banzai
22 Lipiec 2005 05:45
#1
Tak jak w temacie. A oto nieszczęsny log:
Logfile of HijackThis v1.99.1
Scan saved at 07:45:03, on 2005-07-22
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\SYSTEM32\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\OpenOffice.org1.1.3\program\soffice.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\DOCUME~1\trala\USTAWI~1\Temp\Katalog tymczasowy 14 dla hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [cryq.exe] C:\WINDOWS\cryq.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: OpenOffice.org 1.1.3.lnk = C:\Program Files\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·şÄÖ`I) - Unknown owner - C:\WINDOWS\system32\appya.exe (file missing)
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
Z gory dziękuję.
Damian
22 Lipiec 2005 11:09
#2
To fixujesz w Hijacku, a pogrubione wywalasz ręcznie z dysku:
R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [cryq.exe] C:\WINDOWS\[b]cryq.exe[/b]
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Start>>>uruchom>>>services.msc>>>zatrzymaj i wyłącz usługę Remote Procedure Call (RPC) Helper.
Następnie odpalasz HijackThis>>>Misc Tools>>>Delete NT service>>>wpisz: 11Fßä#·şÄÖ`I
Wciskasz OK i restartujesz kompa.
Kosmetyka///
Odznaczasz w start>>>uruchom>>>msconfig>>>uruchamianie
qttask.exe
ctfmon.exe
quickstart.exe
Jeśli nie używasz messengera to usuniesz go programem xp-AntiSpy 3.94-2 PL
banzai
22 Lipiec 2005 12:06
#4
Damian napisał:
“Następnie odpalasz HijackThis>>>Misc Tools>>>Delete NT service>>>wpisz: 11Fßä#·şÄÖ`I”
jak mam cos takiego wpisac? Poza tym po wyłączeniu RPC w services.msc nie ma juz tej pozycji w logu.
No to czas na poprawiony log:
Logfile of HijackThis v1.99.1
Scan saved at 14:07:50, on 2005-07-22
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\trala\USTAWI~1\Temp\Katalog tymczasowy 15 dla hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0 CE\READER\ACTIVEX\ACROIEHELPER.OCX
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM32\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
Co dalej? Czy włączyć już przywracanie systemu?
Damian
22 Lipiec 2005 12:08
#5
Skopiuj z forum i wklej.
Reszta czysta. Możesz włączyć przywracanie.
Gutek
22 Lipiec 2005 15:09
#6
Sorki @Damian
Jeśli Quick i Real naprawdę potrzebne to proszę łupnąć i zastąpic ich odpowiednikami Real & Quick Alternative. TU
zbędne wpisy hijackiem się pozbądź
Panel sterowania >>> Ustawienia regionalne >>> Języki >>> Detale >>> Zaawansowane >>> odznaczyć usługi tekstowe, zrób tak jeżeli nie używasz innych języków przy pisaniu.
Damian
22 Lipiec 2005 15:16
#7
Napisałem, żeby włączył, bo pytał czy już może.
Niektórym ta opcja jest przydatna.
kuz5
22 Lipiec 2005 15:20
#8
Ponieważ Damian sie pomylił właśnie powinieneś wpisać RPC
Uwaga: banzai jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE
banzai
22 Lipiec 2005 15:36
#9
"Ponieważ Damian sie pomylił właśnie powinieneś wpisać RPC "
? To w koncu jak?
banzai
23 Lipiec 2005 18:55
#11
Czyli w services.msc mam zazanaczyc RPC na automatecznie i tak zostawic?
Damian
24 Lipiec 2005 09:57
#12
Nie, w services.msc masz zatrzymać i wyłączyć Remote Procedure Call, a w HijackThis>>>Misc Tools>>>Delete NT service wpisać RPC.
banzai
24 Lipiec 2005 22:48
#13
A wiec robie tak:
w HijackThis>>>Misc Tools>>>Delete NT service wklejam 11Fßä#·şÄÖ`I
" Service ‘11Fßä#·şÄÖ`I’ was not found in the Registry. Make sure you entered the short name of the service., vbExclamation "
moze co innego powinnam wkleic?
A tak w ogóle to dobrze byłoby się dowiedzieć jaki ma być efekt tego dzialania (za co ten wpis w rej jest odpowiedzialny)?
kuz5
24 Lipiec 2005 23:03
#14
Tak powinieneś wkleić co innego już ci napisałem co:
kuz5:
powinieneś wpisać RPC
Za nic jest odpowiedzialny w rejestrze, jest to syf
banzai:
A wiec robie tak:
Przecież napisałeś że sie tego pozbyłeś
I jest wszystko ok
banzai
25 Lipiec 2005 00:57
#15
A to skoro tak, to dzięki
