vson
(Mlody)
2 Czerwiec 2006 06:00
#1
Witam…
Czy moglby mi ktos pomoc?? korzystam z firefoxa…a od jakiegos czasu wyskakuja mi okienka z reklamami z internet explorer…kiedys mialem podobny problem to kumpel do mnie przyszedl i wlasnie przez HijackThis sprawdzil i mi usunol co trzeba…jego teraz niema jest za granica a ja jestem zielony w tym i niechce niczego samemu robic bo sie boje ze cos popsuje jeszcze bardziej…
Moglby ktos sprawdzic i ewentualnie napisac co mam wykasowac??
z gory dziekuje…
Logfile of HijackThis v1.99.1 Scan saved at 07:51:51, on 06-06-02 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\WINAMP\WINAMPA.EXE C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAM FILES\D-TOOLS\DAEMON.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINSTALL.EXE C:\WINDOWS\PEDM\EXPLORER.EXE C:\PROGRAM FILES\AXVENORE\AXVENORE.EXE C:\PROGRAM FILES\PECARLIN\PECARLIN.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE C:\PROGRAM FILES\GADU-GADU\GG.EXE C:\WINDOWS\PULPIT\NOWY FOLDER\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.90minut.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {286684A5-6012-38C0-6520-4D71B62FCCC8} - C:\WINDOWS\SYSTEM\XRCCB.DLL R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {286684A5-6012-38C0-6520-4D71B62FCCC8} - C:\WINDOWS\SYSTEM\XRCCB.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [systemTray] SysTray.Exe O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\Run: [Zasobnik systemowy] SysTray.Exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [keyboard] C:\WINDOWS\KEYBOARD7.exe O4 - HKLM…\Run: [mousepad] C:\WINDOWS\MOUSEPAD7.exe O4 - HKLM…\Run: [newname] C:\WINDOWS\NEWNAME7.exe O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1045 O4 - HKLM…\Run: [w008e3c1.dll] RUNDLL32.EXE w008e3c1.dll,I2 00122f540008e3c1 O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\RunServices: [schedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKCU…\Run: [iKFF] C:\PROGRAM FILES\COMMON FILES\IKFF\IKFFM.EXE O4 - HKCU…\Run: [Windows installer] C:\winstall.exe O4 - HKCU…\Run: [Taoa] “C:\WINDOWS\pedm\explorer.exe” -vt yazb O4 - HKCU…\Run: [AXVenore] “C:\Program Files\AXVenore\AXVenore.exe” O4 - HKCU…\Run: [Vska] \ltcc.exe O4 - HKCU…\Run: [PECarlin] “C:\Program Files\PECarlin\PECarlin.exe” O4 - HKCU…\Run: [Registry Cleaner] “C:\PROGRAM FILES\REGISTRY CLEANER TRIAL\REGCLEAN.EXE” -startminimize O4 - HKCU…\Run: [skype] “C:\PROGRAM FILES\SKYPE\PHONE\SKYPE.EXE” /nosplash /minimized O4 - Startup: Office Startup.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mnc6 O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 193.151.112.10,193.151.112.20 O18 - Filter: text/html - {994D478A-45D0-4DB4-AE77-288B1E346E99} - C:\PROGRAM FILES\FCADVICE\FCADVICE.DLL
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.90minut.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R3 - URLSearchHook: (no name) - {286684A5-6012-38C0-6520-4D71B62FCCC8} - C:\WINDOWS\SYSTEM\XRCCB.DLL R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {286684A5-6012-38C0-6520-4D71B62FCCC8} - C:\WINDOWS\SYSTEM\XRCCB.DLL O4 - HKLM…\Run: [keyboard] C:\WINDOWS\KEYBOARD7.exe O4 - HKLM…\Run: [mousepad] C:\WINDOWS\MOUSEPAD7.exe O4 - HKLM…\Run: [newname] C:\WINDOWS\NEWNAME7.exe O4 - HKLM…\Run: [w008e3c1.dll] RUNDLL32.EXE w008e3c1.dll,I2 00122f540008e3c1 O4 - HKCU…\Run: [Windows installer] C:\winstall.exe O4 - HKCU…\Run: [Taoa] “C:\WINDOWS\pedm\explorer.exe” -vt yazb O4 - HKCU…\Run: [AXVenore] “C:\Program Files\AXVenore\AXVenore.exe” O4 - HKCU…\Run: [Vska] \ltcc.exe O4 - HKCU…\Run: [PECarlin] “C:\Program Files\PECarlin\PECarlin.exe” O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O18 - Filter: text/html - {994D478A-45D0-4DB4-AE77-288B1E346E99} - C:\PROGRAM FILES\FCADVICE\FCADVICE.DLL
1.Startujesz do trybu awaryjnego
2.Wyłanczasz przywracanie systemu (tylko Me/Xp)
3.Kasujesz wpisy w HijackThis
4.Kasujesz pogrubione pliki/foldery
5.Dajesz nowy log z hjt + log z Silent Runners
vson
(Mlody)
2 Czerwiec 2006 07:29
#3
Logfile of HijackThis v1.99.1 Scan saved at 09:23:04, on 06-06-02 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\WINAMP\WINAMPA.EXE C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAM FILES\D-TOOLS\DAEMON.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE C:\LTCC.EXE C:\WINDOWS\TEMP!UPDATE.EXE C:\WINDOWS\PEDM\EXPLORER.EXE C:\WINDOWS\WSCRIPT.EXE C:\WINDOWS\PULPIT\NOWY FOLDER\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.90minut.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.eu.microsoft.com/poland/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {6542ACA7-1C49-13C7-6480-3746959DD4CC} - C:\WINDOWS\SYSTEM\VJMZCGQM.DLL R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {6542ACA7-1C49-13C7-6480-3746959DD4CC} - C:\WINDOWS\SYSTEM\VJMZCGQM.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM…\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM…\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM…\Run: [internat.exe] internat.exe O4 - HKLM…\Run: [systemTray] SysTray.Exe O4 - HKLM…\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\Run: [Zasobnik systemowy] SysTray.Exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [DAEMON Tools-1033] “C:\Program Files\D-Tools\daemon.exe” -lang 1045 O4 - HKLM…\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM…\RunServices: [schedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKCU…\Run: [iKFF] C:\PROGRAM FILES\COMMON FILES\IKFF\IKFFM.EXE O4 - HKCU…\Run: [Registry Cleaner] “C:\PROGRAM FILES\REGISTRY CLEANER TRIAL\REGCLEAN.EXE” -startminimize O4 - HKCU…\Run: [skype] “C:\PROGRAM FILES\SKYPE\PHONE\SKYPE.EXE” /nosplash /minimized O4 - HKCU…\Run: [Taoa] “C:\WINDOWS\pedm\explorer.exe” -vt tzt O4 - Startup: Office Startup.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mnc6 O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 193.151.112.10,193.151.112.20
Jesli chodzi o “Silent Runners”
To nie moge tego otworzyc ani nic…
Sciagnolem Silent Runners i klikam na niego i pojawia sie blad…
VBScript: WMI Not Installed!
This script Requires “WMI” Windows Managament Instrumentation, to run.
It can be downloaded at: http://tinyurl.com/jbxe
Press "OK"to direct your browser to the download site or “Cancel” to quit
jak klikam na OK to laczy mnie z http://www.microsoft.com/downloads/deta … laylang=en
Ale ja sie na tym nie znam i nie wiem czy cos trzeba sciagnac czy cos… :oops:
Ale usunolem to co zalecales i narazie nic nie wyskakuje i dodam jeszcze ze na pasku po prawo …mialem znaczek bledu i pisalo ze moj komputer jest zainfekowany…a teraz juz tego niema (zniknelo) to chyba juz jest ok…
kuz5
(Kuz5)
2 Czerwiec 2006 12:43
#4
Zostało:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R3 - URLSearchHook: (no name) - {6542ACA7-1C49-13C7-6480-3746959DD4CC} - C:\WINDOWS\SYSTEM\VJMZCGQM.DLL O2 - BHO: (no name) - {6542ACA7-1C49-13C7-6480-3746959DD4CC} - C:\WINDOWS\SYSTEM\VJMZCGQM.DLL O4 - HKCU…\Run: [iKFF] C:\PROGRAM FILES\COMMON FILES\IKFF\IKFFM.EXE O4 - HKCU…\Run: [Taoa] “C:\WINDOWS\pedm\explorer.exe” -vt tzt O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL=
Pliki i foldery na czerwono usuń ręcznie z dysku a wpisy w HijackThis (wszystko oczywiście robisz w trybie awaryjnym)
Jeżeli bedziesz miał problem z usunieciem plików to:
Spróbuj usunąć je programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke zainfekowanego pliku i klikasz czerwonego X:
następnie program będzie pytał o restart (oczywiście zgadzasz sie)
Ten wpis z kreseczką “_” usuniesz edytorem rejestru Registrar Lite
Uruchom edytor w pole Address wklej ścieżke
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} wszystkie inne wpisy z taką samą kreseczką także kasujesz i z prawokliku kasujesz wpisy.
Zobacz TUTAJ oraz Wyłączenie/włączenie WSH
Oraz:
http://forum.dobreprogramy.pl/viewtopic … 266#557266