Witam wszystkich, do tej pory byłem tylko wiernym czytelnikiem tego forum. Teraz jestem zmuszony napisać. Mam problem ze stroną startową w IE (jak w topicu). Po usunięciu klucza z rejestru wszystko jest OK do momentu restartu. POMOCY!
Logfile of HijackThis v1.99.1 Scan saved at 08:02:57, on 2005-12-15 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\taskswitch.exe C:\Program Files\Executive Software\DiskeeperLite\DKService.exe C:\WINDOWS\system32\RaConfig.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\szczepan\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.■■■■-portal.com O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM…\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe O4 - HKCU…\Run: [AWMON] “C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe” O4 - Global Startup: RaConfig.lnk = C:\WINDOWS\system32\RaConfig.exe O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra ‘Tools’ menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: MySql - Unknown owner - C:/apache/mysql/bin/mysqld-nt.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)
Sunna
(Sunna)
15 Grudzień 2005 09:28
#2
A uzywales CW shredder ?? On sobie dobrze radzi ze strona startowa, sam mi kiedys pomogl. I poszukaj na forum o stronach startowych bo gdzies bylo info jak sie w ie na przyszlosc zabezpieczyc.
Użtkownik Sunna napisał:
Używałem, ale niestety nic nie pomogło Przekopałem wszystkie znane mi miejsca, z innymi tego typu problemami sobie zawsze jakoś radziłem ale teraz klapa Dzięki za podpowiedź, POZDRAWIAM
Gutek
(Gutek)
15 Grudzień 2005 13:54
#4
No wydaje sie czysto ale daj log z Silent Runners
Silent opis: http://www.searchengines.pl/phpbb203/in … opic=15989
mimo, że usuwasz hijackiem ta stronę wraca???
Użytkownik Gutek2222 napisał:
Właśnie mam problema z uruchomieniem Silent Runners Moja winda pisze mi komunikat że uruchamianie skryptów jest zablokowane i musze się skontaktować z administratorem. Nie mam pojęcia o co chodzi, przecież to ja jestem adminem systemu.
Użytkownik Gutek2222 napisał:
Dokładnie tak. Po usunięciu jest OK do momentu restartu.
Gutek
(Gutek)
15 Grudzień 2005 20:13
#6
Czytałeś Silent opis: http://www.searchengines.pl/phpbb203/in … opic=15989 - mas wyjaśnioną sprawę jak jest jakieś problem z silentem
Użytkownik Gutek2222 napisał:
Czytałeś Silent opis:
Już przeczytałem Oto log z Silenta:
“Silent Runners.vbs”, revision 41, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “AWMON” = ““C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe”” [“Lavasoft Sweden”] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “nwiz” = “nwiz.exe /install” [“NVIDIA Corporation”] “NeroFilterCheck” = “C:\WINDOWS\system32\NeroCheck.exe” [“Ahead Software Gmbh”] “RemoteControl” = ““C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”” [“Cyberlink Corp.”] “KAVPersonal50” = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize” [“Kaspersky Lab”] “PinnacleDriverCheck” = “C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg” [empty string] “NvCplDaemon” = “RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup” [MS] “SoundMan” = “SOUNDMAN.EXE” [“Realtek Semiconductor Corp.”] “CoolSwitch” = “C:\WINDOWS\system32\taskswitch.exe” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {A5366673-E8CA-11D3-9CD9-0090271D075B}(Default) = “IeCatch2 Class” [from CLSID] -> {CLSID}\InProcServer32(Default) = “C:\PROGRA~1\FLASHGET\jccatch.dll” [“Amaze Soft”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{1CDB2949-8F65-4355-8456-263E7C208A5D}” = “Eksplorator pulpitu” -> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A47}” = “Desktop Explorer Menu” -> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\nvshell.dll” [“NVIDIA Corporation”] “{B28C18DB-6816-4F31-9630-397683E3C2C3}” = “Filzip Shell Extension” -> {CLSID}\InProcServer32(Default) = “C:\PROGRA~1\Filzip\fzshext.dll” [empty string] “{709C6E11-538F-4759-86AC-6ACB302AA0DE}” = “Desktop Manager” -> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\system32\msvdm.dll” [null data] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ Filzip(Default) = “{B28C18DB-6816-4F31-9630-397683E3C2C3}” -> {CLSID}\InProcServer32(Default) = “C:\PROGRA~1\Filzip\fzshext.dll” [empty string] Kaspersky Anti-Virus(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}” -> {CLSID}\InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll” [“Kaspersky Lab”] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Filzip(Default) = “{B28C18DB-6816-4F31-9630-397683E3C2C3}” -> {CLSID}\InProcServer32(Default) = “C:\PROGRA~1\Filzip\fzshext.dll” [empty string] Kaspersky Anti-Virus(Default) = “{dd230880-495a-11d1-b064-008048ec2fc5}” -> {CLSID}\InProcServer32(Default) = “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll” [“Kaspersky Lab”] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\Documents and Settings\szczepan\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Startup items in “szczepan” & “All Users” startup folders: ---------------------------------------------------------- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart “RaConfig” -> shortcut to: “C:\WINDOWS\system32\RaConfig.exe” [“Ralink Technology, Corp.”] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKLM\Software\Microsoft\Internet Explorer\Toolbar\ “{E0E899AB-F487-11D5-8D29-0050BA6940E3}” = “FlashGet Bar” -> {CLSID}\InProcServer32(Default) = “C:\PROGRA~1\FLASHGET\fgiebar.dll” [“Amaze Soft”] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {D6E814A0-E0C5-11D4-8D29-0050BA6940E3}\ “ButtonText” = “FlashGet” “MenuText” = “&FlashGet” “Exec” = “C:\PROGRA~1\FLASHGET\flashget.exe” [“Amaze Soft”] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ “ButtonText” = “Messenger” “MenuText” = “Windows Messenger” “Exec” = “C:\Program Files\Messenger\msmsgs.exe” [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Diskeeper, Diskeeper, ““C:\Program Files\Executive Software\DiskeeperLite\DKService.exe”” [“Executive Software International, Inc.”] kavsvc, kavsvc, “C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe” [“Kaspersky Lab”] NVIDIA Display Driver Service, NVSvc, “C:\WINDOWS\System32\nvsvc32.exe” [“NVIDIA Corporation”] Publikowanie za pomocą usługi FTP, MSFtpsvc, “C:\WINDOWS\System32\inetsrv\inetinfo.exe” [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ Monitor języka PJL\Driver = “PJLMON.DLL” [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 47 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 129 seconds. ---------- (total run time: 295 seconds)
Mam nadzieję że coś poradzisz
Gutek
(Gutek)
15 Grudzień 2005 21:50
#8
masz włączonego Ad-Watch.exe on blokuje zmianę storny, rejestru i dlatego nie mozemy usunąć albo mienić strony startowej
Wyłącz strażnika - restart, włacz kompa zmien stronę restart restart i włącz starażnika
Użytkownik Gutek2222 napisał:
masz włączonego Ad-Watch.exe on blokuje zmianę storny, rejestru i dlatego nie mozemy usunąć albo mienić strony startowej Wink Wyłącz strażnika - restart, włacz kompa zmien stronę restart restart i włącz starażnika
Pomogło