kraak
(Kml6)
1 Styczeń 2007 10:08
#1
Ehh, nie wiem czyja to sprawka, ale zeby tak na nowy rok? Oto moj log
hijack
Logfile of HijackThis v1.99.1 Scan saved at 10:54:02, on 2007-01-01 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32krn.exe C:\Program Files\Speed Disk\nopdb.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\UPHClean\uphclean.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Eset\nod32kui.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe C:\Program Files\Canon\CAL\CALMAIN.exe C:\Program Files\Kalendarz XP\Kalendarz.exe C:\Program Files\Eset\nod32.exe D:\Kamil\filmiczki i programiki i gierki\Programiki i inne\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe” O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_28.cab O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET \Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\Program Files\Speed Disk\nopdb.exe
Złączono Posta : 01.01.2007 (Pon) 11:10
i jeszcze jedno tak btw: nie działają mi kolory na forum jak coś pisze. Jak to naprawić?..
adam9870
(adam9870)
1 Styczeń 2007 10:12
#2
Log masz ok.
O jaki plik chodzi? - opisz dokładniej swój problem.
Czy przypadkiem przy wysyłaniu posta nie zaznaczasz opcji Wyłącz BBCode w tym poście ? Poza tym to co Ty chciałeś zrobić powinno wyglądać tak:
[color=blue]tekst[/color]
kraak
(Kml6)
1 Styczeń 2007 10:22
#3
Co do koloru-nie. Nic nie zaznaczam (wyłącz BBCode w tym poście jest puste) więc nie wiem co jest grane. Jeśli chodzi o ten “jokes”: chciałbym go po prostu usunąć, ktoś z mojej kochanej rodzinki go ściągnął (damn!) i odpalił(damnn)- jak się go odpali, wyskakuje czarne okienko, które zaraz znika. Jak chcę go usunąć, pisze mi że jakiś program lub osoby go używają więc nie da się go usunąć. Jak biorę jego własciwości (tego pliku), pojawia się kupa zakładek, które wskazują ze ten plik to trojan. Niby usunąłem go Nodem, (tego trojana ale to i tak nic nie daje). What to do?
adam9870
(adam9870)
1 Styczeń 2007 10:24
#4
Spróbuj usunąć za pomocą tego programu:
http://ccollomb.free.fr/unlocker/
kraak
(Kml6)
1 Styczeń 2007 10:25
#5
C:\System Volume Information_restore{BBD040EA-17DB-4FDA-AE48-50B0FEB7E955}\RP7\A0003780.dll - Win32/Agent.VG trojan
a to log usuniętego trojana, choć i tak trzeba będzie zrobić coś jeszcze żeby się go pozbyć…btw przy szybkiej odpowiedzi działają mi kolory
adam9870
(adam9870)
1 Styczeń 2007 10:27
#6
Trzeba było od razu podać lokalizację
Usuwanie szkodników z folderu System Volume Information 1. Najpierw wyłączamy przywracanie systemu ponieważ w folderze System Volume Information są przechowywane punkty przywracania. W tym celu klikamy prawym klawiszem myszki na ikonę Mój komputer => wybieramy Właściwości => przechodzimy na zakładkę Przywracanie systemu => zaznaczamy opcję Wyłącz Przywracanie systemu na wszystkich dyskach => teraz tylko potwierdzamy klikając na Zastosuj i OK. 2. Włączamy pokazywanie ukrytych plików i folderów ponieważ folder System Volume Information jest ukryty. W tym celu otwieramy Mój komputer = u góry wybieramy Narzędzia = Opcje folderów… = w okienku, które się otworzy przechodzimy na zakładkę Widok = w części Ukryte pliki i foldery zaznaczamy opcję Pokaż ukryte pliki i foldery = dalej wystarczy tylko potwierdzić klikając na Zastosuj i OK. 3. Uruchamiamy system w trybie awaryjnym. W tym celu gdy komputer będzie wyłączony wciskamy klawisz F5 bądź F8 = włączamy komputer = gdy pojawi się ekran wyboru systemu puszczamy klawisz i za pomocą strzałek na klawiaturze wybieramy pozycję Tryb awaryjny i potwierdzamy wciskając klawisz Enter. Będąc w trybie awaryjnym wchodzimy do lokalizacji gdzie jest zainfekowany obiekt = klikamy na niego prawym klawiszem myszki = wybieramy Usuń i potwierdzamy. Czyli np. w tym przypadku: wchodzimy do lokalizacji: C:\System Volume Information_restore{833884EB-BC7B-42B3-8E66-1EA709E558E6}\RP7 i kasujemy znajdujący się tam plik A0005350.exe. UWAGI: Jeśli podczas wchodzenia do folderu System Volume Information naszym oczom okaże się komunikat Odmowa dostępu, to musimy poczytać na temat przejmowania na własność pliku lub folderu. W przypadku system Windows XP opis jest dostępny tutaj: http://support.microsoft.com/default.aspx?scid=kb;pl;308421 Ewentualnie możemy wykonać tylko punkt pierwszy z tego opisu, a następnie przeskanować jakimś skanerem i jeśli zostaną wykryte zainfekowane pliki, to opcja w stylu Usuń w nim powinna sobie w zupełności poradzić. Oczywiście po usuwaniu szkodników możemy włączyć przywracanie systemu jeśli korzystamy z tej funkcji.
kraak
(Kml6)
1 Styczeń 2007 10:34
#7
dziękuje. Szczęśliwszego nowego roku