oxid3
(Oxid32)
20 Październik 2005 10:16
#1
Logfile of HijackThis v1.99.1 Scan saved at 12:16:41, on 2005-10-20 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\System32\Ati2evxx.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\MsPMSPSv.exe D:\WINDOWS\system32\rundll32.exe D:\WINDOWS\system32\Ati2evxx.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\CTHELPER.EXE D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe D:\Program Files\Common Files\Real\Update_OB\realsched.exe D:\windows\system32\mdms.exe C:\winstall.exe D:\Program Files\Opera\Opera.exe D:\Documents and Settings\oxid3\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - D:\Program Files\TheSearchAccelerator\UCMTSAIE.dll O4 - HKLM…\Run: [CTHelper] CTHELPER.EXE O4 - HKLM…\Run: [updReg] D:\WINDOWS\UpdReg.EXE O4 - HKLM…\Run: [Jet Detection] “D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe” O4 - HKLM…\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM…\Run: [QuickTime Task] “D:\WINDOWS\System32\qttask.exe” -atboottime O4 - HKLM…\Run: [TkBellExe] “D:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot O4 - HKLM…\Run: [titania_kill_orshabaal.exe] D:\Documents and Settings\Frik\Pulpit\titania_kill_orshabaal.exe O4 - HKLM…\Run: [sysMemory manager] d:\windows\system32\mdms.exe O4 - HKLM…\Run: [updatedrweb_nt] D:\WINDOWS\System32\updatedrweb_nt.exe O4 - HKLM…\Run: [PayTime] D:\WINDOWS\System32\paytime.exe O4 - HKLM…\RunServices: [updatedrweb_nt] D:\WINDOWS\System32\updatedrweb_nt.exe O4 - HKCU…\Run: [Windows installer] C:\winstall.exe O4 - HKCU…\Run: [updatedrweb_nt] D:\WINDOWS\System32\updatedrweb_nt.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll O17 - HKLM\System\CCS\Services\Tcpip…{6B8FB05F-DC76-4A02-B5A1-007FE4F452C3}: NameServer = 194.204.152.34,194.204.159.1 O20 - Winlogon Notify: tcpG4T - D:\WINDOWS\SYSTEM32\tcpG4T.dll O20 - Winlogon Notify: Uninstall - D:\WINDOWS\system32\agphelp.dll O21 - SSODL: SysTray.Exys - {7368D5FC-6F5C-4f5b-B964-E67214F67852} - D:\WINDOWS\System32\qllqejeg.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Unknown owner - D:\WINDOWS\System32\CTsvcCDA.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
prosze o sprawdzenie i pomoc w usunieciu spyware… dziekuje z gory:)
tytuł zmieniłem
monczkin
kuz5
(Kuz5)
20 Październik 2005 11:21
#2
Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - D:\Program Files\TheSearchAccelerator\UCMTSAIE.dll O4 - HKLM…\Run: [titania_kill_orshabaal.exe] D:\Documents and Settings\Frik\Pulpit\titania_kill_orshabaal.exe O4 - HKLM…\Run: [updatedrweb_nt] D:\WINDOWS\System32\updatedrweb_nt.exe O4 - HKLM…\Run: [PayTime] D:\WINDOWS\System32\paytime.exe O4 - HKLM…\RunServices: [updatedrweb_nt] D:\WINDOWS\System32\updatedrweb_nt.exe O4 - HKCU…\Run: [Windows installer] C:\winstall.exe O4 - HKCU…\Run: [updatedrweb_nt] D:\WINDOWS\System32\updatedrweb_nt.exe O20 - Winlogon Notify: Uninstall - D:\WINDOWS\system32\agphelp.dll O21 - SSODL: SysTray.Exys - {7368D5FC-6F5C-4f5b-B964-E67214F67852} - D:\WINDOWS\System32\qllqejeg.dll
Pliki na czerwono usun ręcznie z dysku
Trojan.Repsamo jak go usunąć masz TUTAJ
Backdoor.Haxdoor.AG jak sie go pozbyć masz TUTAJ
Pliki mdms.exe, winstall.exe i tcpG4T.dll usuń programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:
D:\windows\system32* * mdms.exe**
następnie program będzie pytał o restart (oczywiście zgadzasz sie)
I to samo robisz ze ścieżkami;
D:\WINDOWS\SYSTEM32* * tcpG4T.dll**
C:* * winstall.exe**
Kosmetyka:
Start=>Uruchom=>Wpisz polecenie msconfig=>Zakładka Uruchamianie i odchacz:
Panel sterowania => Java Plug-in => Update => odptaszkuj Check for updates automatically
Jak juz wszystko bedzie ok to zainstaluj sp2