Ps . wyłącz przywracanie sytemu A co to takiego

C:\WINDOWS\netsp32.exe

Trojanek ??


(fiesta) #7

Jak nie pomagasz to nie komentuj :evil: :evil: :evil:

OT :arrow: KOSZ

UpDate:

Jak będziecie Offtopicować w tym wątku to go od razu połyżycie i na 100% nie bedzie on czytelny !!


(Xiao19) #8

Phylby wklajam to dltatego ze sama mam drukarke Hewlett-Packard

O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

i mam tak zamiast tego /hpztsb09.exe/ mam to /hpztsb08.exe/

a tej pozycji wogule nie mam

O4 - HKLM..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

wiec dlatego tak napisalam jak

(znasz zostawiasz /NIE/ kasacja)

C:\WINDOWS\netsp32.exe

zabijasz na 100% ten proces /w calej sieci niema wogule tego/

/odnajdujesz wszystkie takie pliki i tez kasujesz/


(Adarek) #9

Kamcia_18 > jest Ok ale co to jest to >

C:\WINDOWS\netsp32.exe

???


(AlekSandra_) #10

Z nieba mi spadliscie :wink: Mam nadzieje ze ktos mi pomoze.

Logfile of HijackThis v1.98.2

Scan saved at 11:59:47, on 2004-10-06

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\sistray.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\servicepack2.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\System32\sistray.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

D:\ola\wirus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page ... _id=151990

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page ... _id=151990

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page ... _id=151990

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll (file missing)

O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll (file missing)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll (file missing)

O4 - HKLM..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime

O4 - HKLM..\Run: [siS Tray] C:\WINDOWS\System32\sistray.exe

O4 - HKLM..\Run: [] C:\WINDOWS\system32\userinit.exe

O4 - HKLM..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe

O4 - HKLM..\Run: [internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

O4 - HKLM..\Run: [conscorr] C:\WINDOWS\conscorr.exe

O4 - HKLM..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"

O4 - HKLM..\Run: [gpqj] C:\WINDOWS\gpqj.exe

O4 - HKLM..\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe

O4 - HKLM..\Run: [MicrosoftXP Service Pack 2] servicepack2.exe

O4 - HKLM..\RunServices: [MicrosoftXP Service Pack 2] servicepack2.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU..\Run: [statBar] C:\Program Files\Globe Software\StatBar\StatBar.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... b48fb41815

O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... _adult.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{3E096086-A525-442C-A34F-259279B3CCA0}: NameServer = 217.30.129.149,217.30.137.200

O17 - HKLM\System\CS1\Services\Tcpip..{3E096086-A525-442C-A34F-259279B3CCA0}: NameServer = 217.30.129.149,217.30.137.200

O17 - HKLM\System\CS2\Services\Tcpip..{3E096086-A525-442C-A34F-259279B3CCA0}: NameServer = 217.30.129.149,217.30.137.200


(Adarek) #11

AlekSandra_

Wyłącz przywracanie systemu

Start w trybie awaryjnym -klawisz F8

Za pomocą HijackThis usuń

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=151990 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = 

http://www.couldnotfind.com/search_page.html?&account_id=151990 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=151990 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 


R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) 

O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing) 

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll (file missing

O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL 

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing) 

O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll (file missing) 

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll (file missing)

To jest z trojana W32.Sandalu

Usuwasz tak jak te wyżej Znajdz ręcznie na dysku ten folder i usuń> Jak ma proces tu go ubij . CopyLockCopyLock Zaznaczasz plik , klikasz Add a potem Replace i restart kmpa. Kasuje przed załdaowaniem sys. Dalej

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" 

O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe 

O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"

O4 - HKLM\..\Run: [gpqj] C:\WINDOWS\gpqj.exe

Ręcznie usuń foldery - conscorr.exe - WebRebates0.exe- gpqj.exe Pewnie bądą ukryte to szulaj w "ukrytych" Jak maja procesy " ubij" Jeśli nie instalowałeś tego programu :

O4 - HKCU\..\Run: [StatBar] C:\Program Files\Globe Software\StatBar\StatBar.exe

To na uat -bez pytania. Dalej

O4 - Global Startup: hpoddt01.exe.lnk = ?

To jest zdaje sie następny trojanek . Sprawdz i usuń to co jest napisane w linkuhttp://securityresponse.symantec.com/av ... prova.htmlZnowu jakiś wirus albo dajej ten sam trojan.

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

Dalej

O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm 

O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing) 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm 

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=609d8a658b048fcbcc650c78400935974811ce11f5ea2295a6aeea844cc15026290b175c77dc89f37800b8120a2c1beddd52d24167b2cef99e83ed9113baae5e:2525bf2a2c42e6b8c3c77bb48fb41815 

O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab

Owiedzasz wszystkie scanery

http://skaner.mks.com.pl/

http://security.symantec.com/sscv6/defa ... &venid=sym

http://www.pandasoftware.com/activescan ... IdPais=152

http://www.pestscan.com/

http://www.spywareinfo.com/xscan.php

http://www.webroot.com/services/spyaudit_03.htm

Pobierasz i działeś tym programem

http://download.zonelabs.com/bin/free/p ... olHome.exe

Pobierasz

Sprawdzas co jest w pliku HOSTS ... Jest na zakłatce Opcje

Usuwaz z niego wszystko ! ma stać tylko wpis 127.0.0.1 localhost

Możesz zaznaczyć teraz "zabolkuj."

instalujesz sobie jeszcze

Ad-aware SE Personal 1.05

CWShredder 1.59.1

Spybot Search & Destroy 1.3

http://www.dobreprogramy.com/index.php?dz=1&t=55

Uffff. Normalnie masz całkowitą kaszankę na kompie

Zainstaluj SP1 na wimdowsa i SP1 na IE!!


(3dm Racek) #12

Oto log do przeanalizowania:

Logfile of HijackThis v1.98.2

Scan saved at 20:49:09, on 2004-10-06

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\Program Files\Tlen.pl\tlen.exe

C:\Program Files\Macromedia\Flash MX 2004\Flash.exe

C:\DOCUME~1\Raq\USTAWI~1\Temp\~e5d141.tmp

C:\DOCUME~1\Raq\USTAWI~1\Temp\~e5d141.tmp

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Raq\USTAWI~1\Temp\Rar$EX00.412\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://members.lycos.co.uk/danielraq/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Śmieć\Program Files\Gadu-Gadu\gg.exe" /tray

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

(Cow) #13

Ten tez :slight_smile:

Logfile of HijackThis v1.97.7

Scan saved at 22:35:55, on 2004-10-06

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Wanadoo\EspaceWanadoo.exe

C:\Program Files\Wanadoo\ComComp.exe

C:\Program Files\Wanadoo\Watch.exe

C:\Steam\Steam.exe

D:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Winamp\Winamp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

D:\Program Files\Teamspeak2_RC2\TeamSpeak.exe

C:\Program Files\ABC\ABC.exe

C:\Documents and Settings\David\Pulpit\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://o2.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Steam] C:\Steam\Steam.exe -silent

O4 - Startup: Neostrada Plus.lnk = C:\Program Files\Wanadoo\EspaceWanadoo.exe

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: Run DAP (HKLM)

O9 - Extra button: Badanie (HKLM)

O9 - Extra button: ICQ 4.1 (HKLM)

O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d9e142b50554d145ae1adefa032956f30588130c7a24897b98c70b21112bdefdf8e14f292f641a9fbac16900c5eb337458afea412a57f92bf92a995c7b068353:4988410fc26869297cfaa5002feb2f13

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{68D50011-7764-44F4-9FCE-739971B92211}: NameServer = 194.204.152.34 217.98.63.164

(S Man1) #14

Raq

Poczekaj, aż jakiś wymiatacz looknie na to co napisałem i odniesie się do tego :slight_smile: Ale na moje oko, to:

Możesz (ale nie musisz) wyłączyć z autostartu - zabiera pamięć podczas łądowania OSa i spowalnia go.

Jeśli nie używasz - tak samo jak z Java oraz NeroCheck.

Albo poprzez Start :arrow: Uruchom :arrow: wspisz msconfig :arrow: zakładka Uruchamianie i odchaczasz.

Można też np RegCleanerem - zakładka Autostart

Usuwasz - jakieś pozostałości chyba - brakuje plików.

Te dwa też usuwasz. Przed rozpoczęciem kasacji na wszelki wypadek wyłącz przywracanie systemu.


(Golden Finger) #15

Dla mnie log masz czysty.

:okulary:


(Golden Finger) #16
C:\DOCUME~1\Raq\USTAWI~1\Temp\~e5d141.tmp 

C:\DOCUME~1\Raq\USTAWI~1\Temp\~e5d141.tmp

Odwołanie do plków tymczasowych wykasuj.

Zrób to co napisał powyżej wSz.

Podstawowa sprawa, brak SP1 dla XP, można teraz pisać SP2 :twisted: , jak już wielokrotnie pisałem, inni rónież, brak Service pack'a nie daje Ci możliwości załatać systemu. Mając stały dostęp do Net'a należy zainstalować SP1 i wszystke dostępne poprawki krytyczne.

Oczywiście łacząc się przez modem również należy mieć zabezpieczony system :stuck_out_tongue:

:okulary:


(Xiao19) #17

do mbr

Log czysty

i zrob skan np.

--F-Secure--

http://support.f-secure.com/enu/home/ols.shtml

jesli niemasz /SpywareBlaster/ to sobie go zainstaluj

zabezpieczysz przegladarki sobie

http://forum.dobreprogramy.pl/viewtopic ... ht=blaster

do Raq wklej caluski Log z Hijack no chyba ze to jest caly hihih

kasujesz tak tylko (reszta w porzadku)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi ... ch/ie.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi ... .yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://members.lycos.co.uk/danielraq/

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi ... .yahoo.com

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

(uzywasz zostawiasz /NIE/ kasujesz) uzyj np. AntiSpy_V3.9-1

do wylaczenia calkowitego /zjedz na sam dol/

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

wejcia 09 można zawsze usuwac bez uszczerbku na zdrowiu

(systemu/kompa)

Potem skanujesz Pestem

--Pest-Scan--

http://www.pestscan.com/

/znajdzie cos/ pobierasz Home Pesta

http://download.zonelabs.com/bin/free/p ... olHome.exe

dalej skan

--GeCAD (RAV)--

http://www.ravantivirus.com/scan/

--F-Secure--

http://support.f-secure.com/enu/home/ols.shtml

Na koniec zabezpieczenie przegladarek

/SpywareBlaster/

http://forum.dobreprogramy.pl/viewtopic ... ht=blaster

/Pesta juz zostawiasz na kompie na stale

bedzie skanowal w czasie rzeczywistym

i wywalal co trzeba/

xp-AntiSpy Polish

http://xp-antispy.org/index.php?option= ... lecatid=45

xp-AntiSpy Setup Polish

http://xp-antispy.org/index.php?option= ... lecatid=46


(3dm Racek) #18

Chcesz całuski ?

No to proszę:

:cmok1: :cmok1: :cmok1: :cmok1: :cmok1: :stuck_out_tongue: :smiley:

Tu misu być coś nie tak, ponieważ nie mogę zamienić strony startowej:

P.S. To jest już log zrobiony później, po wystąpieniu zmiany startowej.

Logfile of HijackThis v1.98.2

Scan saved at 21:49:07, on 2004-10-08

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Tlen.pl\tlen.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Opera\opera.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Total commander\TOTALCMD.EXE

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Winamp\winamp.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Raq\USTAWI~1\Temp\Rar$EX00.284\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=632

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=632

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=632

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=632

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=632

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\J8HR3F~1.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O15 - Trusted Zone: *.greg-search.com

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm9.chm::/file1.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O20 - AppInit_DLLs: z6uwngdf2hi.dll

(S Man1) #19

Użyj programu CWShredder - dostępny na vortalu :slight_smile:

To miało polecieć :? Rozumiem, że nie wyszło. Spróbuj w trybie awaryjnym usunąć i jeśli masz włączone przywracanie OSa to wcześniej wyłącz. Może pomoże :slight_smile:


(Cancel) #20

Wylacz przywracanie, wyrzuc smieci, wlacz przywracanie ponownie

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=632

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=632

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=632

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=632

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=632

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\J8HR3F~1.DLL

O15 - Trusted Zone: *.greg-search.com

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm9.chm::/file1.exe

O20 - AppInit_DLLs: z6uwngdf2hi.dll