Sprawdzenie loga Hijack

M112 · 28 Listopad 2004 13:17

Właczaja mi sie same stronki wiec podrzucam log hijacka.

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile

O4 - HKLM\..\Run: [GxotSrv32] C:\WINDOWS\gxotsrv.exe

O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe

O4 - HKLM\..\Run: [salm] c:\temp\salm.exe

O4 - HKLM\..\Run: [ngp] C:\WINDOWS\ngp.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O15 - Trusted Zone: *.crazywinnings.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.windupdates.com

O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\empzrjlz.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=93917f816db5a8b6d620d70fcf15d1194c7a52fcbdefefcdd855d90afb854f6313b15c5ebf79f856ed149bc0f32504afd8a62f469fae:87b739375980cee31503669909549155

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{06578F06-A641-4DCB-B6B0-C448261BD017}: NameServer = 212.182.63.146,212.182.63.66

O17 - HKLM\System\CS1\Services\Tcpip\..\{06578F06-A641-4DCB-B6B0-C448261BD017}: NameServer = 212.182.63.146,212.182.63.66

O17 - HKLM\System\CS2\Services\Tcpip\..\{06578F06-A641-4DCB-B6B0-C448261BD017}: NameServer = 212.182.63.146,212.182.63.66

Mam jeszcze taki problem ze strasznie muli mie sie komp.Procek pracuje na 20% a wszystko sie otwiera z duzym opoznieniem. Dziekuje.

Shark · 28 Listopad 2004 13:29

Wywal

Zastanawiają mnie te wpisy:

O4 - HKLM…\Run: [salm] c:\temp\salm.exe

O4 - HKLM…\Run: [ngp] C:\WINDOWS\ngp.exe

Nie używasz /ubij proces/wywal

Wywalasz: Także:

O15 - Trusted Zone: *.crazywinnings.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.windupdates.com

O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\empzrjlz.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. … 9909549155

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar … vSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

Skany:

Szpiedzy (i inne świństwa)

…::Webroot:…

http://www.webroot.com/services/spyaudit_03.htm

…::X-Scan::…

http://www.spywareinfo.com/xscan.php

Skanery Antywirusowe:

…::mks_vir::…

http://skaner.mks.com.pl

…::GeCAD (RAV)::…

http://www.ravantivirus.com/scan/

…::F-Secure::…

http://support.f-secure.com/enu/home/ols.shtml

…::BitDefender::…

http://www.bitdefender.com/scan/licence.php

…::HouseCall::…

http://pl.trendmicro-europe.com/consume … ll_pre.php

…:: Do czyszczenia JV 16::…

http://dobreprogramy.com/index.php?dz=2 … d=509&t=29

Skan programem : CWS Shreeder, Spybot Search&Destroy, Pest Patrol

I jeszcze raz log hijackthis …

golden_finger · 28 Listopad 2004 13:54

O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"


O4 - HKLM\..\Run: [GxotSrv32] C:\WINDOWS\gxotsrv.exe

Usuwasz w trybie awaryjnym, wyłacz przywracanie systemu.

Wklejaj cały log, po skanowaniu jest save log i wtedy są uruchomione procesy i nagłówek.

:okulary:

Phylby · 28 Listopad 2004 16:26

Użyj:

CWShredder Version 2.0

oraz

Pestpatrol

instrukcja

On załatwi sprawę trojanów w twoim kompie.

M112 · 29 Listopad 2004 16:34

Przeskanowałem Pest patrolem i juz nic nie znajduje.Co sie dalo to powywalałem zostało to:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

C:\Program Files\Windows TaskAd\WinTaskAd.exe

C:\PROGRA~1\PESTPA~1\PPControl.exe

C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

C:\Program Files\Windows TaskAd\WinSched.exe

C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\System32\taskmgr.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\WINDOWS\system32\rundll32.exe

D:\Instalki\Spam\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [sCANINICIO] “C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe”

O4 - HKLM…\Run: [APVXDWIN] “C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE” /s

O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile

O4 - HKLM…\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe

O4 - HKLM…\Run: [encdal] C:\WINDOWS\encdal.exe

O4 - HKLM…\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKLM…\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM…\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip…{06578F06-A641-4DCB-B6B0-C448261BD017}: NameServer = 212.182.63.146,212.182.63.66

O17 - HKLM\System\CS1\Services\Tcpip…{06578F06-A641-4DCB-B6B0-C448261BD017}: NameServer = 212.182.63.146,212.182.63.66

O17 - HKLM\System\CS2\Services\Tcpip…{06578F06-A641-4DCB-B6B0-C448261BD017}: NameServer = 212.182.63.146,212.182.63.66

Chciałem doddac jeszcze ze dalej komp mi sie jakos muli i stronki dalej sie właczaja.

Phylby · 29 Listopad 2004 17:55

Usuń

O4 - HKLM\..\Run: [encdal] C:\WINDOWS\encdal.exe

Znajdz na dysku encdal.exe , szukaj w ukrytych , i usuń.

Sprawdz plik HOSTS.

W hijacku kliknij Config…>>>Misc Tools>>>Open hosts file manager>>>Open in Notepad.

Zaznacz i usuń z tamtąd wszystko za wyjątkiem 127.0.0.1 localhost (To co pisze za znakiem # zostaw w spokoju)

Restartuj kompa.

Sprawdz w HT czy znikły pozycje O1 - Hosts i encdal.exe

M112 · 30 Listopad 2004 22:21

Jak wczoraj zaczalem szalec i usuwac to musialem formata strzelic Teraz mam takiego loga:

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\AVPersonal\AVWUPSRV.EXE

D:\Instalki\Gadu-gadu\Gadu-Gadu\gg.exe

E:\Shareaza\Shareaza.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Program Files\Internet Explorer\iexplore.exe

D:\Instalki\Spam\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip…{A8339C6B-DCB4-466E-A041-37543F1D2CD8}: NameServer = 212.182.63.146,212.182.63.66

O17 - HKLM\System\CS1\Services\Tcpip…{A8339C6B-DCB4-466E-A041-37543F1D2CD8}: NameServer = 212.182.63.146,212.182.63.66

O17 - HKLM\System\CS2\Services\Tcpip…{A8339C6B-DCB4-466E-A041-37543F1D2CD8}: NameServer = 212.182.63.146,212.182.63.66

Dzieki za wszystkie podpowiedzi.Pozdro ALL