Moźe ktoś rzucić okiem na loga z HJT??
Logfile of HijackThis v1.99.0
Scan saved at 16:30:12, on 2005–06–09
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\keyhook.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Knytha\Programy\Hijackthis\HijackThis.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\intmon.exe
C:\Program Files\foobar2000\foobar2000.exe
C:\Program Files\Lavasoft\Ad–Aware SE Personal\Ad–Aware.exe
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R1 – HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: VMHomepage Class – {FFFFFFFF–FFFF–FFFF–FFFF–FFFFFFFFFFFA} – C:\WINDOWS\System32\hp6A43.tmp
O4 – HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 – HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 – HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O23 – Service: TrueVector Internet Monitor – Zone Labs Inc. – C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Odpowiedzi: 3
Dobra jedziemy w ciemno.
Otworz notatnik i wklej do niego taki tekst:
Zapisz jako wszystkie pliki, nazwa dowolna tyle źe w rozszerzeniem reg np. nazwa_pliku.reg
Powstały plik dodajesz do rejestru – klikasz dwa razy i potwierdzasz.
Co do Silenta to spróbuj go odpalić w awaryjnym i dodatkowo ściągnij z innej lokalizacji.
Wyłącz równieź wszystkie programy anty w tle.
PS: Być moźe nic więcej nie będzie, ale jakby strona startowa badz któryś z wymienionych procesów wracał to zgłoś to, a poszukamy go ręcznie.
Otworz notatnik i wklej do niego taki tekst:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"notepad.exe"=–
"notepad2.exe"=–
"winlogon.exe"=–
"paint.exe"=–
Zapisz jako wszystkie pliki, nazwa dowolna tyle źe w rozszerzeniem reg np. nazwa_pliku.reg
Powstały plik dodajesz do rejestru – klikasz dwa razy i potwierdzasz.
Co do Silenta to spróbuj go odpalić w awaryjnym i dodatkowo ściągnij z innej lokalizacji.
Wyłącz równieź wszystkie programy anty w tle.
PS: Być moźe nic więcej nie będzie, ale jakby strona startowa badz któryś z wymienionych procesów wracał to zgłoś to, a poszukamy go ręcznie.
Wyrzuciłem korzystając z opcji delete a file on a rebot, inaczej nie szło. Tak wygląda teraz log:
Niestety Silent Runner nie chce mi ruszyć, wyskakuje mi komunikat z takimi informacjami:
Skrypt C:\documents and settings\knytha\pulpit\silent runers.vbsLogfile of HijackThis v1.99.0
Scan saved at 17:59:18, on 2005–06–09
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\keyhook.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\foobar2000\foobar2000.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
D:\Knytha\Programy\Hijackthis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 – HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 – HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 – HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O23 – Service: TrueVector Internet Monitor – Zone Labs Inc. – C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Niestety Silent Runner nie chce mi ruszyć, wyskakuje mi komunikat z takimi informacjami:
Wiersz: 77
Znak: 13
Błąd: Nie moźna utworzyć obiektu o nazwie "Wscript.shell"
Kod: 80040154
źródło: WScript.CreateObject
Dzięki za pomoc:)
Wersja Hijacka minimalnie za stara, winno być 1.99.1
Wylacz przywracanie
Zakoncz procesy i usun pliki:
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\intmon.exe
Dobij w Hijacku:
Ten ostatni plik równiez z dysku w kosmos wywalasz.
Podrzuć jeszcze log z Silent Runners bo czuje w kościach, źe jeszcze coś ukrytego jest.
Wylacz przywracanie
Zakoncz procesy i usun pliki:
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\intmon.exe
Dobij w Hijacku:
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 – HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R1 – HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/
O2 – BHO: VMHomepage Class – {FFFFFFFF–FFFF–FFFF–FFFF–FFFFFFFFFFFA} – C:\WINDOWS\System32\hp6A43.tmp
Ten ostatni plik równiez z dysku w kosmos wywalasz.
Podrzuć jeszcze log z Silent Runners bo czuje w kościach, źe jeszcze coś ukrytego jest.
Strona 1 / 1