Jak w tytule.
Hej:!:
Zacznijmy może tak : Logi numerujmy np,
01 LOG
treść loga
02 LOG
treść loga
ODPOWIEDZI
01 Odpowiedź :
Treść odpowiedzi
02 Odpowiedź :
Treść odpowiedzi
Logii wklejmy zawsze; zrobione najnowsza dostepne wersja Hijack
–Down1–
http://www.spywareinfo.com/~merijn/downloads.html (homepage)
–Down2–
http://www.majorgeeks.com/download3155.html
HijackThis - narzedzie diagnostyczne (opis+intrucja)
http://www.searchengines.pl/phpbb203/in … =15989&hl=
sprawdz sam, swoj wpis
przydatne /dodatki/
BHO & Toolbar List
/02 - BHO czyli Browser Helper Objects/
/O3 - Paski narzędziowe w IE/
http://www.sysinfo.org/bholist.php
INFO:
wpisujesz class ID (CLSID)
np.
O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
8E718888-423F-11D2-876E-00A0C9082467
PacMan’s Startup List
/O4 - Autostart programów z kluczy rejestru lub folderu Startup/
http://www.sysinfo.org/startuplist.php
INFO:
X - (wejścia oznaczone jako X są tymi które czym prędzej należy kasować!).
Running processes
http://www.liutilities.com/products/win … sslibrary/
(otwarte procesy)
/zabicie procesu/ dwa sposoby
-
Alt-Ctrl-Del i zabicie danego procesu
-
Start w trybie awaryjnym
To ja zaczne od mojego Loga:
LOG 1
P.S. Dobry pomysł z przyklejeniem tego tematu do forum “Problemy”, tego nam trzeba było, strzał w dziesiątke
kasujesz w trybie awaryjnym
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C** :\WINDOWS\system32\qmupm.dll/sp.html#29126**
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C** :\WINDOWS\system32\qmupm.dll/sp.html#29126**
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C** :\WINDOWS\system32\qmupm.dll/sp.html#29126**
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C** :\WINDOWS\system32\qmupm.dll/sp.html#29126**
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C** :\WINDOWS\system32\qmupm.dll/sp.html#29126**
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C** :\WINDOWS\system32\qmupm.dll/sp.html#29126**
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C** :\WINDOWS\system32\qmupm.dll/sp.html#29126**
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {FA9B33EE-6AA5-0861-55D2-E2A766D4C7CC} - C:\WINDOWS\crgx32.dll
------------------------------------------------------------------
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM…\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
(znasz zostawiasz /NIE/ kasacja)
------------------------------------------------------------------
O4 - HKLM…\Run: [javasf.exe] C:\WINDOWS\system32\javasf.exe
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /backgroun
(nieuzywasz kasujesz/wylaczasz np. sobie za pomoca tego
xp-AntiSpy_V3.9-1)
O4 - Global Startup: 22M WLAN Adapter.lnk = ?
O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm
(kasacja dla bezpieczenstwa / niesciagsz danych za pomoca IE)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
------------------------------------------------------------------
O16 - DPF: {0B682CC1-FB40-4006-A5DD-99EDD3C9095D} (vbiewer control) - http://www.thepaymentcentre.com/build/vbiewer.cab
O16 - DPF: {50AD557E-3426-41FD-AFDD-2AF39BB1C387} - http://akamai.downloadv3.com/binaries/L … _EN_XP.cab
O16 - DPF: {AB8638BB-79E8-4E9D-ABF2-8F33054E3941} (Guesser Class) - http://czat.onet.pl/client/kalambury/NetPunGame.dll
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
(jesli ktorys znasz potrzebny ci to zostawiasz)
sciagasz CWShredder_v1.59.1
skanujesz kompa
http://www.majorgeeks.com/download4086.html
potem PestPAtrol
dalej Webroot Spy Audit, mks_vir, RAV, F-Secure
http://forum.dobreprogramy.pl/viewtopic … pestpatrol
Na koniec jak zawsze zabezpieczasz kompa
link wyzej jak i ponizej /opis/
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
Sterowniki drukarki .Zostaw to w spokoju bo jutro się zdziwisz dlaczego nie działa. Ps . wyłącz przywracanie sytemu A co to takiego
C:\WINDOWS\netsp32.exe
Trojanek ??
Jak nie pomagasz to nie komentuj :evil: :evil: :evil:
OT KOSZ
UpDate:
Jak będziecie Offtopicować w tym wątku to go od razu połyżycie i na 100% nie bedzie on czytelny
Phylby wklajam to dltatego ze sama mam drukarke Hewlett-Packard
O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM…\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
i mam tak zamiast tego /hpztsb09.exe/ mam to /hpztsb08.exe/
a tej pozycji wogule nie mam
O4 - HKLM…\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
wiec dlatego tak napisalam jak
(znasz zostawiasz /NIE/ kasacja)
C:\WINDOWS\netsp32.exe
zabijasz na 100% ten proces /w calej sieci niema wogule tego/
/odnajdujesz wszystkie takie pliki i tez kasujesz/
Kamcia_18 > jest Ok ale co to jest to >
C:\WINDOWS\netsp32.exe
???
Z nieba mi spadliscie Mam nadzieje ze ktos mi pomoze.
Logfile of HijackThis v1.98.2
Scan saved at 11:59:47, on 2004-10-06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\servicepack2.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\sistray.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\ola\wirus\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page … _id=151990
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page … _id=151990
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page … _id=151990
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll (file missing)
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll (file missing)
O4 - HKLM…\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [QuickTime Task] “C:\WINDOWS\system32\qttask.exe” -atboottime
O4 - HKLM…\Run: [siS Tray] C:\WINDOWS\System32\sistray.exe
O4 - HKLM…\Run: [] C:\WINDOWS\system32\userinit.exe
O4 - HKLM…\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM…\Run: [internet Optimizer] “C:\Program Files\Internet Optimizer\optimize.exe”
O4 - HKLM…\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM…\Run: [WebRebates0] “C:\Program Files\Web_Rebates\WebRebates0.exe”
O4 - HKLM…\Run: [gpqj] C:\WINDOWS\gpqj.exe
O4 - HKLM…\Run: [Power Scan] C:\Program Files\Power Scan\powerscan.exe
O4 - HKLM…\Run: [MicrosoftXP Service Pack 2] servicepack2.exe
O4 - HKLM…\RunServices: [MicrosoftXP Service Pack 2] servicepack2.exe
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
O4 - HKCU…\Run: [statBar] C:\Program Files\Globe Software\StatBar\StatBar.exe
O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. … b48fb41815
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares … _adult.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip…{3E096086-A525-442C-A34F-259279B3CCA0}: NameServer = 217.30.129.149,217.30.137.200
O17 - HKLM\System\CS1\Services\Tcpip…{3E096086-A525-442C-A34F-259279B3CCA0}: NameServer = 217.30.129.149,217.30.137.200
O17 - HKLM\System\CS2\Services\Tcpip…{3E096086-A525-442C-A34F-259279B3CCA0}: NameServer = 217.30.129.149,217.30.137.200
AlekSandra_
Wyłącz przywracanie systemu
Start w trybie awaryjnym -klawisz F8
Za pomocą HijackThis usuń
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=151990
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://www.couldnotfind.com/search_page.html?&account_id=151990
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=151990
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll (file missing
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Program Files\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program Files\SideFind\sfbho.dll (file missing)
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\ISTbar\istbar.dll (file missing)
To jest z trojana W32.Sandalu
Usuwasz tak jak te wyżej Znajdz ręcznie na dysku ten folder i usuń> Jak ma proces tu go ubij . CopyLockCopyLock Zaznaczasz plik , klikasz Add a potem Replace i restart kmpa. Kasuje przed załdaowaniem sys. Dalej
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Program Files\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [gpqj] C:\WINDOWS\gpqj.exe
Ręcznie usuń foldery - conscorr.exe - WebRebates0.exe- gpqj.exe Pewnie bądą ukryte to szulaj w “ukrytych” Jak maja procesy " ubij" Jeśli nie instalowałeś tego programu :
O4 - HKCU\..\Run: [StatBar] C:\Program Files\Globe Software\StatBar\StatBar.exe
To na uat -bez pytania. Dalej
O4 - Global Startup: hpoddt01.exe.lnk = ?
To jest zdaje sie następny trojanek . Sprawdz i usuń to co jest napisane w linkuhttp://securityresponse.symantec.com/av … prova.htmlZnowu jakiś wirus albo dajej ten sam trojan.
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
Dalej
O8 - Extra context menu item: Web Rebates - file://C:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Program Files\SideFind\sidefind.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=609d8a658b048fcbcc650c78400935974811ce11f5ea2295a6aeea844cc15026290b175c77dc89f37800b8120a2c1beddd52d24167b2cef99e83ed9113baae5e:2525bf2a2c42e6b8c3c77bb48fb41815
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
Owiedzasz wszystkie scanery
http://security.symantec.com/sscv6/defa … &venid=sym
http://www.pandasoftware.com/activescan … IdPais=152
http://www.spywareinfo.com/xscan.php
http://www.webroot.com/services/spyaudit_03.htm
Pobierasz i działeś tym programem
http://download.zonelabs.com/bin/free/p … olHome.exe
Pobierasz
http://www.dobreprogramy.com/index.php?dz=2&id=574&t=55
Sprawdzas co jest w pliku HOSTS … Jest na zakłatce Opcje
Usuwaz z niego wszystko ! ma stać tylko wpis 127.0.0.1 localhost
Możesz zaznaczyć teraz “zabolkuj.”
instalujesz sobie jeszcze
Ad-aware SE Personal 1.05
CWShredder 1.59.1
Spybot Search & Destroy 1.3
http://www.dobreprogramy.com/index.php?dz=1&t=55
Uffff. Normalnie masz całkowitą kaszankę na kompie
Zainstaluj SP1 na wimdowsa i SP1 na IE
Oto log do przeanalizowania:
Logfile of HijackThis v1.98.2
Scan saved at 20:49:09, on 2004-10-06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Macromedia\Flash MX 2004\Flash.exe
C:\DOCUME~1\Raq\USTAWI~1\Temp\~e5d141.tmp
C:\DOCUME~1\Raq\USTAWI~1\Temp\~e5d141.tmp
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Raq\USTAWI~1\Temp\Rar$EX00.412\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://members.lycos.co.uk/danielraq/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Śmieć\Program Files\Gadu-Gadu\gg.exe" /tray
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Ten tez
Logfile of HijackThis v1.97.7
Scan saved at 22:35:55, on 2004-10-06
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Steam\Steam.exe
D:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\Teamspeak2_RC2\TeamSpeak.exe
C:\Program Files\ABC\ABC.exe
C:\Documents and Settings\David\Pulpit\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://o2.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Program Files\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Program Files\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Steam] C:\Steam\Steam.exe -silent
O4 - Startup: Neostrada Plus.lnk = C:\Program Files\Wanadoo\EspaceWanadoo.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Badanie (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d9e142b50554d145ae1adefa032956f30588130c7a24897b98c70b21112bdefdf8e14f292f641a9fbac16900c5eb337458afea412a57f92bf92a995c7b068353:4988410fc26869297cfaa5002feb2f13
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68D50011-7764-44F4-9FCE-739971B92211}: NameServer = 194.204.152.34 217.98.63.164
Raq
Poczekaj, aż jakiś wymiatacz looknie na to co napisałem i odniesie się do tego Ale na moje oko, to:
Możesz (ale nie musisz) wyłączyć z autostartu - zabiera pamięć podczas łądowania OSa i spowalnia go.
Jeśli nie używasz - tak samo jak z Java oraz NeroCheck.
Albo poprzez Start Uruchom wspisz msconfig zakładka Uruchamianie i odchaczasz.
Można też np RegCleanerem - zakładka Autostart
Usuwasz - jakieś pozostałości chyba - brakuje plików.
Te dwa też usuwasz. Przed rozpoczęciem kasacji na wszelki wypadek wyłącz przywracanie systemu.
Dla mnie log masz czysty.
:okulary:
C:\DOCUME~1\Raq\USTAWI~1\Temp\~e5d141.tmp
C:\DOCUME~1\Raq\USTAWI~1\Temp\~e5d141.tmp
Odwołanie do plków tymczasowych wykasuj.
Zrób to co napisał powyżej wSz.
Podstawowa sprawa, brak SP1 dla XP, można teraz pisać SP2 :twisted: , jak już wielokrotnie pisałem, inni rónież, brak Service pack’a nie daje Ci możliwości załatać systemu. Mając stały dostęp do Net’a należy zainstalować SP1 i wszystke dostępne poprawki krytyczne.
Oczywiście łacząc się przez modem również należy mieć zabezpieczony system
:okulary:
do mbr
Log czysty
i zrob skan np.
–F-Secure–
http://support.f-secure.com/enu/home/ols.shtml
jesli niemasz /SpywareBlaster/ to sobie go zainstaluj
zabezpieczysz przegladarki sobie
http://forum.dobreprogramy.pl/viewtopic … ht=blaster
do Raq wklej caluski Log z Hijack no chyba ze to jest caly hihih
kasujesz tak tylko (reszta w porzadku)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customi … ch/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customi … .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://members.lycos.co.uk/danielraq/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi … .yahoo.com
O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background
(uzywasz zostawiasz /NIE/ kasujesz) uzyj np. AntiSpy_V3.9-1
do wylaczenia calkowitego /zjedz na sam dol/
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
wejcia 09 można zawsze usuwac bez uszczerbku na zdrowiu
(systemu/kompa)
Potem skanujesz Pestem
–Pest-Scan–
/znajdzie cos/ pobierasz Home Pesta
http://download.zonelabs.com/bin/free/p … olHome.exe
dalej skan
–GeCAD (RAV)–
http://www.ravantivirus.com/scan/
–F-Secure–
http://support.f-secure.com/enu/home/ols.shtml
Na koniec zabezpieczenie przegladarek
/SpywareBlaster/
http://forum.dobreprogramy.pl/viewtopic … ht=blaster
/Pesta juz zostawiasz na kompie na stale
bedzie skanowal w czasie rzeczywistym
i wywalal co trzeba/
xp-AntiSpy Polish
http://xp-antispy.org/index.php?option= … lecatid=45
xp-AntiSpy Setup Polish
Chcesz całuski ?
No to proszę:
:cmok1: :cmok1: :cmok1: :cmok1: :cmok1:
Tu misu być coś nie tak, ponieważ nie mogę zamienić strony startowej:
P.S. To jest już log zrobiony później, po wystąpieniu zmiany startowej.
Logfile of HijackThis v1.98.2
Scan saved at 21:49:07, on 2004-10-08
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Opera\opera.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Total commander\TOTALCMD.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Raq\USTAWI~1\Temp\Rar$EX00.284\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=632
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=632
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\J8HR3F~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm9.chm::/file1.exe
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
O20 - AppInit_DLLs: z6uwngdf2hi.dll
Użyj programu CWShredder - dostępny na vortalu
To miało polecieć :? Rozumiem, że nie wyszło. Spróbuj w trybie awaryjnym usunąć i jeśli masz włączone przywracanie OSa to wcześniej wyłącz. Może pomoże
Wylacz przywracanie, wyrzuc smieci, wlacz przywracanie ponownie
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=632
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=632
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\J8HR3F~1.DLL
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm9.chm::/file1.exe
O20 - AppInit_DLLs: z6uwngdf2hi.dll