czy to jakis wirus?
hmmm moze zaczne od tego ze właczyłem tryb awaryjny a gdy uruchomilem ponownie kompa pulpit jest taki jakis taki :D ze nic nie mozna na nim zrobic :evil: moze zaczne od tego ze znikly wszystkie skroty :( potem co zauwazylem to to ze jak klikne PPM na pulpit to nic sie nie dzieje... na pasku zadan dziala. gdy wejde we wlasciwosci, zakladaka pulpit, to tam nic nie moge zmienic... a gdzie sie wybiera tapete jest ikona strony internetowej podpisana desktop. w c:\ pojawil mi sie folder desktop... prosze o jakąs dobra rade :)
Odpowiedzi: 18
Bobi_robert:
W swoim – swoje, u brata na koncie – brata
jak zmieniam u siebie to u brata tez sie zmiania... a na pulpicie pojawiaja mi sie pliki *.txt ktore w nazwie maja adres strony gdzie przed chwila weszlem np. matj@onet[2]
UPDATE:
juz jest dobrze z tymi kluczami ;] a pliki *.txt sie pojawialy przez to, gdyz przez przypadek zmienilem wartosc Cookie na swoj pulpit :P
Ijeszcze jedna sprawa... w kluczach:
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
:arrow: HKEY_USERS\S–1–5–21–NUMERKI*\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
sa wartosci o nazwie Custom Desktop. zmienilem ich dane na:
c:\Document and setting\MÓJ LOGIN\Pulpit,
wczesniej bylo tam:
c:\desktop
czy to dobrze :?: :P
a nizej screen jak dziwnie wyglada mój pilpit... na brata loginie jest normalnie.
:arrow: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders :idea: dane wartosci: wlasnie, tu mam wpisac swoje, brata czy All Users?
W swoim – swoje, u brata na koncie – brata
:arrow: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
:idea: dane wartosci: Jak Wyzej :)
J/w
:arrow: HKEY_USERS\S–1–5–21–NUMERKI*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders :idea: dane wartosci: C:\Documents and Settings\MaTj\Pulpit (w tym kluczu jest jeszcze "User Shell Folders" tam tez zmienic wartosc? ja dalem C:\Documents and Settings\MaTj\Pulpit)
Dobrze, ale na bracie to samo tyle ze nazwa profilu brata
Co do "User Shell Folders" to jesli jest tak taka wartosc i dane wartosci to C:\Desktop to wyedytuj ją
:arrow: HKEY_USERS\S–1–5–21–NUMERKI*_Classes\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
:idea: u mnie tego poprostu nie ma :P jest dalej software\microsoft\MediaPlayer ;] nie ma Windows :P
Wiec zostaw
ko, pozamienialem juz wszystko... nie wiem czy dokladnie ;] ale jest :)
:arrow: ikony na pulpicie, dokladniej ich nazwy, nie sa na przezroczystym tle :/
:arrow: Pozostalo to, ze musze dlugo czekac az sie zaloguję :/
:arrow: chyba cos jeszcze jest nie tak :/ ja nie czaje za bardzo tych kluczow ale zrobilem to co moglem... nizej podana lista jak zmienilem je na swoim loginie ;]
:arrow: folder c:\desktop w koncu usunałem :)
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders :idea: dane wartosci: C:\Documents and Settings\MaTj\Pulpit
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders :idea: dane wartosci: C:\Documents and Settings\MaTj\Pulpit
:arrow: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders :idea: dane wartosci: wlasnie, tu mam wpisac swoje, brata czy All Users?
:arrow: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
:idea: dane wartosci: Jak Wyzej :)
:arrow: HKEY_USERS\S–1–5–21–NUMERKI*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders :idea: dane wartosci: C:\Documents and Settings\MaTj\Pulpit (w tym kluczu jest jeszcze "User Shell Folders" tam tez zmienic wartosc? ja dalem C:\Documents and Settings\MaTj\Pulpit)
:arrow: HKEY_USERS\S–1–5–21–NUMERKI*_Classes\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
:idea: u mnie tego poprostu nie ma :P jest dalej software\microsoft\MediaPlayer ;] nie ma Windows :P
jesli zrobilem jakis bład to powiedz... wielkie THX za wysilek z Twojej strony :) i sory ze zadaje takie męczące pytania ;]
:arrow: ikony na pulpicie, dokladniej ich nazwy, nie sa na przezroczystym tle :/
:arrow: Pozostalo to, ze musze dlugo czekac az sie zaloguję :/
:arrow: chyba cos jeszcze jest nie tak :/ ja nie czaje za bardzo tych kluczow ale zrobilem to co moglem... nizej podana lista jak zmienilem je na swoim loginie ;]
:arrow: folder c:\desktop w koncu usunałem :)
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders :idea: dane wartosci: C:\Documents and Settings\MaTj\Pulpit
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders :idea: dane wartosci: C:\Documents and Settings\MaTj\Pulpit
:arrow: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders :idea: dane wartosci: wlasnie, tu mam wpisac swoje, brata czy All Users?
:arrow: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
:idea: dane wartosci: Jak Wyzej :)
:arrow: HKEY_USERS\S–1–5–21–NUMERKI*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders :idea: dane wartosci: C:\Documents and Settings\MaTj\Pulpit (w tym kluczu jest jeszcze "User Shell Folders" tam tez zmienic wartosc? ja dalem C:\Documents and Settings\MaTj\Pulpit)
:arrow: HKEY_USERS\S–1–5–21–NUMERKI*_Classes\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
:idea: u mnie tego poprostu nie ma :P jest dalej software\microsoft\MediaPlayer ;] nie ma Windows :P
jesli zrobilem jakis bład to powiedz... wielkie THX za wysilek z Twojej strony :) i sory ze zadaje takie męczące pytania ;]
Logujesz sie na swoj zmieniasz w swoim CURRENT_USER, a pozniej logujesz sie na brata i u niego w tez w CURRENT_USER
Cala sciezke
Jeszcze jedna sprawa nie tak: c:\documment and settings\all users\pulpit, a tak:
C:\Documents and Settings\All Users\Pulpit
Wiec tak bedzie ;) ale to przy ALL USERS? bo z tego zo zrozumialem to w niektorych kluczach bede musial wpisac profil uzytkownika c:\Documents and Settings\MÓJ LOGIN\Pulpit. Ale ja mam dwa profile ;] wiec wpisze jeden (swój) a co z drugim? (bratnim) :P
Jeszcze jedna sprawa nie tak: c:\documment and settings\all users\pulpit, a tak:
C:\Documents and Settings\All Users\Pulpit
C:\Documents and Settings\All Users\Pulpit
Cala sciezke
c:\documment and settings\all users\pulpit
Dobrze wpisana nazwa profilu w wartosci ??
tzn. mam wpisac %ALLUSERPROFILE%\pulpit lub %USERPROFILE%\Pulpit (zalezy gdzie) czy mam wpisywac c:\documment and settings\all users\pulpit? bo ja mam dwa loginy... moj i brata. Bo ja teraz wpisalem z tymi procentami i jest taki błąd.
...wyskakuje taki błąd "załącznik"
Dobrze wpisana nazwa profilu w wartosci ??
Reboot – ponowne uruchomienie
C:\Desktop wpisz do Killboxa i zaznacz zeby usunal po reboot'cie
hihi ostatni akapit rozumialem spox... drugi od konca juz zrobilem. Zostal tylko trzeci od konca, a dokladniej te NUMERKI... :P w tych numerkach nie wiem o co chodzi ;]
Juz dziala PPM na pulpicie :D jeszcze tylko zostalo to ze nie widac na nim ikon
co to znaczy po reebot'cie?
UPDATE:
spoko juz wiem o co chodzi w tych numerkach ;]jeszcze tylko co to jest ten reboot
UPDATE: :D
zmienilem juz to wszystko w kluczach. ponownie uruchomilem kompa i wyskakuje taki błąd "załącznik"
c:\desktop nadal nie jest usuniety :P
Juz dziala PPM na pulpicie :D jeszcze tylko zostalo to ze nie widac na nim ikon
co to znaczy po reebot'cie?
UPDATE:
spoko juz wiem o co chodzi w tych numerkach ;]jeszcze tylko co to jest ten reboot
UPDATE: :D
zmienilem juz to wszystko w kluczach. ponownie uruchomilem kompa i wyskakuje taki błąd "załącznik"
c:\desktop nadal nie jest usuniety :P
Niektore wartosci usuwasz inne modyfikujesz, pamietaj o tym, wszystko napisałem
C:\Desktop usun Killboxem po reboot'cie systemu
Przedostatni akapit – idziesz po kluczach i na koncu z prawej masz Common Desktop, klikasz nań dwa razy i w oknie ktore Ci sie pojawi usuwasz poprzednia wartosc i wklejasz w to miejsce %ALLUSERSPROFILE%\Pulpit
Ostatni – idziesz po ostatniego klucza i z prawej usuwasz Wallpaper
C:\Desktop usun Killboxem po reboot'cie systemu
Przedostatni akapit – idziesz po kluczach i na koncu z prawej masz Common Desktop, klikasz nań dwa razy i w oknie ktore Ci sie pojawi usuwasz poprzednia wartosc i wklejasz w to miejsce %ALLUSERSPROFILE%\Pulpit
Ostatni – idziesz po ostatniego klucza i z prawej usuwasz Wallpaper
dobra zacząłem usuwac te pliki na awaryjnym... i tak mi sie zje*** komp, ze pasek mi znikl i wszystko na pulpicie :shock: ze uruchomilem ponownie kompa i chcialem sie normalnie zalogowac na moj login... ***!!! :shock: nic sie nie wczytuje :| tak jakby sie zawieszal, ani nie ma paska ani nie ma niczego :shock: nie wiem co to sa za pliki co mi kazales usunac ale c:\desktop nie da sie usunac. kompa mialem gowno :? teraz mam wielkie gowno :roll: dosyc ze brat mnie zabil to teraz mnie jeszcze dobije. cale szczescie ze na jego login mozna sie zalogowac, a moj sie teraz sypie :/
UPDATE:
ok! udalo sie zalogowac (za dwudziestym razem) usuwam po kolei te wartosci co mi podales... niektorych nie ma wiec nie moge usunac.
UPDATE:
ko! no to zrobilem to co umialem. lecz dwoch przed ostatnich akapitow (mozna tak powiedziec) nie rozumiem :/ wiem, ze wejsc w regedit wyszukac te klucze i jak np. wejde w pierwszy to co mam zrobic? ekhm mozesz troche jasniej mi wytlumaczyc? :D
UPDATE:
ok! udalo sie zalogowac (za dwudziestym razem) usuwam po kolei te wartosci co mi podales... niektorych nie ma wiec nie moge usunac.
UPDATE:
ko! no to zrobilem to co umialem. lecz dwoch przed ostatnich akapitow (mozna tak powiedziec) nie rozumiem :/ wiem, ze wejsc w regedit wyszukac te klucze i jak np. wejde w pierwszy to co mam zrobic? ekhm mozesz troche jasniej mi wytlumaczyc? :D
Dobra wiec robimy tak
1. Sciagasz Pocked Killbox
2. Startujesz do awaryjnego
3. Odpalasz Killboxa i wpisujesz do niego po kolei pliki do usuniecia i wciskasz czerwonego X
Pliki to:
%System%\vdt_16.exe
%System%\i.a3d
%System%\draw32.dll
%System%\vm.dll
%System%\vdnt32.sys
%System%\hm.sys
%System%\memlow.sys
%System%\wd.sys
%System%\p2.ini
%Windir%\dt163.dt
C:\Desktop
C:\Windows\desktop.html
Gdzie %System% to sciezka C:\Windows\system32,
%Windir% – C:\Windows, poniewaz Killbox nie rozpoznje tych skrótów w procentach
4. Usuwasz w rejestrze klucze (jesli sa) wymienione na stronie Symanteca
5. Odpalasz regedit i:
– Klucze:
:arrow: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
usun: >> NoViewContextMenu
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
usun:
>> NoViewContextMenu
>> NoSetTaskbar
>> NoSaveSettings
– Klucze:
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
:arrow: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
:arrow: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
:arrow: HKEY_USERS\S–1–5–21–NUMERKI*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
:arrow: HKEY_USERS\S–1–5–21–NUMERKI*_Classes\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Edytujesz wartosci Desktop, za dane wpisujesz w kazdym %USERPROFILE%\Pulpit
* NUMERKI czyli zmienne liczby, u kazdego inne
Sa to zazwyczaj dwa ostatnie klucze w głownym HKEY_USERS
– Klucze:
:arrow: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
:arrow: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Wartosci Common Desktop edytujesz do postaci %ALLUSERSPROFILE%\Pulpit
– Klucz:
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Skasuj wartosc Wallpaper
1. Sciagasz Pocked Killbox
2. Startujesz do awaryjnego
3. Odpalasz Killboxa i wpisujesz do niego po kolei pliki do usuniecia i wciskasz czerwonego X
Pliki to:
%System%\vdt_16.exe
%System%\i.a3d
%System%\draw32.dll
%System%\vm.dll
%System%\vdnt32.sys
%System%\hm.sys
%System%\memlow.sys
%System%\wd.sys
%System%\p2.ini
%Windir%\dt163.dt
C:\Desktop
C:\Windows\desktop.html
Gdzie %System% to sciezka C:\Windows\system32,
%Windir% – C:\Windows, poniewaz Killbox nie rozpoznje tych skrótów w procentach
4. Usuwasz w rejestrze klucze (jesli sa) wymienione na stronie Symanteca
5. Odpalasz regedit i:
– Klucze:
:arrow: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
usun: >> NoViewContextMenu
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
usun:
>> NoViewContextMenu
>> NoSetTaskbar
>> NoSaveSettings
– Klucze:
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
:arrow: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
:arrow: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
:arrow: HKEY_USERS\S–1–5–21–NUMERKI*\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
:arrow: HKEY_USERS\S–1–5–21–NUMERKI*_Classes\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Edytujesz wartosci Desktop, za dane wpisujesz w kazdym %USERPROFILE%\Pulpit
* NUMERKI czyli zmienne liczby, u kazdego inne
Sa to zazwyczaj dwa ostatnie klucze w głownym HKEY_USERS
– Klucze:
:arrow: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
:arrow: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Wartosci Common Desktop edytujesz do postaci %ALLUSERSPROFILE%\Pulpit
– Klucz:
:arrow: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
Skasuj wartosc Wallpaper
Jak na razie to mamy proces Backdoor.Haxdoor.C >> vtd_16.exe
Usunałes pewnie:O20 – Winlogon Notify: draw32 – C:\WINDOWS\SYSTEM32\draw32.dll
nie, takiego czegos chyba nie usuwałem. a jesli chodzi o vtd_16 to jak go usuwam to i tak sie pojawia :/
Reszte zrobilem tak jak napisales... i chcialem przypomnac :P ze w c:\ pojawil sie folder "desktop" ;] i to jest tak jakby pulpit byl zablokowany bo gdy wejde w folder doc. and set. => pulpit, to tam sa te wszystkie ikony co "normalnie" powinny byc :( a na pulpicie ich nie ma
to co bylo podejzane to juz usunąłem...
I nie potrzebnie, chciałbym to zobaczyc.
Jak na razie to mamy proces Backdoor.Haxdoor.C >> vtd_16.exe
Usunałes pewnie:
O20 – Winlogon Notify: draw32 – C:\WINDOWS\SYSTEM32\draw32.dll
Wiece o tym >> Backdoor.Haxdoor.C (Symantec)
Zostaje:
R3 – URLSearchHook: (no name) – 3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
Recznie usun z klucza HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
oraz jesli sam nie dodawałes do zaufanych:
O15 – Trusted Zone: www.thecrims.com
wiec tak, oto jest log:
Logfile of HijackThis v1.99.0
Scan saved at 14:05:33, on 2005–04–14
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MKS\Bin\NetMonSV.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MKS\Bin\ABregmon.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\WINDOWS\System32\vtd_16.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\PLANET\PLANET WL–U350B Wireless \WlanMonitor.exe
D:\Programy\Gadu–Gadu\gg.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\FoLdEr MaTwIeJa\Programy\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 – URLSearchHook: (no name) – 3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe
O4 – HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: WL–U350B Monitor Utility.lnk = ?
O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O15 – Trusted Zone: www.thecrims.com
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105805410985
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O16 – DPF: {FDDBE2B8–6602–4AD8–946D–94C5A32FA6C5} (GameDesire Snooker) – http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{113E6C88–4878–4CBB–872C–153D8CE4D192}: NameServer = 69.50.176.156,195.225.176.31
O17 – HKLM\System\CS1\Services\Tcpip\..\{113E6C88–4878–4CBB–872C–153D8CE4D192}: NameServer = 69.50.176.156,195.225.176.31
O23 – Service: ArcaBit NetMonitor – ArcaBit sp. z o.o. – C:\Program Files\MKS\Bin\NetMonSV.exe
O23 – Service: MkSUpdateInt – MkS Sp. z o. o. – C:\Program Files\MKS\bin\MkSUpdateInt.exe
O23 – Service: MkS_Vir Monitor – Unknown – C:\Program Files\MKS\Bin\mksmonsv.exe
O23 – Service: MkS_Scan – Unknown – C:\Program Files\MKS\Bin\mks_scan.exe
O23 – Service: NVIDIA Display Driver Service – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
to co bylo podejzane to juz usunąłem... natomiast mam jeszcze mks 2005 i on nic nie wykrywa, a jesli wykryje cos, to problem i tak nie znika :( ad–awarem tez skanowalem.
Logfile of HijackThis v1.99.0
Scan saved at 14:05:33, on 2005–04–14
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MKS\Bin\NetMonSV.exe
C:\Program Files\MKS\Bin\mksmonsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\MKS\Bin\ABregmon.exe
C:\Program Files\MKS\Bin\mks_menu.exe
C:\WINDOWS\System32\vtd_16.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\PLANET\PLANET WL–U350B Wireless \WlanMonitor.exe
D:\Programy\Gadu–Gadu\gg.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\FoLdEr MaTwIeJa\Programy\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 – URLSearchHook: (no name) – 3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:\PROGRA~1\FlashGet\jccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\fgiebar.dll
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [ABREGMON] C:\Program Files\MKS\Bin\ABregmon.exe
O4 – HKLM\..\Run: [MKS_MENU] C:\Program Files\MKS\Bin\mks_menu.exe
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: WL–U350B Monitor Utility.lnk = ?
O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:\Program Files\FlashGet\jc_all.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:\PROGRA~1\FlashGet\flashget.exe
O15 – Trusted Zone: www.thecrims.com
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105805410985
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O16 – DPF: {FDDBE2B8–6602–4AD8–946D–94C5A32FA6C5} (GameDesire Snooker) – http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{113E6C88–4878–4CBB–872C–153D8CE4D192}: NameServer = 69.50.176.156,195.225.176.31
O17 – HKLM\System\CS1\Services\Tcpip\..\{113E6C88–4878–4CBB–872C–153D8CE4D192}: NameServer = 69.50.176.156,195.225.176.31
O23 – Service: ArcaBit NetMonitor – ArcaBit sp. z o.o. – C:\Program Files\MKS\Bin\NetMonSV.exe
O23 – Service: MkSUpdateInt – MkS Sp. z o. o. – C:\Program Files\MKS\bin\MkSUpdateInt.exe
O23 – Service: MkS_Vir Monitor – Unknown – C:\Program Files\MKS\Bin\mksmonsv.exe
O23 – Service: MkS_Scan – Unknown – C:\Program Files\MKS\Bin\mks_scan.exe
O23 – Service: NVIDIA Display Driver Service – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
to co bylo podejzane to juz usunąłem... natomiast mam jeszcze mks 2005 i on nic nie wykrywa, a jesli wykryje cos, to problem i tak nie znika :( ad–awarem tez skanowalem.
Andi, daruj sobie, AV tego nie zatrzymuje jak na razie bo to przede wszystkim nie wirus jako taki.
matijas, log z Hijack This na poczatek, pozniej lektura ostatnich tematów w tym dziale dot. czerwonej tapety, wariacji z ikonami, blockiem prawoklika i zmiany tapety...
matijas, log z Hijack This na poczatek, pozniej lektura ostatnich tematów w tym dziale dot. czerwonej tapety, wariacji z ikonami, blockiem prawoklika i zmiany tapety...
a ja moze zaczne od tego źe powinienes mieć jakiegos antywira :twisted: którym skanujesz kompa,skad moźemy wiedziec czy masz wira?moźe jasniej napiszesz na jakiwe stronki wchodziles itp:d
Strona 1 / 1