Sprawdzi jakaś dobra dusza loga? :D


(Aaaaanka) #1

Tak jak w temacie. A oto nieszczęsny log:

Logfile of HijackThis v1.99.1

Scan saved at 07:45:03, on 2005-07-22

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\SYSTEM32\qttask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\DOCUME~1\trala\USTAWI~1\Temp\Katalog tymczasowy 14 dla hijackthis.zip\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM32\qttask.exe" -atboottime

O4 - HKLM\..\Run: [cryq.exe] C:\WINDOWS\cryq.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Global Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EPUWALControl_v1-0-3-18.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·şÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appya.exe (file missing)

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

Z gory dziękuję.


(Damian) #2

To fixujesz w Hijacku, a pogrubione wywalasz ręcznie z dysku:

R3 - URLSearchHook: (no name) - - (no file)

O4 - HKLM\..\Run: [cryq.exe] C:\WINDOWS\[b]cryq.exe[/b]

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Start>>>uruchom>>>services.msc>>>zatrzymaj i wyłącz usługę Remote Procedure Call (RPC) Helper.

Następnie odpalasz HijackThis>>>Misc Tools>>>Delete NT service>>>wpisz: 11Fßä#·şÄÖ`I

Wciskasz OK i restartujesz kompa.

Kosmetyka///

Odznaczasz w start>>>uruchom>>>msconfig>>>uruchamianie

qttask.exe

ctfmon.exe

quickstart.exe

Jeśli nie używasz messengera to usuniesz go programem xp-AntiSpy 3.94-2 PL


(Qbek50) #3

skasuj to też:


(Aaaaanka) #4

Damian napisał:

"Następnie odpalasz HijackThis>>>Misc Tools>>>Delete NT service>>>wpisz: 11Fßä#·şÄÖ`I"

  • jak mam cos takiego wpisac? Poza tym po wyłączeniu RPC w services.msc nie ma juz tej pozycji w logu.

No to czas na poprawiony log:

Logfile of HijackThis v1.99.1

Scan saved at 14:07:50, on 2005-07-22

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\DOCUME~1\trala\USTAWI~1\Temp\Katalog tymczasowy 15 dla hijackthis.zip\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM32\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EPUWALControl_v1-0-3-18.cab

O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

Co dalej? Czy włączyć już przywracanie systemu?


(Damian) #5

Skopiuj z forum i wklej.

Reszta czysta. Możesz włączyć przywracanie.


(Gutek) #6

Sorki @Damian ale po co ma właczyć przywracanie systemu, to zbedne zjada tylko "miejsce" :stuck_out_tongue:

Jeśli Quick i Real naprawdę potrzebne to proszę łupnąć i zastąpic ich odpowiednikami Real & Quick Alternative. TU masz odpowiedniki :stuck_out_tongue:

zbędne wpisy hijackiem się pozbądź :stuck_out_tongue:

Panel sterowania >>> Ustawienia regionalne >>> Języki >>> Detale >>> Zaawansowane >>> odznaczyć usługi tekstowe, zrób tak jeżeli nie używasz innych języków przy pisaniu.


(Damian) #7

Napisałem, żeby włączył, bo pytał czy już może.

Niektórym ta opcja jest przydatna.


(Kuz5) #8

Ponieważ Damian sie pomylił właśnie powinieneś wpisać RPC

Uwaga: banzai jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE


(Aaaaanka) #9

"Ponieważ Damian sie pomylił właśnie powinieneś wpisać RPC "

? To w koncu jak?


(Qbek50) #10

tak jak pisze kuz5 :smiley:


(Aaaaanka) #11

Czyli w services.msc mam zazanaczyc RPC na automatecznie i tak zostawic?


(Damian) #12

Nie, w services.msc masz zatrzymać i wyłączyć Remote Procedure Call, a w HijackThis>>>Misc Tools>>>Delete NT service wpisać RPC.


(Aaaaanka) #13

A wiec robie tak:

w HijackThis>>>Misc Tools>>>Delete NT service wklejam 11Fßä#·şÄÖ`I

  • wyskakuje monit:

" Service '11Fßä#·şÄÖ`I' was not found in the Registry. Make sure you entered the short name of the service., vbExclamation "

moze co innego powinnam wkleic?

A tak w ogóle to dobrze byłoby się dowiedzieć jaki ma być efekt tego dzialania (za co ten wpis w rej jest odpowiedzialny)?


(Kuz5) #14

Tak powinieneś wkleić co innego już ci napisałem co:

Za nic jest odpowiedzialny w rejestrze, jest to syf

Przecież napisałeś że sie tego pozbyłeś

I jest wszystko ok :wink:


(Aaaaanka) #15

A to skoro tak, to dzięki :smiley: