Cześć
Jestem absolutnym dyletantem w tych sprawach i potrzebuję pomocy fachowca…
Draństwo, co przylazło z netu i teraz ustawia mi się uporczywie jako strona startowa to: http://letgohome.com/hp.htm?id=9
Rzućcie proszę okiem na poniższe listy procesów i wpisów.
To są wpisy z najnowszego HijackThis:
Logfile of HijackThis v1.99.1 Scan saved at 00:06:33, on 2005-04-06 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\interMute\SpySubtract\SpySub.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\ctfmon.exe C:\Documents and Settings\Jakub\Pulpit\nowsze zabezpiecz\hijack1\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://letgohome.com/hp.htm?id=9 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\LZT1NR~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [ccRegVfy] “C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe” O4 - HKLM…\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM…\Run: [sSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Microsoft AntiSpyware helper - {0786FBC8-C535-47FE-ADE9-FFEB73A89787} - (no file) (HKCU) O9 - Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper - {0786FBC8-C535-47FE-ADE9-FFEB73A89787} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {4C32FD5A-2244-4543-8F2C-B83B6940C5CC} - (no file) (HKCU) O9 - Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper - {4C32FD5A-2244-4543-8F2C-B83B6940C5CC} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {9FE4768D-1BC1-4064-9681-1B28517FA60B} - (no file) (HKCU) O9 - Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper - {9FE4768D-1BC1-4064-9681-1B28517FA60B} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {AFC7CC25-D12B-485D-84F0-E49337C734C5} - (no file) (HKCU) O9 - Extra ‘Tools’ menuitem: Microsoft AntiSpyware helper - {AFC7CC25-D12B-485D-84F0-E49337C734C5} - (no file) (HKCU) O13 - WWW. Prefix: http:// O20 - AppInit_DLLs: 8uouc73zoivdfhdll.dll.dll.dll.dll.dll.dll.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
Czy coś z tego Hijacka’a powinienem wywalić???
To są procesy wyświetlone przez processexplorer:
Process PID CPU Description Company Name System Idle Process 0 73 Interrupts n/a 1 Hardware Interrupts DPCs n/a Deferred Procedure Calls System 4 smss.exe 444 Windows NT Session Manager Microsoft Corporation csrss.exe 700 1 Client Server Runtime Process Microsoft Corporation winlogon.exe 732 Aplikacja logowania systemu Windows NT Microsoft Corporation services.exe 776 2 Usługi i aplikacja Kontroler Microsoft Corporation svchost.exe 1040 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1104 Generic Host Process for Win32 Services Microsoft Corporation wuauclt.exe 2072 Klient autoaktualizacji Windows Update Microsoft Corporation svchost.exe 1196 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1260 Generic Host Process for Win32 Services Microsoft Corporation spoolsv.exe 1408 Spooler SubSystem App Microsoft Corporation CCEVTMGR.EXE 1448 Event Manager Service Symantec Corporation alg.exe 1596 Application Layer Gateway Service Microsoft Corporation NAVAPSVC.EXE 1664 Norton AntiVirus Auto-Protect Service Symantec Corporation wdfmgr.exe 1872 Windows User Mode Driver Manager Microsoft Corporation lsass.exe 788 LSA Shell (Export Version) Microsoft Corporation explorer.exe 256 2 Eksplorator Windows Microsoft Corporation ccApp.exe 424 Common Client CC App Symantec Corporation SpySub.exe 1816 SpySubtract Program EXE InterMute, Inc. msimn.exe 3428 Outlook Express Microsoft Corporation procexp.exe 3432 22 Sysinternals Process Explorer Sysinternals HijackThis.exe 112 HijackThis Soeperman Enterprises Ltd. rundll32.exe 688 Uruchamia plik DLL jako aplikację Microsoft Corporation Process: rundll32.exe Pid: 688 Type Name Desktop \Default Directory \Windows Directory \BaseNamedObjects Directory \KnownDlls Event \BaseNamedObjects\crypt32LogoffEvent File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 File C:\Documents and Settings\Jakub\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat File C:\Documents and Settings\Jakub\Cookies\index.dat File C:\Documents and Settings\Jakub\Ustawienia lokalne\Historia\History.IE5\index.dat File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 File \Device\KsecDD File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 File C:\Documents and Settings\Jakub File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 File C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805 Key HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings Key HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer Key HKLM Key HKCU Key HKCR Key HKLM\SOFTWARE\Microsoft\COM3 Key HKU Key HKCR Key HKU Key HKLM\SOFTWARE\Microsoft\COM3 Key HKLM\SOFTWARE\Microsoft\COM3 Key HKCR\CLSID Key HKCR Key HKLM\SOFTWARE\Microsoft\COM3 Key HKU Key HKLM\SOFTWARE\Microsoft\COM3 Key HKLM\SOFTWARE\Microsoft\COM3 Key HKCR\CLSID Key HKCU\Software\Classes Key HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU Key HKCU\Software\Microsoft\Internet Explorer\TypedURLs KeyedEvent \KernelObjects\CritSecOutOfMemoryEvent Mutant \BaseNamedObjects_!MSFTHISTORY!_ Mutant \BaseNamedObjects\c:!documents and settings!jakub!ustawienia lokalne!temporary internet files!content.ie5! Mutant \BaseNamedObjects\c:!documents and settings!jakub!cookies! Mutant \BaseNamedObjects\c:!documents and settings!jakub!ustawienia lokalne!historia!history.ie5! Mutant \BaseNamedObjects\WininetStartupMutex Mutant \BaseNamedObjects\WininetConnectionMutex Mutant \BaseNamedObjects\WininetProxyRegistryMutex Process rundll32.exe(688) Section \BaseNamedObjects\C:_Documents and Settings_Jakub_Ustawienia lokalne_Temporary Internet Files_Content.IE5_index.dat_65536 Section \BaseNamedObjects\C:_Documents and Settings_Jakub_Ustawienia lokalne_Historia_History.IE5_index.dat_2326528 Section \BaseNamedObjects\C:_Documents and Settings_Jakub_Cookies_index.dat_81920 Section \BaseNamedObjects__R_000000000007_SMem__ Semaphore \BaseNamedObjects\shell.{210A4BA0-3AEA-1069-A2D9-08002B30309D} Semaphore \BaseNamedObjects\shell.{7CB834F0-527B-11D2-9D1F-0000F805CA57} Semaphore \BaseNamedObjects\shell.{A48F1A32-A340-11D1-BC6B-00A0C90312E1} Thread rundll32.exe(688): 2064 WindowStation \Windows\WindowStations\WinSta0 WindowStation \Windows\WindowStations\WinSta0
Czy suspendować albo killować któreś z nich? Które???
Możliwe, żeby to było coś wrednego z Symantec, z Microsoft, albo z folderu system32 ??? Jeśli tak, to które to???
Oczywiście z Hijacka wpis z ‘letgohome’ wywalam pracowicie, ale on wraca zazwyczaj natychmiast, a czasem po pewnym (krótkim) czasie.
Podobnie jest z przestawianiem strony startowej w opcjach internetowych…
CO ROBIĆ???
Są może dostępne w sieci jakieś nieodpłatne, czulsze od tych powyższych, programy do zwalczania takiego draństwa? Byłbym wdzięczny za linki i krótki instruktarz, jak z nich skorzystać…
Aha - do tego ad-aware za każdym razem (skanując w sumie raz po razie) wykrywa po kilka-kilkanaście świństw w typie:
CoolWebSerch; RegKey; Malware; HKEY_CLASSES_ROOT:plugin6.dnserrobj\ itp., mimo że od inernetu jestem cały czas odłączony.
Pozdrawiam i czekam na pomoc
na granicy samobójstwa (czytaj - formatowania dysku)
Jakubek