http://a–search.biz/?wmid=1010
Wiem ze juz o tym bylo ale jakos nie moge sie tego pozbyc.
Jest kilka problemow:
1.Podmiana strony startowej z obojetnie jakiej na http://a–search.biz/?wmid=1010.
2.Przy starcie komputera pojawia sie tez dziwny proces ktory po 10 sekundach znika mianowicie userinit.exe.
3.Na dysku c pojawil sie plik tekstowy: inst_debug o nastepujacej tresci:
13:25:05 ExBHO::DllMain Started
13:25:05 MsQsb try to open
13:25:05 ExBHO::RestoreRegistry MsQsb opened or created
13:25:05 ExBHO::DllMain Started
13:25:05 MsQsb try to open
13:25:05 ExBHO::RestoreRegistry MsQsb opened or created
Gdy go usuwam zaraz pojawia sie na nowo.
Jak sie pozbyc tych problemow ???
Antywir nic nie wykrywa.
Spy bot tez nic.
Ad aware tez nic i cwshredder tez nic.
Oto log z HijackThis:
Logfile of HijackThis v1.98.2
Scan saved at 13:28:22, on 2004–10–24
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesSygateSPFsmc.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32devldr32.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:Program FilesAVPeeeersonalAVGUARD.EXE
C:Program FilesAVPeeeersonalAVWUPSRV.EXE
C:WINDOWSSystem32CTsvcCDA.EXE
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32wdfmgr.exe
C:WINDOWSSystem32MsPMSPSv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAVPeeeersonalAVGNT.EXE
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsMariuszPulpithijackthisHijackThis.exe
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = about:blank
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = about:blank
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = about:blank
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
F2 – REG:system.ini: UserInit=Userinit.exe,_huytam_
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:PROGRA~1SPYBOT~1SDHelper.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:PROGRA~1FlashGetjccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:PROGRA~1FlashGetfgiebar.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [AVGCtrl] C:Program FilesAVPeeeersonalAVGNT.EXE /min
O4 – HKLM..Run: [SmcService] C:PROGRA~1SygateSPFsmc.exe –startgui
O4 – HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
O8 – Extra context menu item: Download All by FlashGet – C:Program FilesFlashGetjc_all.htm
O8 – Extra context menu item: Download using FlashGet – C:Program FilesFlashGetjc_link.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O17 – HKLMSystemCCSServicesTcpip..{9B324A87–996F–4247–B475–BE8689F84C9B}: NameServer = 213.136.225.231 213.136.225.226
W autostarcie nic nie siedzi jak i nie ma zadnego dziwnego procesu w podgladzie.
Jak sie tego pozbyc ?
Jest kilka problemow:
1.Podmiana strony startowej z obojetnie jakiej na http://a–search.biz/?wmid=1010.
2.Przy starcie komputera pojawia sie tez dziwny proces ktory po 10 sekundach znika mianowicie userinit.exe.
3.Na dysku c pojawil sie plik tekstowy: inst_debug o nastepujacej tresci:
13:25:05 ExBHO::DllMain Started
13:25:05 MsQsb try to open
13:25:05 ExBHO::RestoreRegistry MsQsb opened or created
13:25:05 ExBHO::DllMain Started
13:25:05 MsQsb try to open
13:25:05 ExBHO::RestoreRegistry MsQsb opened or created
Gdy go usuwam zaraz pojawia sie na nowo.
Jak sie pozbyc tych problemow ???
Antywir nic nie wykrywa.
Spy bot tez nic.
Ad aware tez nic i cwshredder tez nic.
Oto log z HijackThis:
Logfile of HijackThis v1.98.2
Scan saved at 13:28:22, on 2004–10–24
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesSygateSPFsmc.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32devldr32.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:Program FilesAVPeeeersonalAVGUARD.EXE
C:Program FilesAVPeeeersonalAVWUPSRV.EXE
C:WINDOWSSystem32CTsvcCDA.EXE
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32wdfmgr.exe
C:WINDOWSSystem32MsPMSPSv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAVPeeeersonalAVGNT.EXE
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet Exploreriexplore.exe
C:Documents and SettingsMariuszPulpithijackthisHijackThis.exe
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = about:blank
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = about:blank
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = about:blank
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
F2 – REG:system.ini: UserInit=Userinit.exe,_huytam_
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:PROGRA~1SPYBOT~1SDHelper.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:PROGRA~1FlashGetjccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:PROGRA~1FlashGetfgiebar.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [AVGCtrl] C:Program FilesAVPeeeersonalAVGNT.EXE /min
O4 – HKLM..Run: [SmcService] C:PROGRA~1SygateSPFsmc.exe –startgui
O4 – HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
O8 – Extra context menu item: Download All by FlashGet – C:Program FilesFlashGetjc_all.htm
O8 – Extra context menu item: Download using FlashGet – C:Program FilesFlashGetjc_link.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O17 – HKLMSystemCCSServicesTcpip..{9B324A87–996F–4247–B475–BE8689F84C9B}: NameServer = 213.136.225.231 213.136.225.226
W autostarcie nic nie siedzi jak i nie ma zadnego dziwnego procesu w podgladzie.
Jak sie tego pozbyc ?
Odpowiedzi: 13
Ano to miałem na myśli :wink:
...formata :P .McScr@by:
Do nastepnego ...
Cóź Mariusz.Stargard poległeś na polu boju.
Do nastepnego razu.
Do nastepnego razu.
Tak wiec jestem po formacie.
Nie wiem co to bylo ale nie zycze nikomu.
Uzywam monitora firmy Philips ale to nie ma nic do zeczy ( mam ten monitor od przeszlo 3 lat i nigdy sie nie laczyl ) a z netem chcial sie laczyc kazdy program nawet notatnik czy paint ale wszystkie z ta dziwna strona ( na screenie widac ).
Format pomogl.
Nie wiem co to bylo ale nie zycze nikomu.
Uzywam monitora firmy Philips ale to nie ma nic do zeczy ( mam ten monitor od przeszlo 3 lat i nigdy sie nie laczyl ) a z netem chcial sie laczyc kazdy program nawet notatnik czy paint ale wszystkie z ta dziwna strona ( na screenie widac ).
Format pomogl.
Stop.exe – sprawdz właściwiości pliku,
Jeśli nie jest Tobie znany ten .exe to na kibel z nim (moźe wariant keyloger`a SpOOkeys, sprawdz takźe czy występuje u Ciebie regview.dll).
Uźywasz moźe monitora Philips`a, bo screen z zapory wygląda na łączenie się sterownika z Web ( sprawdz i zablokuj na stałe komunikację ).
huytam i TGBRFV_, jakiś ukryty .dll dodaje wartości do UserInit=Userinit.exe
Tutaj Grinler podaje rozwiązanie :
:arrow: http://www.bleepingcomputer.com/forums/topict3104.html
Jeśli nie jest Tobie znany ten .exe to na kibel z nim (moźe wariant keyloger`a SpOOkeys, sprawdz takźe czy występuje u Ciebie regview.dll).
Uźywasz moźe monitora Philips`a, bo screen z zapory wygląda na łączenie się sterownika z Web ( sprawdz i zablokuj na stałe komunikację ).
huytam i TGBRFV_, jakiś ukryty .dll dodaje wartości do UserInit=Userinit.exe
Tutaj Grinler podaje rozwiązanie :
:arrow: http://www.bleepingcomputer.com/forums/topict3104.html
A co do usuniecia z rejestru wpisu F2 – REG:system.ini: UserInit=Userinit.exe,_huytam_
to zabardzo nie wiem co usunac bo wyglada ok.
to zabardzo nie wiem co usunac bo wyglada ok.
Hmm teraz log wyglada tak:
Logfile of HijackThis v1.98.2
Scan saved at 21:43:16, on 2004–10–24
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesSygateSPFsmc.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:Program FilesAVPeeeersonalAVGUARD.EXE
C:Program FilesAVPeeeersonalAVWUPSRV.EXE
C:WINDOWSSystem32CTsvcCDA.EXE
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32wdfmgr.exe
C:WINDOWSSystem32MsPMSPSv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAVPeeeersonalAVGNT.EXE
C:Documents and SettingsMariuszPulpithijackthisHijackThis.exe
C:WINDOWSSystem32 askmgr.exe
C:Program FilesInternet Exploreriexplore.exe
F2 – REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:PROGRA~1SPYBOT~1SDHelper.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:PROGRA~1FlashGetjccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:PROGRA~1FlashGetfgiebar.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [AVGCtrl] C:Program FilesAVPeeeersonalAVGNT.EXE /min
O4 – HKLM..Run: [SmcService] C:PROGRA~1SygateSPFsmc.exe –startgui
O8 – Extra context menu item: Download All by FlashGet – C:Program FilesFlashGetjc_all.htm
O8 – Extra context menu item: Download using FlashGet – C:Program FilesFlashGetjc_link.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O17 – HKLMSystemCCSServicesTcpip..{9B324A87–996F–4247–B475–BE8689F84C9B}: NameServer = 213.136.225.231 213.136.225.226
Gdy chce usunac F2 – REG:system.ini: UserInit=Userinit.exe,TGBRFV_ zaraz powraca.
Co ciekawe pojawil sie dziwny proces devdel32.exe ale sie go jakos pozbylem w trybie safe.
I dalej gdy odpalam jakis program pyta sie on o dostep do netu – pyta sie nawet notatnik ( patrz obrazek ) a co ciekawsze w katalogu gdzie znajduje sie dany program pojawia sie dziwna aplikacja stop.exe o wielkosci o bajtow.
Logfile of HijackThis v1.98.2
Scan saved at 21:43:16, on 2004–10–24
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesSygateSPFsmc.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32LEXPPS.EXE
C:Program FilesAVPeeeersonalAVGUARD.EXE
C:Program FilesAVPeeeersonalAVWUPSRV.EXE
C:WINDOWSSystem32CTsvcCDA.EXE
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32wdfmgr.exe
C:WINDOWSSystem32MsPMSPSv.exe
C:WINDOWSExplorer.EXE
C:Program FilesAVPeeeersonalAVGNT.EXE
C:Documents and SettingsMariuszPulpithijackthisHijackThis.exe
C:WINDOWSSystem32 askmgr.exe
C:Program FilesInternet Exploreriexplore.exe
F2 – REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:PROGRA~1SPYBOT~1SDHelper.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:PROGRA~1FlashGetjccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:PROGRA~1FlashGetfgiebar.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [AVGCtrl] C:Program FilesAVPeeeersonalAVGNT.EXE /min
O4 – HKLM..Run: [SmcService] C:PROGRA~1SygateSPFsmc.exe –startgui
O8 – Extra context menu item: Download All by FlashGet – C:Program FilesFlashGetjc_all.htm
O8 – Extra context menu item: Download using FlashGet – C:Program FilesFlashGetjc_link.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O17 – HKLMSystemCCSServicesTcpip..{9B324A87–996F–4247–B475–BE8689F84C9B}: NameServer = 213.136.225.231 213.136.225.226
Gdy chce usunac F2 – REG:system.ini: UserInit=Userinit.exe,TGBRFV_ zaraz powraca.
Co ciekawe pojawil sie dziwny proces devdel32.exe ale sie go jakos pozbylem w trybie safe.
I dalej gdy odpalam jakis program pyta sie on o dostep do netu – pyta sie nawet notatnik ( patrz obrazek ) a co ciekawsze w katalogu gdzie znajduje sie dany program pojawia sie dziwna aplikacja stop.exe o wielkosci o bajtow.
Niewyspany jezdem :P .
Test IQ Ciebie tak męczył :P
Update:
To się nawet fizjologom się śniło kurna,
z tym to huytam :P
Niewyspany jezdem :P .Nienormalnie EL mnie dzisiaj zadziwiasz
Sloniowa kurna. Chcialbys. :mrgreen:I *** :P
Update:
– nie wiem do teraz dlaczego po userinit jest ten huytam. Przecie jest tu a nie tam :P :P .
Nienormalnie EL mnie dzisiaj zadziwiasz, juź szykowałem się z screen`ami z lokalizacji i z opisem dokładnej wartości w Run :mrgreen: :wink:
I *** :P
Update :
Usunąłem zdublowane rozwiązanie dotyczące F2.
I *** :P
Update :
Usunąłem zdublowane rozwiązanie dotyczące F2.
I dobrze, bo dalem ciala z wrazenia :P . W XP msconfig jest wlasnie tam. Sorry.O4 – HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
Nie wiem dlaczego. W normalnej sytuacji ten proces powinien sie wylaczyc calkowicie po zainicjowaniu ustawien.F2 – REG:system.ini: UserInit=Userinit.exe,_huytam_
zaraz powraca.
Reszta OK.
Update
Wejdz do rejestru do HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon
i we wpisie: Userinit
pozostaw: C:WINDOWSsystem32userinit.exe,
– z przecinkiem
Wiec pozbylem sie.
Ale nie odnalazlem przy skanowaniu:
O4 – HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
I jeszcze gdy usuwam:
F2 – REG:system.ini: UserInit=Userinit.exe,_huytam_
zaraz powraca.
Wyglada to teraz tak:
Logfile of HijackThis v1.98.2
Scan saved at 19:48:48, on 2004–10–24
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesSygateSPFsmc.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32devldr32.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAVPeeeersonalAVGUARD.EXE
C:Program FilesAVPeeeersonalAVWUPSRV.EXE
C:WINDOWSSystem32CTsvcCDA.EXE
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32wdfmgr.exe
C:WINDOWSSystem32MsPMSPSv.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32devldr32.exe
C:Program FilesAVPeeeersonalAVGNT.EXE
C:Program FilesMARIUSZEMULEemule.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesMARIUSZWINAMP 2Winampwinamp.exe
C:Documents and SettingsMariuszPulpithijackthisHijackThis.exe
F2 – REG:system.ini: UserInit=Userinit.exe,_huytam_
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:PROGRA~1SPYBOT~1SDHelper.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:PROGRA~1FlashGetjccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:PROGRA~1FlashGetfgiebar.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [AVGCtrl] C:Program FilesAVPeeeersonalAVGNT.EXE /min
O4 – HKLM..Run: [SmcService] C:PROGRA~1SygateSPFsmc.exe –startgui
O4 – HKLM..Run: [LexPPS.exe] C:WINDOWSSystem32lexpps.exe
O8 – Extra context menu item: Download All by FlashGet – C:Program FilesFlashGetjc_all.htm
O8 – Extra context menu item: Download using FlashGet – C:Program FilesFlashGetjc_link.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O17 – HKLMSystemCCSServicesTcpip..{9B324A87–996F–4247–B475–BE8689F84C9B}: NameServer = 213.136.225.231 213.136.225.226
Help
Ale nie odnalazlem przy skanowaniu:
O4 – HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
I jeszcze gdy usuwam:
F2 – REG:system.ini: UserInit=Userinit.exe,_huytam_
zaraz powraca.
Wyglada to teraz tak:
Logfile of HijackThis v1.98.2
Scan saved at 19:48:48, on 2004–10–24
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesSygateSPFsmc.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSSystem32devldr32.exe
C:WINDOWSsystem32LEXBCES.EXE
C:WINDOWSsystem32spoolsv.exe
C:Program FilesAVPeeeersonalAVGUARD.EXE
C:Program FilesAVPeeeersonalAVWUPSRV.EXE
C:WINDOWSSystem32CTsvcCDA.EXE
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32wdfmgr.exe
C:WINDOWSSystem32MsPMSPSv.exe
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32devldr32.exe
C:Program FilesAVPeeeersonalAVGNT.EXE
C:Program FilesMARIUSZEMULEemule.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesMARIUSZWINAMP 2Winampwinamp.exe
C:Documents and SettingsMariuszPulpithijackthisHijackThis.exe
F2 – REG:system.ini: UserInit=Userinit.exe,_huytam_
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:PROGRA~1SPYBOT~1SDHelper.dll
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:PROGRA~1FlashGetjccatch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:PROGRA~1FlashGetfgiebar.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [AVGCtrl] C:Program FilesAVPeeeersonalAVGNT.EXE /min
O4 – HKLM..Run: [SmcService] C:PROGRA~1SygateSPFsmc.exe –startgui
O4 – HKLM..Run: [LexPPS.exe] C:WINDOWSSystem32lexpps.exe
O8 – Extra context menu item: Download All by FlashGet – C:Program FilesFlashGetjc_all.htm
O8 – Extra context menu item: Download using FlashGet – C:Program FilesFlashGetjc_link.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O17 – HKLMSystemCCSServicesTcpip..{9B324A87–996F–4247–B475–BE8689F84C9B}: NameServer = 213.136.225.231 213.136.225.226
Help
userinit.exe to proces systemowy
Pozbadz sie:
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = about:blank
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = about:blank
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = about:blank
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
F2 – REG:system.ini: UserInit=Userinit.exe,_huytam_
O4 – HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
Zwroc uwage na ostatni wpis. Systemowy msconfig.exe znajduje sie w innym miejscu.
Pozbadz sie:
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = about:blank
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = about:blank
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page = about:blank
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
F2 – REG:system.ini: UserInit=Userinit.exe,_huytam_
O4 – HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
Zwroc uwage na ostatni wpis. Systemowy msconfig.exe znajduje sie w innym miejscu.
Strona 1 / 1