system
13 Czerwiec 2007 17:26
#1
Mam dialera z ikonką na której jest napis del(plik nazywa się inaczej). kasowanie plików nie pomaga załączam loga z hijacka:
Logfile of HijackThis v1.99.1 Scan saved at 19:15:39, on 2007-06-13 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\SubSys.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe D:\g-g\Gadu-Gadu\gg.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe C:\Program Files\SEC\Natural Color Pro\NCProTray.exe C:\Program Files\OpenOffice.org 1.9.79\program\soffice.exe C:\Program Files\OpenOffice.org 1.9.79\program\soffice.BIN C:\Program Files\Common Files\Teleca Shared\Generic.exe C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe C:\Program Files\Opera\Opera.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\Documents and Settings\Miki.KOWALSKI-LWG7GT\Pulpit\Hijack&Silent\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [sony Ericsson PC Suite] “C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” /startoptions O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [avgnt] “C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe” /min O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “D:\g-g\Gadu-Gadu\gg.exe” /tray O4 - Startup: OpenOffice.org 1.9.79.lnk = C:\Program Files\OpenOffice.org 1.9.79\program\quickstart.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O4 - Global Startup: ATI CATALYST – pasek zadań.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe O4 - Global Startup: NCProTray.lnk = ? O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: ING Bank Online - https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Windows Auto Update Tool - Unknown owner - C:\WINDOWS\wault.exe (file missing) O23 - Service: Windows DLLISP Service - Unknown owner - C:\WINDOWS\dllisp.exe (file missing) O23 - Service: Windows Sub System - Unknown owner - C:\WINDOWS\SubSys.exe O23 - Service: Windows Tune service - Unknown owner - C:\WINDOWS\tune.exe (file missing)
z góry dzięki
JNJN
13 Czerwiec 2007 18:04
#2
Proszę zmienić temat postu na konkretny,opcja zmień i popraw.JNJN
qrczak13
13 Czerwiec 2007 21:53
#3
start > uruchom > services.msc > zatrzymaj i wyłącz te usługi:
Windows Auto Update Tool
Windows DLLISP Service
Windows Sub System
Windows Tune service
Pliki na czerwono usuń w trybie awaryjnym, a wpisy w HJT.
Po wykonaniu w/w daj log z ComboFix
system
14 Czerwiec 2007 12:10
#4
Jak włączyc tryb awaryjny?
adam9870
14 Czerwiec 2007 12:14
#5
W celu uruchomienia trybu awaryjnego należy jeszcze gdy komputer będzie wyłączony wcisnąć klawisz F5 bądź F8 => włączyć komputer => gdy pojawi się ekran wyboru systemu puścić klawisz i za pomocą strzałek na klawiaturze wybrać pozycję Tryb awaryjny i potwierdzić wybór wciskając klawisz Enter.
HJT jest skrótem pełnej nazwy programu HijackThis. Aby usunąć wybrane wpisy poprzez HijackThis należy go uruchomić => kliknąć Do a system scan only => pokaże się lista wpisów => postawić ptaszek przy wpisach, które się usunąć => kliknąć Fix checked, a następnie potwierdzić ich usunięcie.
system
14 Czerwiec 2007 13:57
#6
tune.exe, SubSys.exe, dllisp.exe, wault.exe
nie znalazłem żadnego z podanych plików, wyszukaj też nie pomaga
niewiem ale może to pomogło daje loga z combofixa
ComboFix 07-06-13.3 - C:\Documents and Settings\Miki.KOWALSKI-LWG7GT\Pulpit\ComboFix.exe “Miki” - 2007-06-14 21:39:47 - Dodatek Service Pack. 1 NTFS ((((((((((((((((((((((((( Files Created from 2007-05-14 to 2007-06-14 ))))))))))))))))))))))))))))))) 2007-06-13 19:39 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-13 13:36 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2007-06-13 13:36 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2007-06-13 13:36 43,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys 2007-06-13 13:36 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2007-06-13 13:34 2007-06-12 17:13 502,272 -r-hs---- C:\WINDOWS\SubSys.exe 2007-06-12 17:12 515,584 --a------ C:\WINDOWS\system32\rgf.exe 2007-06-12 17:12 502,272 --a------ C:\WINDOWS\system32\pyq.exe 2007-06-04 19:40 0 --a------ C:\WINDOWS\system32\ufx.exe 2007-06-01 20:06 421,888 --a------ C:\WINDOWS\system32\bzg.exe 2007-05-26 20:26 2007-05-25 20:17 2007-05-25 20:12 2007-05-16 21:00 2007-05-14 15:19 1,236,992 --a------ C:\WINDOWS\system32\gwo.exe (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-14 19:19:06 -------- d-----w C:\DOCUME~1\MIKI~2.KOW\DANEAP~1\OpenOffice.org1.9.79 2007-06-14 11:51:51 42,496 ----a-w C:\WINDOWS\system32\ftp.exe 2007-06-14 11:51:51 16,896 ----a-w C:\WINDOWS\system32\tftp.exe 2007-06-13 08:20:41 -------- d–h--w C:\Program Files\Common Files\delsim 2007-06-09 11:35:03 -------- d–h--w C:\Program Files\Common Files\delsim.1 2007-05-26 18:24:30 -------- d–h--w C:\Program Files\InstallShield Installation Information 2007-05-13 15:12:53 1,236,992 ----a-w C:\WINDOWS\system32\xoa.exe 2007-05-12 12:44:41 53,248 ----a-w C:\WINDOWS\system32\unrar.dll 2007-05-06 15:34:48 -------- d-----w C:\Program Files\Common Files\Blizzard Entertainment 2007-05-05 19:53:30 -------- d-----w C:\Program Files\Delix 2007-05-03 10:50:16 153,925 ----a-w C:\WINDOWS\system32\drivers\dump_wmimmc.sys 2007-05-03 07:39:58 143,360 ----a-w C:\WINDOWS\system32\jqd.exe 2007-04-30 12:14:50 -------- d-----w C:\Program Files\Common Files\Borland Shared 2007-04-30 12:14:13 -------- d-----w C:\Program Files\Cartall 2007-04-26 14:25:24 32,768 ----a-w C:\WINDOWS\system32\atj.exe 2007-04-26 14:24:54 146,944 ----a-w C:\WINDOWS\system32\sux.exe 2007-04-26 14:21:49 147,968 ----a-w C:\WINDOWS\system32\mmu.exe 2007-04-26 12:43:20 -------- d-----w C:\Program Files\Opera 2007-04-25 14:42:21 -------- d-----w C:\Program Files\igowin 2007-04-22 17:00:37 -------- d-----w C:\Program Files\Valve Hammer Editor 2007-04-22 12:49:41 147,968 --sh–r C:\WINDOWS\DHCP.EXE 2007-04-20 13:41:47 119,808 ----a-w C:\WINDOWS\system32\xza.exe 2007-04-20 13:40:51 146,944 ----a-w C:\WINDOWS\system32\jpi.exe 2007-04-20 13:38:29 146,944 --sh–r C:\WINDOWS\regdll.exe 2007-04-20 13:38:29 146,944 ----a-w C:\WINDOWS\system32\fth.exe 2007-04-11 12:12:31 148,480 ----a-w C:\WINDOWS\system32\rie.exe 2007-04-11 12:12:31 147,456 ----a-w C:\WINDOWS\system32\tbw.exe 2007-04-02 08:44:53 148,480 ----a-w C:\WINDOWS\system32\wog.exe 2007-04-02 08:44:53 146,944 ----a-w C:\WINDOWS\system32\wnv.exe 2007-04-02 08:20:35 148,480 ----a-w C:\WINDOWS\system32\rzd.exe 2007-03-25 09:33:32 67,298 ----a-w C:\WINDOWS\system32\perfc015.dat 2007-03-25 09:33:32 436,322 ----a-w C:\WINDOWS\system32\perfh015.dat ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ATICCC”=“C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” [2005-08-06 02:07] “RemoteControl”=“C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe” [2003-12-08 18:35] “InCD”=“C:\Program Files\Ahead\InCD\InCD.exe” [2004-09-07 15:25] “@”="" [] “Sony Ericsson PC Suite”=“C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” [2005-10-26 17:17] “SoundMan”=“SOUNDMAN.EXE” [2004-12-22 11:09 C:\WINDOWS\soundman.exe] “avgnt”=“C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe” [2007-04-02 10:35] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2007-05-15 00:22] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-09-20 18:05] “Gadu-Gadu”=“D:\g-g\Gadu-Gadu\gg.exe” [2006-02-17 14:03] ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-14 21:41:40 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-06-14 21:42:08 C:\ComboFix-quarantined-files.txt … 2007-06-14 21:41 — E O F —
qrczak13
14 Czerwiec 2007 21:01
#7
Ściągnij The Avenger
wypakuj > uruchom > Input script manually > klikasz w lupkę > w nowo otwartym oknie wklejasz:
Po wklejeniu > Done > klik na zielone światło > ok i będzie restart. Po restarcie wchodzisz gdzie masz The Avenger i wklejasz raport C:\avenger.txt .
Daj po tym nowy log z combofix
i co oznacza HJT?(niestety nie jestem geniuszem komputerowym) :lol: