CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo file:///c:/secure32.html

file:///c:/secure32.html

Witam ponownie na forum :). Mój problem zaczął się tak, poszukiwałem pewnego serriala i wszedłem na serrials.wr czy jakoś tak nie mogłem ściągnąć cd–kay'a bo moj AntiVirenKit 2005 blokował połaczenie z powodu wykrycia niebezpieczenstwa wiec go wyaczylem na tą chwile i to byl bląd!Wiel.Błąd :P ok! obecnie sprawa wyglada tak explorer nie dziala wyskakuje okno z napisem
' Nie moźna znaleźć 'file:///c:/secure32.html' Upewnij się,źe ścieźka i adres internetowy są poprawne '
Nigdzie nie mogę znaleźć strony html na dyscku C pod taką nazwą. W rejestrze odnajdują się odpowiedzialne za to pliki, próbowałem wyźucić z rejestru lecz powracają jak bumerang.
Włączyłem równieź HijackThis i próbowałem wyźucić lecz to ścier..świnstwo dalej wraca.

Podaje skana z HijackThis

Logfile of HijackThis v1.99.1
Scan saved at 16:22:26, on 2005–12–10
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\AntiVirenKit\AVKService.exe
C:\Program Files\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\CTHELPER.EXE
D:\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\winstall.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\sywsvcs.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Moje programy\Tlen\tlen.exe
D:\ANTY.WYPAKOWANE\HijackThis.exe

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 – REG:system.ini: Shell=explorer.exe "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
F3 – REG:win.ini: load=D:\YDPDict\watch.exe
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 – HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 – HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 – HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 – HKLM\..\Run: [RivaTunerStartupDaemon] "D:\GRY\Pliki rozpakowane\mipmaphack\RivaTuner.exe" /S
O4 – HKLM\..\Run: [RemoteControl] D:\PowerDVD\PDVDServ.exe
O4 – HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 – HKLM\..\Run: [updatedrweb_nt] C:\WINDOWS\System32\updatedrweb_nt.exe
O4 – HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKLM\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
O4 – HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 – HKLM\..\RunServices: [updatedrweb_nt] C:\WINDOWS\System32\updatedrweb_nt.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [AVKBar] "C:\Program Files\AntiVirenKit\AVKBar.exe"
O4 – HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 – HKCU\..\Run: [updatedrweb_nt] C:\WINDOWS\System32\updatedrweb_nt.exe
O4 – HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 – HKCU\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
O4 – HKCU\..\Run: [aupd] C:\WINDOWS\System32\sywsvcs.exe
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: BTTray.lnk = ?
O12 – Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 – Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 – DPF: ING Bank Online – https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab
O16 – DPF: {0EC4C9E3–EC6A–11CF–8E3B–444553540000} (WaveTab Control) – file://G:\cwiczniea\(Cbt Guitar Lessons) Riff Interactive – Satriani–Vai\setup\RiffLick.cab
O16 – DPF: {2DF91772–19DC–47AE–B52F–B8E2FE545625} (Spd2 Class) – http://www.lemontv.pl/lmctrls.cab
O16 – DPF: {6E32070A–766D–4EE6–879C–DC1FA91D2FC3} (MUWebControl Class) – http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126888435723
O16 – DPF: {A6916797–7ABD–4F07–93AE–098B6F543129} (CO2Player Class) – http://www.lemontv.pl/lmctrlp.cab
O16 – DPF: {CE28D5D2–60CF–4C7D–9FE8–0F47A3308078} (ActiveDataInfo Class) – http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{24CFFF07–D006–4075–A224–8ACF1416DEB1}: NameServer = 193.91.30.133,213.134.146.21
O17 – HKLM\System\CS1\Services\Tcpip\..\{24CFFF07–D006–4075–A224–8ACF1416DEB1}: NameServer = 193.91.30.133,213.134.146.21
O17 – HKLM\System\CS2\Services\Tcpip\..\{24CFFF07–D006–4075–A224–8ACF1416DEB1}: NameServer = 193.91.30.133,213.134.146.21
O20 – Winlogon Notify: msctl32.dll – C:\WINDOWS\SYSTEM32\msctl32.dll
O21 – SSODL: SysTray.Exys – {7368D5FC–6F5C–4f5b–B964–E67214F67852} – C:\WINDOWS\System32\fpgaanbc.dll (file missing)
O23 – Service: AVK Service (AVKService) – Unknown owner – C:\Program Files\AntiVirenKit\AVKService.exe
O23 – Service: Straźnik AVK (AVKWCtl) – Unknown owner – C:\Program Files\AntiVirenKit\AVKWCtl.exe
O23 – Service: Creative Service for CDROM Access – Creative Technology Ltd – C:\WINDOWS\System32\CTsvcCDA.exe
O23 – Service: NVIDIA Driver Helper Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe

[/b]

Odpowiedzi: 12

Jest śmieć, nawet dwa.

W pierwszej kolejności:
Remote Procedure Call (RPC) Extensions, RpcxSs, "C:\WINDOWS\System32\svchost.exe –k netsvcs" {"RpcxSs.Dll" [MS]}

http://forum.centrumxp.pl/viewtopic.php?t=44610

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\
HIJACK WARNING! "DataBasePath" = "C:\WINDOWS\nsdb"

Otwierasz klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, edytujesz wart. DataBasePath do postaci: C:\WINDOWS\system32\drivers\etc
C:\WINDOWS\nsdb – wylatuje z dysku.
Bobi
Dodano
15.12.2005 15:28:29
"Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"


Startup items buried in registry:
–––––––––––––––––––––––––––––––––

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]
"AVKBar" = ""C:\Program Files\AntiVirenKit\AVKBar.exe"" ["1, 0, 0, 4"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE NvQTwk,NvCplDaemon initialize" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"WINDVDPatch" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"UpdReg" = "C:\WINDOWS\UpdReg.EXE" ["Creative Technology Ltd."]
"Jet Detection" = ""C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"" [empty string]
"CTStartup" = "C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run" ["Creative Technology Ltd."]
"RivaTunerStartupDaemon" = ""D:\GRY\Pliki rozpakowane\mipmaphack\RivaTuner.exe" /S" ["NVIDIA World"]
"RemoteControl" = "D:\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"NeroCheck" = "C:\WINDOWS\System32\NeroCheck.exe" ["Ahead Software Gmbh"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F–C8D7–4D59–B87D–784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962–6F74–2D53–2644–206D7942484F}\(Default) = (no title provided)
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Spybot – Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949–8F65–4355–8456–263E7C208A5D}" = "Eksplorator pulpitów"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB–F9E5–4718–997B–B8DA88302A47}" = "Desktop Explorer Menu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"]
"{0006F045–0000–0000–C000–000000000046}" = "Microsoft Outlook Custom Icon Handler"
–> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office\OLKFSTUB.DLL" [MS]
"{B41DB860–8EE4–11D2–9906–E49FADC173CA}" = "WinRAR shell extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{6af09ec9–b429–11d4–a1fb–0090960218cb}" = "My Bluetooth Places"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\btneighborhood.dll" [empty string]
"{A5110426–177D–4e08–AB3F–785F10B4439C}" = "My Phones"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Sony Ericsson\Mobile\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"]

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "load" = "D:\YDPDict\watch.exe" [null data]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320–32F5–11D3–A222–004095200FF2}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AntiVirenKit\ShellExt.dll" [empty string]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320–32F5–11D3–A222–004095200FF2}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\AntiVirenKit\ShellExt.dll" [empty string]
WinRAR\(Default) = "{B41DB860–8EE4–11D2–9906–E49FADC173CA}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
–––––––––––––––––––––––––––––

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\stativ\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
–––––––––––––––––––––

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "stativ" & "All Users" startup folders:
––––––––––––––––––––––––––––––––––––––––––––––––––––––––

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"Microsoft Office" –> shortcut to: "C:\Program Files\Microsoft Office\Office\OSA9.EXE –b –l" [MS]
"BTTray" –> shortcut to: "C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe" [empty string]


Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 – 03, 06 – 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 – 05


HOSTS file
––––––––––

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\
HIJACK WARNING! "DataBasePath" = "C:\WINDOWS\nsdb"


Running Services (Display Name, Service Name, Path {Service DLL}):
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––

AVK Service, AVKService, "C:\Program Files\AntiVirenKit\AVKService.exe" [empty string]
Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\System32\CTsvcCDA.exe" ["Creative Technology Ltd"]
NVIDIA Driver Helper Service, NVSvc, "C:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"]
Remote Procedure Call (RPC) Extensions, RpcxSs, "C:\WINDOWS\System32\svchost.exe –k netsvcs" {"RpcxSs.Dll" [MS]}
Straźnik AVK, AVKWCtl, "C:\Program Files\AntiVirenKit\AVKWCtl.exe" [empty string]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\System32\MsPMSPSv.exe" [MS]


Print Monitors:
–––––––––––––––

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Bluetooth Printer Port\Driver = "bthcrp.dll" [empty string]
Canon BJ Language Monitor i320\Driver = "CNMLM47.DLL" ["CANON INC."]


––––––––––
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the –supp parameter or answer "No" at the first message box.
–––––––––– (total run time: 190 seconds, including 18 seconds for message boxes)
prof.dr.hab.Pan.Tadeusz
Dodano
15.12.2005 01:17:59
W pierwszej linijce tych procesów masz svchost.exe i on zźera procka. Wrzuć loga Silent Runners.
Żółty
Dodano
14.12.2005 00:05:01
Podam wszyskto co się odpala po restarcie kompa bo moźe dostrzeźecie winowajce w wyświetlonych plikach. Ja nie mam pojęcia jakie aplikacje powinny być odpalone a jakie nie powinny :?

Po odpaleniu kompa w Menadźerze zadań chodzą takie Procesy:

SVCHOST.EXE SYSTEM 99 1 576 k
NVSVC32.EXE SYSTEM 00 1 984 K
CTSVCCDA.EXE SYSTEM 00 1 324 K
AVKQctl.exe SYSTEM 00 33 032 K
AVKService.exe SYSTEM 00 3 200 K
notepad.exe prof... 00 2 376 k
BTTray.exe prof... 00 3 884 k
CTFMON.EXE prof... 00 1 984 k
PDVDServ.exe prof... 00 3 352 k
taskmgr.exe prof... 00 4 536 k
CTHELPER.EXE prof... 00 3 700 k
wowexec.exe prof... 00
watch.exe prof... 00
NTVDM.EXE prof... 00 4 152 k
EXPLORER.EXE prof... 00 16 004 k
SPOOLSV.EXE prof... 00 6 804 k
SVCHOST.EXE USŁUGA LOKALNA 00 4 360 k
SVCHOST.EXE USŁUGA SIECIOWA 00 3 636 K
SVCHOST.EXE SYSTEM 00 18 124 K
SVCHOST.EXE SYSTEM 00 4 880 K
LSASS.EXE SYSTEM 00 1 336 K
SERVICES.EXE SYSTEM 00 3 140 K
WINLOGON.EXE SYSTEM 00 1 084 K
CSRSS.EXE SYSTEM 00 3 552 K
SMSS.EXE SYSTEM 00 348 K
MsPMSPSv.exe SYSTEM 00 1 576 K
System SYSTEM 00 240 k
Proces bezczynn..SYSTEM 00 20 K

Jeśli chodzi o wydajność to:
Uźycie procesora 100%
uźycie pliku stror 135 MB

(pytanie odnośnie forum, czemu nie działa Tab ani spacje? –chciałem oddzielić najpierw tabem aby były mniej więcej równe słupki jak w menadźerze, jak nie zadziałało chciałem odzielić spacjami aby były równe i teź nic, wszystko wyświetla z jedno spacjową przerwą od siebie :( )
prof.dr.hab.Pan.Tadeusz
Dodano
13.12.2005 23:15:41
Jaki proces tak obciąźa procesor ?? Sprawdź w Menadzerze zadan ...
Żółty
Dodano
12.12.2005 03:31:40
Słuchaj mam do Ciebie jeszcze jedno pytanie bo w sumie uporałem się z tym secure32.html i z explorerem jest ok aleee... po tym incydencie strasznie wolno mi chodzi komp. Uźycie Procka jest prawie cały czas na maxa.
prof.dr.hab.Pan.Tadeusz
Dodano
12.12.2005 03:23:13
prof.dr.hab.Pan.Tadeusz:
Sprawdziłem swój log na http://www.hijackthis.de/en znalazłem kilka rzeczy
Profesorze, o tym od poczatku mowilem – o automacie na hijackthis.de :wink: .
EL NINO
Dodano
11.12.2005 23:22:11
Nooo !!! Boomba !!!:) rozjechałem to ścer...świństwo :P Sprawdziłem swój log na http://www.hijackthis.de/en znalazłem kilka rzeczy które pominąłem i wszystko razem puściłem z dymem :P

do skasowania dorzuciłem

O4 – HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
4 – HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

i dopiero wtedy posypały się te najbardziej nie chciane:

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

POZDRAWIAM i mam nadzieję źe komuś ten Topic pomoźe :P
prof.dr.hab.Pan.Tadeusz
Dodano
11.12.2005 18:45:42
Dobra nie mam juź pomysłów na wyje...cie tego syfu!

Zrobiłem tak jak pisze prawie w kaźdym z podanych przypadków:

1. Start––>Panel Sterowania––>System––>Przywracanie systemu––> [v]Wyłącz Przywracanie systemu na wszystkich dyskach
2. Tryb Awaryjny––>HijackThis v1.99.1––>FiX chacked :
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

F2 – REG:system.ini: Shell=explorer.exe
O4 – HKCU\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
O4 – HKLM\..\Run: [updatedrweb_nt] C:\WINDOWS\System32\updatedrweb_nt.exe
O4 – HKCU\..\Run: [updatedrweb_nt] C:\WINDOWS\System32\updatedrweb_nt.exe
O20 – Winlogon Notify: msctl32.dll – c:\WINDOWS\System32\msctl32.dll (file missing)
O21 – SSODL: SysTray.Exys – {7368D5FC–6F5C–4f5b–B964–E67214F67852} – C:\WINDOWS\System32\fpgaanbc.dll (file missing)

Po całym "sprzątaniu" ––>skan HijackThis = Brak wymienionych powyźej

3. Odpalenie w Trybie Normalnym––>skan HijackThis = powrót do rejestru plików:

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

Brak:
F2 – REG:system.ini: Shell=explorer.exe
O4 – HKCU\..\Run: [bxproxy] C:\WINDOWS\bxproxy.exe
O4 – HKLM\..\Run: [updatedrweb_nt] C:\WINDOWS\System32\updatedrweb_nt.exe
O4 – HKCU\..\Run: [updatedrweb_nt] C:\WINDOWS\System32\updatedrweb_nt.exe
O20 – Winlogon Notify: msctl32.dll – c:\WINDOWS\System32\msctl32.dll (file missing)
O21 – SSODL: SysTray.Exys – {7368D5FC–6F5C–4f5b–B964–E67214F67852} – C:\WINDOWS\System32\fpgaanbc.dll (file missing)

Co Teraz ?
aaa jeszcze jedno komp strasznie źółwi spore obciąźenie procesora :(
Prosze o pomoc bo nie wiem który plik jest odpowiedzialny za ponowne pojawianie sie tego shitu w rejestrze :/

Podaje Obecny skan z HijackThis v1.99.1

Logfile of HijackThis v1.99.1
Scan saved at 04:22:19, on 2005–12–11
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVirenKit\AVKService.exe
C:\Program Files\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\CTHELPER.EXE
D:\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\paytime.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\ANTY.WYPAKOWANE\HijackThis.exe

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
F3 – REG:win.ini: load=D:\YDPDict\watch.exe
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:\Program Files\Spybot – Search & Destroy\SDHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 – HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 – HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 – HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 – HKLM\..\Run: [RivaTunerStartupDaemon] "D:\GRY\Pliki rozpakowane\mipmaphack\RivaTuner.exe" /S
O4 – HKLM\..\Run: [RemoteControl] D:\PowerDVD\PDVDServ.exe
O4 – HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 – HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 – HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKLM\..\Run: [timessquare] C:\windows\timessquare.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [AVKBar] "C:\Program Files\AntiVirenKit\AVKBar.exe"
O4 – HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 – HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"
O4 – Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 – Global Startup: BTTray.lnk = ?
O12 – Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 – Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 – DPF: ING Bank Online – https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab
O16 – DPF: {0EC4C9E3–EC6A–11CF–8E3B–444553540000} (WaveTab Control) – file://G:\cwiczniea\(Cbt Guitar Lessons) Riff Interactive – Satriani–Vai\setup\RiffLick.cab
O16 – DPF: {2DF91772–19DC–47AE–B52F–B8E2FE545625} (Spd2 Class) – http://www.lemontv.pl/lmctrls.cab
O16 – DPF: {6E32070A–766D–4EE6–879C–DC1FA91D2FC3} (MUWebControl Class) – http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1126888435723
O16 – DPF: {A6916797–7ABD–4F07–93AE–098B6F543129} (CO2Player Class) – http://www.lemontv.pl/lmctrlp.cab
O16 – DPF: {CE28D5D2–60CF–4C7D–9FE8–0F47A3308078} (ActiveDataInfo Class) – http://www.symantec.com/techsupp/asa/ctrl/SymAData.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{24CFFF07–D006–4075–A224–8ACF1416DEB1}: NameServer = 193.91.30.133,213.134.146.21
O17 – HKLM\System\CS1\Services\Tcpip\..\{24CFFF07–D006–4075–A224–8ACF1416DEB1}: NameServer = 193.91.30.133,213.134.146.21
O17 – HKLM\System\CS2\Services\Tcpip\..\{24CFFF07–D006–4075–A224–8ACF1416DEB1}: NameServer = 193.91.30.133,213.134.146.21
O23 – Service: AVK Service (AVKService) – Unknown owner – C:\Program Files\AntiVirenKit\AVKService.exe
O23 – Service: Straźnik AVK (AVKWCtl) – Unknown owner – C:\Program Files\AntiVirenKit\AVKWCtl.exe
O23 – Service: Creative Service for CDROM Access – Creative Technology Ltd – C:\WINDOWS\System32\CTsvcCDA.exe
O23 – Service: NVIDIA Driver Helper Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe
prof.dr.hab.Pan.Tadeusz
Dodano
11.12.2005 16:48:05
Umowmy sie tak:
– usun co wskazuje automat sprawdzajacy
– wyszukaj "secure32" podajac jednoczesnie nicka "bobi", zastosuj sie do jego wskazowek

Pisz w razie dalszych problemow :wink: .

P.S. Unies sie ambicja i "zrob to sam" :wink: .
EL NINO
Dodano
10.12.2005 20:26:07
Hmmm ok niech Ci będzie wszedłem w wyszukiwarke wpisałem w temacie secure32.html wyskakuje nie wiele tematów jedyny post zaczynający się podobnie jak mój "problem z secure32 –napisany przez Rzepa" pozostaje bez komentarza znalazłem dopiero coś w rejestrze od Tomus821 w temacie "Pojawia się i znika..." ale koles ma równo namieszane tam :P. Zobacze co z tego da się u mnie zrobić :P Reszte przejźałem sporadycznie i nic nie znalazłem godnego uwagi ;) Więc Prosze o Pomoc co do mojego rejestru :D
prof.dr.hab.Pan.Tadeusz
Dodano
10.12.2005 20:17:13
Panie Profesorze, jest tu temat o sprawdzaniu loga z HiJacka. Skorzystaj. Ponadto postow o "secure32.html" rowniez znajdziesz kilkanascie, jesli uzyjesz wyszukiwarki –> http://forum.centrumxp.pl/search.php

Sprobuj sam, a dopiero gdyby nic nie pomagalo, pisz.
EL NINO
Dodano
10.12.2005 19:41:50
prof.dr.hab.Pan.Tadeusz
Dodano:
10.12.2005 18:58:46
Komentarzy:
12
Strona 1 / 1