smolaque
(Smolaque)
10 Grudzień 2006 14:05
#1
Witam, jak w temacie , nod znalazl mi bardzo duzo trojanow, i nie moze ich usunac, nadałem sobie prawa do system volume gdzie one sie znajdują i nawet w trybie awaryjnym nie chce ich skasowac:/ Czy ktos wie jak sie pozbyc tego badziewia? Niewiem czy to przez te trojany ale czesto zawiesza mi sie explorer.exe , musze go wtedy kończyć w managerze zadan i opalac od nowa:/ co jest strasznie wkurzające:/ Proszę o pomoc, log z hijacka wygląda tak:
Logfile of HijackThis v1.99.1 Scan saved at 15:06:09, on 2006-12-10 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5450.0004) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\system32\rundll32.exe D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe D:\Program Files\Bluetooth Software\BTTray.exe D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe D:\Program Files\Stardock\ObjectDock\ObjectDock.exe D:\PROGRA~1\Bluetooth Software\BtStackServer.exe D:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\WINDOWS\system32\svchost.exe D:\Program Files\Bluetooth Software\bin\btwdins.exe C:\Program Files\Eset\nod32krn.exe C:\Program Files\Agnitum\Outpost Firewall\outpost.exe C:\WINDOWS\system32\svchost.exe D:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Smolaque\Moje dokumenty\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Smolaque R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM…\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM…\Run: [OutpostFeedBack] “C:\Program Files\Agnitum\Outpost Firewall\feedback.exe” /dump:os_startup O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [bluetoothAuthenticationAgent] “rundll32.exe” bthprops.cpl,BluetoothAuthenticationAgent O4 - HKLM…\Run: [zzzHPSETUP] N:\Setup.exe O4 - HKLM…\Run: [share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKCU…\Run: [incrediMail] “d:\Program Files\IncrediMail\bin\IncMail.exe” /c O4 - HKCU…\Run: [spybotSD TeaTimer] “D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe” O4 - Startup: Stardock ObjectDock.lnk = D:\Program Files\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: BTTray.lnk.disabled O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - D:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm O11 - Options group: [iNTERNATIONAL] International* O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\COMMON~1\Stardock\mcpstub.dll O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing) O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Program Files\Bluetooth Software\bin\btwdins.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
Joan
(Joan Sunshine)
10 Grudzień 2006 14:22
#2
Wiesz co to jest?
Wyłączasz przywracanie systemu (Panel sterowania -> System -> Przywracanie systemu -> zaznaczasz „Wyłącz przywracanie systemu” ). > automatycznie opróźni się system volume.
W HJT zaznaczasz wpisy i klikasz na dole “Fix checked” :
Po zabiegach nowe logi z HiJacka oraz Silent Runners (zaznaczasz No i czekasz aż skończy pracować w tle).
JNJN
(JNJN)
10 Grudzień 2006 15:05
#3
Prawdopodobnie oprogramowanie urządzenia HP.
smolaque
(Smolaque)
10 Grudzień 2006 17:05
#4
Witam, JNJN ma racje - to soft HP, wywaliłem to co Joan pisał. Przywracanie systemu mam dawno wylaczone, ale folder bynajmniej sie nie opróżnił i zajmuje ok 650mb:/
Log z HJT:
Logfile of HijackThis v1.99.1 Scan saved at 18:03:46, on 2006-12-10 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5450.0004) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\system32\rundll32.exe D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe D:\Program Files\Bluetooth Software\BTTray.exe D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe D:\Program Files\Stardock\ObjectDock\ObjectDock.exe D:\PROGRA~1\Bluetooth Software\BtStackServer.exe C:\WINDOWS\system32\svchost.exe D:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\Program Files\Bluetooth Software\bin\btwdins.exe C:\Program Files\Eset\nod32krn.exe C:\Program Files\Agnitum\Outpost Firewall\outpost.exe C:\WINDOWS\system32\svchost.exe D:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\Documents and Settings\Smolaque\Moje dokumenty\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID} R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Smolaque R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file) O2 - BHO: (no name) - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - (no file) O4 - HKLM…\Run: [Outpost Firewall] C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKLM…\Run: [OutpostFeedBack] “C:\Program Files\Agnitum\Outpost Firewall\feedback.exe” /dump:os_startup O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [bluetoothAuthenticationAgent] “rundll32.exe” bthprops.cpl,BluetoothAuthenticationAgent O4 - HKLM…\Run: [zzzHPSETUP] N:\Setup.exe O4 - HKLM…\Run: [share-to-Web Namespace Daemon] D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKCU…\Run: [incrediMail] “d:\Program Files\IncrediMail\bin\IncMail.exe” /c O4 - HKCU…\Run: [spybotSD TeaTimer] “D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe” O4 - Startup: Stardock ObjectDock.lnk = D:\Program Files\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: BTTray.lnk.disabled O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Send To &Bluetooth - D:\Program Files\Bluetooth Software\btsendto_ie_ctx.htm O11 - Options group: [iNTERNATIONAL] International* O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s … wflash.cab O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL O20 - AppInit_DLLs: C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll O20 - Winlogon Notify: MCPClient - C:\PROGRA~1\COMMON~1\Stardock\mcpstub.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing) O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - D:\Program Files\Bluetooth Software\bin\btwdins.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe
LOG Z SILENTA:
“Silent Runners.vbs”, revision 49, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “IncrediMail” = ““d:\Program Files\IncrediMail\bin\IncMail.exe” /c” [“IncrediMail, Ltd.”] “SpybotSD TeaTimer” = ““D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe”” [“Safer Networking Limited”] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “Outpost Firewall” = “C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice” [“Agnitum Ltd.”] “OutpostFeedBack” = ““C:\Program Files\Agnitum\Outpost Firewall\feedback.exe” /dump:os_startup” [“Agnitum Ltd.”] “nod32kui” = ““C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE” ["Eset "] “BluetoothAuthenticationAgent” = ““rundll32.exe” bthprops.cpl,BluetoothAuthenticationAgent” [MS] “zzzHPSETUP” = “N:\Setup.exe” [file not found] “Share-to-Web Namespace Daemon” = “D:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe” [“Hewlett-Packard”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\system32\hticons.dll” [“Hilgraeve, Inc.”] “{EFA24E62-B078-11d0-89E4-00C04FC9E26E}” = “History Band” -> {HKLM…CLSID} = “History Band” \InProcServer32(Default) = “C:\WINDOWS\system32\shdocvw.dll” [MS] “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “d:\Program Files\WinRAR\rarext.dll” [null data] “{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}” = “TuneUp Shredder Shell Context Menu Extension” -> {HKLM…CLSID} = “TuneUp Shredder Shell Context Menu Extension” \InProcServer32(Default) = ““D:\Program Files\TuneUp Utilities 2006\sdshelex.dll”” [“TuneUp Software GmbH”] “{0006F045-0000-0000-C000-000000000046}” = “Microsoft Office Outlook Custom Icon Handler” -> {HKLM…CLSID} = “Outlook File Icon Extension” \InProcServer32(Default) = “C:\PROGRA~1\MICROS~1\Office12\OLKFSTUB.DLL” [MS] “{00020D75-0000-0000-C000-000000000046}” = “Microsoft Office Outlook Desktop Icon Handler” -> {HKLM…CLSID} = “Microsoft Office Outlook” \InProcServer32(Default) = “C:\PROGRA~1\MICROS~1\Office12\MLSHEXT.DLL” [MS] “{42042206-2D85-11D3-8CFF-005004838597}” = “Microsoft Office HTML Icon Handler” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\Program Files\Microsoft Office\Office12\msohev.dll” [MS] “{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}” = “Microsoft Office Metadata Handler” -> {HKLM…CLSID} = “Microsoft Office Metadata Handler” \InProcServer32(Default) = “C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll” [MS] “{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}” = “Microsoft Office Thumbnail Handler” -> {HKLM…CLSID} = “Microsoft Office Thumbnail Handler” \InProcServer32(Default) = “C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\msoshext.dll” [MS] “{1530F7EE-5128-43BD-9977-84A4B0FAD7DF}” = “PhotoToys” -> {HKCU…CLSID} = (no title provided) \InProcServer32(Default) = “C:\WINDOWS\system32\phototoys.dll” [MS] “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” = “NOD32 Context Menu Shell Extension” -> {HKLM…CLSID} = “NOD32 Context Menu Shell Extension” \InProcServer32(Default) = “C:\Program Files\Eset\nodshex.dll” [null data] “{B327765E-D724-4347-8B16-78AE18552FC3}” = “NeroDigitalIconHandler” -> {HKLM…CLSID} = “NeroDigitalIconHandler Class” \InProcServer32(Default) = “C:\Program Files\Common Files\Ahead\lib\NeroDigitalExt.dll” [“Nero AG”] “{7F1CF152-04F8-453A-B34C-E609530A9DC8}” = “NeroDigitalPropSheetHandler” -> {HKLM…CLSID} = “NeroDigitalPropSheetHandler Class” \InProcServer32(Default) = “C:\Program Files\Common Files\Ahead\lib\NeroDigitalExt.dll” [“Nero AG”] “{5E2121EE-0300-11D4-8D3B-444553540000}” = “Catalyst Context Menu extension” -> {HKLM…CLSID} = “SimpleShlExt Class” \InProcServer32(Default) = “C:\Program Files\ATI Technologies\ATI.ACE\atiacmxx.dll” [empty string] “{6af09ec9-b429-11d4-a1fb-0090960218cb}” = “My Bluetooth Places” -> {HKLM…CLSID} = “My Bluetooth Places” \InProcServer32(Default) = “C:\WINDOWS\system32\btneighborhood.dll” [“WIDCOMM, Inc.”] “{A4DF5659-0801-4A60-9607-1C48695EFDA9}” = “Folder przesyłania Share-to-Web” -> {HKLM…CLSID} = “Folder przesyłania Share-to-Web” \InProcServer32(Default) = “D:\Program Files\Hewlett-Packard\HP Share-to-Web\HPGS2WNS.DLL” [“Hewlett-Packard”] HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ “0aMCPClient” = “{F5DF91F9-15E9-416B-A7C3-7519B11ECBFC}” -> {HKLM…CLSID} = “MCPShellInstantiator Class” \InProcServer32(Default) = “C:\PROGRA~1\COMMON~1\Stardock\MCPCore.dll” [“Stardock”] “WPDShServiceObj” = “{AAA288BA-9A4C-45B0-95D7-94D524869DB5}” -> {HKLM…CLSID} = “WPDShServiceObj Class” \InProcServer32(Default) = “C:\WINDOWS\system32\WPDShServiceObj.dll” [MS] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\ <> “AppInit_DLLs” = “C:\PROGRA~1\Agnitum\OUTPOS~1\wl_hook.dll” [“Agnitum Ltd.”] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <> AtiExtEvent\DLLName = “Ati2evxx.dll” [“ATI Technologies Inc.”] <> MCPClient\DLLName = “C:\PROGRA~1\COMMON~1\Stardock\mcpstub.dll” [“Stardock”] HKLM\Software\Classes\PROTOCOLS\Filter\ <> text/xml\CLSID = “{807563E5-5146-11D5-A672-00B0D022E945}” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\Program Files\Common Files\Microsoft Shared\OFFICE12\MSOXMLMF.DLL” [MS] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {7D4D6379-F301-4311-BEBA-E26EB0561882}(Default) = “NeroDigitalExt.NeroDigitalColumnHandler” -> {HKLM…CLSID} = “NeroDigitalColumnHandler Class” \InProcServer32(Default) = “C:\Program Files\Common Files\Ahead\lib\NeroDigitalExt.dll” [“Nero AG”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ ASW(Default) = “{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}” -> {HKLM…CLSID} = “Outpost.ASWShellExt Component” \InProcServer32(Default) = “C:\Program Files\Agnitum\Outpost Firewall\op_shell.dll” [“Agnitum Ltd.”] NOD32 Context Menu Shell Extension(Default) = “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” -> {HKLM…CLSID} = “NOD32 Context Menu Shell Extension” \InProcServer32(Default) = “C:\Program Files\Eset\nodshex.dll” [null data] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “d:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ASW(Default) = “{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}” -> {HKLM…CLSID} = “Outpost.ASWShellExt Component” \InProcServer32(Default) = “C:\Program Files\Agnitum\Outpost Firewall\op_shell.dll” [“Agnitum Ltd.”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “d:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ ASW(Default) = “{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}” -> {HKLM…CLSID} = “Outpost.ASWShellExt Component” \InProcServer32(Default) = “C:\Program Files\Agnitum\Outpost Firewall\op_shell.dll” [“Agnitum Ltd.”] FineReader8(Default) = “{F7091C74-EBB1-49D7-94C7-FE4886CCC18D}” -> {HKLM…CLSID} = “FineReader8ExplorerContextMenuHandler” \InProcServer32(Default) = “D:\Program Files\ABBYY FineReader 8.0 Professional Edition\FECMenu.dll” [“ABBYY Software”] NOD32 Context Menu Shell Extension(Default) = “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” -> {HKLM…CLSID} = “NOD32 Context Menu Shell Extension” \InProcServer32(Default) = “C:\Program Files\Eset\nodshex.dll” [null data] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “d:\Program Files\WinRAR\rarext.dll” [null data] Default executables: -------------------- HKCU\Software\Classes\batfile\ HKCU\Software\Classes\cmdfile\ Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ “NoSaveSettings” = (REG_DWORD) hex:0x00000000 {User Configuration|Administrative Templates|Desktop| Don’t save settings at exit} “NoChangeKeyboardNavigationIndicators” = (REG_DWORD) hex:0x00000000 {unrecognized setting} “ClassicShell” = (REG_DWORD) hex:0x00000000 {User Configuration|Administrative Templates|Windows Components|Windows Explorer| Enable Classic Shell / Turn on Classic Shell} “NoSharedDocuments” = (REG_DWORD) hex:0x00000001 {User Configuration|Administrative Templates|Windows Components|Windows Explorer| Remove Shared Documents from My Computer} “ClearRecentDocsOnExit” = (REG_DWORD) hex:0x00000001 {unrecognized setting} “NoSMHelp” = (REG_BINARY) hex:01 00 00 00 {User Configuration|Administrative Templates|Start Menu and Taskbar| Remove Help menu from Start Menu} “NoWinKeys” = (REG_DWORD) hex:0x00000001 {Disable Windows+X hotkeys} “NoLowDiskSpaceChecks” = (REG_DWORD) hex:0x00000001 {unrecognized setting} “NoRecentDocsMenu” = (REG_BINARY) hex:01 00 00 00 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ “NoRemoteRecursiveEvents” = (REG_DWORD) hex:0x00000001 {unrecognized setting} “ClassicShell” = (REG_DWORD) hex:0x00000000 {unrecognized setting} “ClearRecentDocsOnExit” = (REG_DWORD) hex:0x00000001 {unrecognized setting} HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “NoVisualStyleChoice” = (REG_DWORD) hex:0x00000000 {unrecognized setting} “NoColorChoice” = (REG_DWORD) hex:0x00000000 {unrecognized setting} “NoSizeChoice” = (REG_DWORD) hex:0x00000000 {unrecognized setting} HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} “undockwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} “NoInternetOpenWith” = (REG_DWORD) hex:0x00000001 {unrecognized setting} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\Documents and Settings\Smolaque\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Startup items in “Smolaque” & “All Users” startup folders: ---------------------------------------------------------- C:\Documents and Settings\Smolaque\Menu Start\Programy\Autostart “Stardock ObjectDock” -> shortcut to: “D:\Program Files\Stardock\ObjectDock\ObjectDock.exe” [“Stardock”] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart “BTTray” -> shortcut to: “D:\Program Files\Bluetooth Software\BTTray.exe” [“WIDCOMM, Inc.”] <> “BTTray.lnk.disabled” [null data] Enabled Scheduled Tasks: ------------------------ “1-Click Maintenance” -> launches: “D:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart” [“TuneUp Software GmbH”] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000004\LibraryPath = “%SystemRoot%\system32\wshbth.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: C:\WINDOWS\system32\imon.dll ["Eset "], 01 - 05, 12 %SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 11, 13 - 30 %SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID{FF059E31-CC5A-4E2E-BF3B-96E929D65503}(Default) = “&Research” Implemented Categories{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32(Default) = “C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL” [MS] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\AboutURLs\ <> “DesktopItemNavigationFailure” = “res://shdoclc.dll/navcancl.htm” [MS] <> “NavigationFailure” = “res://shdoclc.dll/navcancl.htm” [MS] <> “NavigationCanceled” = “res://shdoclc.dll/navcancl.htm” [MS] <> “OfflineInformation” = “res://shdoclc.dll/offcancl.htm” [MS] <> “PostNotCached” = “res://mshtml.dll/repost.htm” [MS] <> “TuneUp” = “file://C|/Documents and Settings/All Users/Dane aplikacji/TuneUp Software/Common/base.css” [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Bluetooth Service, btwdins, “D:\Program Files\Bluetooth Software\bin\btwdins.exe” [“WIDCOMM, Inc.”] Bluetooth Support Service, BthServ, “C:\WINDOWS\system32\svchost.exe -k bthsvcs” {“C:\WINDOWS\System32\bthserv.dll” [MS]} NOD32 Kernel Service, NOD32krn, ““C:\Program Files\Eset\nod32krn.exe”” ["Eset "] Outpost Firewall Service, OutpostFirewall, “C:\Program Files\Agnitum\Outpost Firewall\outpost.exe /service” [“Agnitum Ltd.”] TuneUp WinStyler Theme Service, TUWinStylerThemeSvc, ““D:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe”” [“TuneUp Software GmbH”] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Bluetooth Printer Port\Driver = “bthcrp.dll” [“WIDCOMM, Inc.”] hpzsnt09\Driver = “hpzsnt09.dll” [“HP”] Microsoft Document Imaging Writer Monitor\Driver = “mdimon.dll” [MS] ---------- <>: Suspicious data at a malware launch point. <>: Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 38 seconds. ---------- (total run time: 75 seconds)
Bieniol
(Bbieniol)
10 Grudzień 2006 19:12
#5
Usuń Hijackiem te wpisy:
Przeczyść rejestr (polecam do tego jv16 PowerTools ), zrób defragmentację, oraz przejrzyj: Optymalizacja XP
Wejdź: Start -> uruchom -> msconfig i w zakładce uruchamianie odznacz (według Ciebie) niepotrzebne przy autostarcie programy
smolaque
(Smolaque)
10 Grudzień 2006 20:30
#6
Usunąłem te sytuacje, one co jakis czas sa dodawane w logu Temat “optymalizacji” już przerabiałem obowiązkowo, wyczyściłem rejestr tym jv16, tylko dalej jest ten problem z trojanami w system volume i niemozliwoscia ich usunięcia. Sa tam m.in. ezula. ndtotnet itp , czytalem juz sporo topików jak je usuwac itd sciagalem szczepionki ale i one skanujac system nie znajdywaly ich:/ spybot i adaware tez ich nie znajdują tylko nod ktory nie moze ich wypierniczyć:/
Złączono Posta : 10.12.2006 (Nie) 21:45
Myslałem ze sie wyczyści dlatego tak napisalem ale program skanuje i sie zawiesza, sciaganalem jeszcze dwa inne progsy tego typu i mają one ten sam problem:/
Złączono Posta : 10.12.2006 (Nie) 22:15
Cudownie, bo przed chwilą wyskoczyła jakaś niebieska plansza na caly ekran coś tam bylo napisane o windowsie nie zdarzylem nawet przeczytac i sie sam zresetował
Złączono Posta : 10.12.2006 (Nie) 22:30
A oto te trojany i bezradnosc Noda:
Bieniol
(Bbieniol)
11 Grudzień 2006 13:18
#7
Wyłącz na chwilkę przywracanie systemu, a wszystkie te pliki znikną z dysku:
Panel sterowania -> System -> Przywracanie systemu
Tam zaznacz opcję Turn off System Restore lub Turn off System Restore on all drives (Wyłącz przywracanie na wszystkich dyskach). Zatwierdzasz wszystkie zmiany.
smolaque
(Smolaque)
11 Grudzień 2006 13:38
#8
Dzieki za radę ale zaznaczylem w poscie ze to robiłem już
Bieniol
(Bbieniol)
11 Grudzień 2006 13:41
#9
Czy wyłączyłeś przywracanie na wszystkich dyskach? System masz na C:, natomiast pliki, które podałeś znajdują się na D:
smolaque
(Smolaque)
11 Grudzień 2006 13:44
#10
usunałem ręcznie zainfekowane pliki z system volume i ich juz nie wykrywa, ale dalej jest problem z explorerem.exe bo kiedy np. daje wlasciwosci tego wlasnie folderu (lub innego), albo probuje w niego wejsc to zazwyczaj sie zawiesza i musze go kończyć w menedżerze zadan:/ Jedyne co mi jeszcze przychodzi do głowy to coś siedzącego w rejestrze, tzn nic w nim nie wykrywa ale jak chce go wyczyscic jakim softem to nie moge tego zrobic bo skanuje i sie zawiesza:/ jakiś koncept ma ktoś mądry?
Złączono Posta : 11.12.2006 (Pon) 14:46
Raz wyłączylem na wszystkich , raz na D
adam9870
(adam9870)
11 Grudzień 2006 13:48
#11
Uruchom Konsolę odzyskiwania CD i wpisz kolejno komendy:
A w razie gdyby występowały jakieś inne (gorsze) problemy po podmianie pliku na nowy, wpisz komendy:
spowoduje to powrócenie do starego pliku.
squeet
(squeet)
11 Grudzień 2006 13:53
#12
Proszę o lekturę poniższych tematów:
http://forum.dobreprogramy.pl/viewtopic.php?t=66889
http://forum.dobreprogramy.pl/viewtopic.php?t=36654
I zastosowanie ich w praktyce w Twoim poście:
Logi proszę wklejać w tagach quote . Powyższe już sformatowałem - następne proszę wklejać poprawnie.
smolaque
(Smolaque)
11 Grudzień 2006 15:28
#13
Spoko, nie ma problemu!
Uruchom Konsolę odzyskiwania CD i wpisz kolejno komendy: Cytat: cd C:\WINDOWS ren explorer.exe explorer.old expand X:\i386\explorer.ex_ c:\Windows\explorer.exe exit A w razie gdyby występowały jakieś inne (gorsze) problemy po podmianie pliku na nowy, wpisz komendy: Cytat: cd C:\WINDOWS ren explorer.old explorer.exe exit spowoduje to powrócenie do starego pliku.
Kiedy wpisuje komende
to mi wyswietla, ze System nie moze znalezc okreslonego pliku lub folderu , a kiedy komende
to “Nie mozna otworzyc pliku explorer.exe” Żadnej literówki na pewno nie zrobilem.
Bieniol
(Bbieniol)
11 Grudzień 2006 15:32
#14
Odpal checkdiska, czyli:
Start -> uruchom -> cmd i wpisz: chkdsk c: /f /r
Proponuję -> Reinstalacja XP bez utraty danych
smolaque
(Smolaque)
11 Grudzień 2006 15:56
#15
TO JUż MI SIę UDAłO ZROBIC, NATOMIAST
Bieniol
(Bbieniol)
11 Grudzień 2006 15:58
#16
Spróbuj w takim razie taką komendą:
*expand X:\i386\explorer.ex_ c:\Windows*
smolaque
(Smolaque)
11 Grudzień 2006 16:40
#17
Browar dla Ciebie, udało się, ale i tak dalej są zawieszki:/ Kurde tylko mi chyba ten rejestr zostaje , tylko jak go wyczyscic skoro soft do tego przeznaczony nie daje rady i sie zwiesza:/
Bieniol
(Bbieniol)
11 Grudzień 2006 19:34
#18
Jeszcze raz powtórze: Proponuję -> Reinstalacja XP bez utraty danych
smolaque
(Smolaque)
11 Grudzień 2006 21:59
#19
Poddaję się , format mi tylko został
temat mozna zamknac, thx za wszelkie rady.
pozdro