CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo chyba przegialem z Hijack... zobaczcie prosze

chyba przegialem z Hijack... zobaczcie prosze

Zlapalem wczoraj jakisgos trojana/dialera czy inny badziew i chyba przegialem z Hijack :( zniknela mi tapeta pulpitu i nie da sie jej przywrucic ani ustawic zadnej innej, mam teraz takie cos:

Zobaczcie prosze ten log i powiedzcie czego waznego tu brakuje, albo w ogole co z ta tapeta jesli z loga nic sie nie da wywnioskowac.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\Microsoft IntelliPoint\point32.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
D:\Downloads2\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.1/
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FLASHGET\jccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 – HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 – HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [Windows installer] C:\winstall.exe
O8 – Extra context menu item: Download All by FlashGet – C:\Program Files\FlashGet\jc_all.htm
O8 – Extra context menu item: Download using FlashGet – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FLASHGET\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FLASHGET\flashget.exe
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105404024640
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{F608E6A3–B84B–47A7–8EB5–D2F7CE39D36D}: NameServer = 192.168.1.1
O23 – Service: AntiVir Service – H+BEDV Datentechnik GmbH – C:\Program Files\AVPersonal\AVGUARD.EXE
O23 – Service: NVIDIA Display Driver Service – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe

Odpowiedzi: 9

macboy:
co mam z tego usunac??
Na poczatek http://forum.centrumxp.pl/viewtopic.php?t=37513
EL NINO
Dodano
06.10.2005 02:37:21
ja mam tak samo problem z tym niebieskim pulpitem :(

oto moje logi

Logfile of HijackThis v1.98.2
Scan saved at 22:01:21, on 2005–10–05
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\explorer.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
D:\WINDOWS\SOUNDMAN.EXE
D:\Program Files\Winamp\winampa.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\Program Files\Microsoft AntiSpyware\gcasServ.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\WinZip\WZQKPICK.EXE
D:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Norton AntiVirus\SAVScan.exe
D:\Program Files\Common Files\Symantec Shared\CCPD–LC\symlcsvc.exe
D:\Program Files\Gadu–Gadu\gg.exe
D:\Program Files\internet explorer\IEXPLORE.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\internet explorer\IEXPLORE.EXE
D:\Program Files\Kazaa Lite Rewolucja\kazaalite.kpp
D:\PROGRA~1\DAP\DAP.exe
C:\My Downloads\hijackthis\HijackThis.exe

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/lobby/search.asp
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 – HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 – HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0415
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: Shell=explorer.exe "D:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – D:\Program Files\Norton AntiVirus\NavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – D:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 – HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [Vh$ć/G%)fNbD:\Program Files\ISTsvc\istsvc.exe] D:\WINDOWS\kxpwvaay.exe
O4 – HKLM\..\Run: [SysMemory manager] d:\windows\system32\mdms.exe
O4 – HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 – HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 – HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 – HKLM\..\Run: [combo.exe] combo.exe
O4 – HKLM\..\Run: [ATICCC] "D:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 – HKLM\..\Run: [KAZAA] "D:\Program Files\Kazaa Lite Rewolucja\kpp.exe" "D:\Program Files\Kazaa Lite Rewolucja\kazaalite.kpp" /SYSTRAY
O4 – HKLM\..\Run: [DownloadAccelerator] "D:\Program Files\DAP\DAP.EXE" /STARTUP
O4 – HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Gadu–Gadu] "D:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [Shell] "D:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 – Global Startup: Check Local Printer.lnk = D:\Program Files\KXP6X00\Chkpnt.exe
O4 – Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: WinZip Quick Pick.lnk = D:\Program Files\WinZip\WZQKPICK.EXE
O8 – Extra context menu item: &Download with &DAP – D:\Program Files\DAP\dapextie.htm
O8 – Extra context menu item: Download &all with DAP – D:\Program Files\DAP\dapextie2.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – D:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – D:\WINDOWS\web\related.htm

co mam z tego usunac??
macboy
Dodano
06.10.2005 00:07:03
Wielkie dzieki, juz wszystko cacy.
loky
Dodano
04.07.2005 20:03:38
loky:
ten systime i winstal mam tez w startupie w msconfig, wywalic tez ?


Oczywiscie, przeszukaj rejestr i wszystkie wpisy z tymi nazwami wywal.
Bobi
Dodano
04.07.2005 19:56:06
ten systime i winstal mam tez w startupie w msconfig, wywalic tez ?
loky
Dodano
04.07.2005 19:49:01
ten systime i winstal mam tez w startupie w msconfig, wywalic tez ?
loky
Dodano
04.07.2005 19:49:01
loky:
Co znaczy wyboldowane? Mam te 2 pliki poprostu usunac?


Wyboldowane – pogrubione
Zgadza się, wywalić je z dysku.
Bobi
Dodano
04.07.2005 19:46:27
Myslalem ze z tym co sie do mnie przyczepilo wczoraj juz sobie poradzilem, wiec ni edalem tego do tego dzialu.
Startowka jest Ok.

Co znaczy wyboldowane? Mam te 2 pliki poprostu usunac?

desktop.html nie mialem

tapeta juz jest po dodaniu tego do rejestru
loky
Dodano
04.07.2005 19:36:08
Forum jest podzielone na działy i mało tego naleźy tematy w odpowiednich działach umieszczać.

Sam ustawiałeś tą sieciową stronę startową ?
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.1/


Usun wpisy i wyboldowane pliki z dysku:
O4 – HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 – HKCU\..\Run: [Windows installer] C:\winstall.exe


Otworz notatnik i wklej do niego:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"ForceActiveDesktopOn"=–

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"Wallpaper"=–

Zapisz jako wszystkie pliki, za nazwę podaj np. fix.reg
Z dysku usun plik C:\WINDOWS\desktop.html
Bobi
Dodano
04.07.2005 19:24:50
loky
Dodano:
04.07.2005 19:11:59
Komentarzy:
9
Strona 1 / 1