Prosze sprawdzenie loga
Logfile of HijackThis v1.99.1
Scan saved at 21:18:16, on 2006–01–14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\DZIGIE~1\USTAWI~1\Temp\Rar$EX00.015\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 62.23.35.22:8080
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 – BHO: URLLink – {4A2AACF3–ADF6–11D5–98A9–00E018981B9E} – C:\Program Files\NewDotNet\newdotnet7_14.dll
O4 – HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 – HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [DAEMON Tools–1033] "C:\Program Files\D–Tools\daemon.exe" –lang 1033
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 – HKLM\..\Run: [g0TWv] C:\WINDOWS\ufrqcevh.exe
O4 – HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 – HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 – HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd2.exe"
O4 – HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 – HKLM\..\Run: [bpk] C:\WINDOWS\system32\bpk.exe
O4 – HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL,ClientStartup –s
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [Bittorrent Download Accelerator Pro] C:\Program Files\Bittorrent Download Accelerator Pro\Bittorrent Download Accelerator Pro.exe
O4 – HKCU\..\Run: [Dzieńdobry!] E:\Program Files\VSD Software\Dzieńdobry!\dziendobry.exe /auto
O4 – HKCU\..\Run: [TypingSatellite] "C:\Program Files\TypingMaster\KBOOST.EXE"
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – Startup: OpenOffice.org 2.0.lnk = E:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 – Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock.exe
O4 – Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe
O4 – Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 – Extra context menu item: Sothink SWF Catcher – C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 – Extra button: Sothink SWF Catcher – {E19ADC6E–3909–43E4–9A89–B7B676377EE3} – C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 – Extra 'Tools' menuitem: Sothink SWF Catcher – {E19ADC6E–3909–43E4–9A89–B7B676377EE3} – C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O10 – Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O23 – Service: AntiVir Service (AntiVirService) – H+BEDV Datentechnik GmbH – C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 – Service: AntiVir Update (AVWUpSrv) – H+BEDV Datentechnik GmbH, Germany – C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 – Service: Bonjour Service – Apple Computer, Inc. – C:\Program Files\Bonjour\mDNSResponder.exe
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 – Service: iPodService – Apple Computer, Inc. – C:\Program Files\iPod\bin\iPodService.exe
O23 – Service: MySql – Unknown owner – c:/usr/mysql/bin/mysqld–nt.exe
Scan saved at 21:18:16, on 2006–01–14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\DZIGIE~1\USTAWI~1\Temp\Rar$EX00.015\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 62.23.35.22:8080
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local.,
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 – BHO: URLLink – {4A2AACF3–ADF6–11D5–98A9–00E018981B9E} – C:\Program Files\NewDotNet\newdotnet7_14.dll
O4 – HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 – HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [DAEMON Tools–1033] "C:\Program Files\D–Tools\daemon.exe" –lang 1033
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 – HKLM\..\Run: [g0TWv] C:\WINDOWS\ufrqcevh.exe
O4 – HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 – HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" –atboottime
O4 – HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 – HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 – HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett–Packard\HP Software Update\HPWuSchd2.exe"
O4 – HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 – HKLM\..\Run: [bpk] C:\WINDOWS\system32\bpk.exe
O4 – HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL,ClientStartup –s
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [Gadu–Gadu] "C:\Program Files\Gadu–Gadu\gg.exe" /tray
O4 – HKCU\..\Run: [Bittorrent Download Accelerator Pro] C:\Program Files\Bittorrent Download Accelerator Pro\Bittorrent Download Accelerator Pro.exe
O4 – HKCU\..\Run: [Dzieńdobry!] E:\Program Files\VSD Software\Dzieńdobry!\dziendobry.exe /auto
O4 – HKCU\..\Run: [TypingSatellite] "C:\Program Files\TypingMaster\KBOOST.EXE"
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – Startup: OpenOffice.org 2.0.lnk = E:\Program Files\OpenOffice.org 2.0\program\quickstart.exe
O4 – Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\ObjectDock\ObjectDock.exe
O4 – Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Longhorn Inspirat\YzToolBar\YzToolBar.exe
O4 – Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 – Extra context menu item: Sothink SWF Catcher – C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 – Extra button: Sothink SWF Catcher – {E19ADC6E–3909–43E4–9A89–B7B676377EE3} – C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 – Extra 'Tools' menuitem: Sothink SWF Catcher – {E19ADC6E–3909–43E4–9A89–B7B676377EE3} – C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:\Program Files\Messenger\msmsgs.exe
O10 – Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O23 – Service: AntiVir Service (AntiVirService) – H+BEDV Datentechnik GmbH – C:\PROGRAM FILES\AVPERSONAL\AVGUARD.EXE
O23 – Service: AntiVir Update (AVWUpSrv) – H+BEDV Datentechnik GmbH, Germany – C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 – Service: Bonjour Service – Apple Computer, Inc. – C:\Program Files\Bonjour\mDNSResponder.exe
O23 – Service: InstallDriver Table Manager (IDriverT) – Macrovision Corporation – C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 – Service: iPodService – Apple Computer, Inc. – C:\Program Files\iPod\bin\iPodService.exe
O23 – Service: MySql – Unknown owner – c:/usr/mysql/bin/mysqld–nt.exe
Odpowiedzi: 8
Widze źe dyskusje trzeba zakończyć bo robisz sie złosliwy a wiec ok. Ten przepis jak to nazwałeś tyczy się do wszystkiego. Bezwględu co byś robił i co usuwał. Ja uwaźam źe kazdy sposób jest dobry który przynosi skutek. Czyli brak wirusa na kompie. Więc ty usuwaj sobie w trybie normalnym a ja w trybie awaryjnym. Tylko na pewno wiesz ze, nie których wpisów nie usuwa sie w HJ , nawet nie moźna ich usunąć. Nie które pliki są usuwane killboxem w trybie awaryjnym. Wiadomo tez źe HJ w wielu przypadkach sie nie sprawdza pokazuje tylko zaląźek wirusa a nie jego całość. Jest tak np w przypadku szpiega VX2 lub innych braciszków trojanów. Więc jeśli ja dobrze zrobie instrukcje usuwania (bo tez wszytkiego nie wiem i moge coś ominąć) i user będzie miał dostęp do niej w trybie awaryjnym to napewno usunie nawet wpisy które mu sie nie pokaźa
Dziękuje koniec
Mimo tego Pozdrawiam
:D
Dziękuje koniec
Mimo tego Pozdrawiam
:D
Nie interesuje mnie skad cokolwiek jest.
Moze jeszcze raz:
– sugerujesz uzycie HiJacka w trybie awaryjnym, gdzie nie sa pokazywane wszystkie smieci
– podpierasz sie przy tym jakims "przepisem", mowiacym o calkowicie innej czynnosci – nie uzyciu w trybie awaryjnym HiJacka, a usuwaniu szkodliwego pliku. Nie sadzisz ze to dwie rozne rzeczy ?
Jesli trzymasz sie czegos, trzymaj sie dokladnie. Wczesniej jednak przeczytaj czego tyczy "przepis".Wiewia:
Wiesz ja raczej trzymam się tego.
Moze jeszcze raz:
– sugerujesz uzycie HiJacka w trybie awaryjnym, gdzie nie sa pokazywane wszystkie smieci
– podpierasz sie przy tym jakims "przepisem", mowiacym o calkowicie innej czynnosci – nie uzyciu w trybie awaryjnym HiJacka, a usuwaniu szkodliwego pliku. Nie sadzisz ze to dwie rozne rzeczy ?
MODEL PRAWIDŁOWEGO USUWANIA SZKODNIKÓW
1. Wyłączenie Przywracania systemu
2. Start w trybie awaryjnym
3. Usunięcie wirusa/robaka/szpiega/trojana
START W TRYBIE AWARYJNYM (Safe Mode):
Jest to krok konieczny by wyeliminować maksymalnie procesy szkodników ładujące się normalną drogą razem z Windows. Ponadto w normalnym trybie ładowania pliki wirusa mogą być niekasowalne gdyź właśnie związane szkodliwymi procesami!
Wiesz ja raczej trzymam się tego.
To jest z TĄD
Dlatego zawsze podaje gotowe instrukcje do usunięcia.
No wlasnie ze to regula, a IMO moga wystapic jedynie wyjatki. Z system po prostu uruchamiaja sie w trybie awaryjnym nieliczne uslugi i procesy.Masz racje źe HJ nie których syfów nie pokaźe ale to nie jest regułą.
.
1. Dlaczego w awaryjny ? Tryb awaryjny uruchamia sie wylacznie do usuwania niektorych plikow, a nie do pracy na HJ. W trybie awaryjnym HJ nie pokaze wszystkich smieci, wiec jak je usunac ?
2. Program i opis potrzebny do usuniecia jednego wpisu z rejestru ? To juz nie da rady wlezc do klucza HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i usunac recznie ciag _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} ?
1.Wiesz zawsze przewaźnie usuwam to w trybie awaryjnym.Masz racje źe HJ nie których syfów nie pokaźe ale to nie jest regułą. Mam zrobionego loga w normalnym trybie do porównania.
2.ok tak jest prosciej ale chciałem źeby user wiedział co i jak się usuwa
1. Dlaczego w awaryjny ? Tryb awaryjny uruchamia sie wylacznie do usuwania niektorych plikow, a nie do pracy na HJ. W trybie awaryjnym HJ nie pokaze wszystkich smieci, wiec jak je usunac ?
2. Program i opis potrzebny do usuniecia jednego wpisu z rejestru ? To juz nie da rady wlezc do klucza HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i usunac recznie ciag _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} ?
R3 – URLSearchHook: (no name) – _{CFBFAE00–17A6–11D0–99CB–00C04FD64497} – (no file)
O2 – BHO: URLLink – {4A2AACF3–ADF6–11D5–98A9–00E018981B9E} – C:\Program Files\NewDotNet\newdotnet7_14.dll
O4 – HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NewDotNet\NEWDOT~1.DLL,ClientStartup –s
Wyłącz przywracanie systemu. Wejdz w tryb awaryjny. I poleceniem fixchecked usuń w HJ podane wpisy.
Wpis R3 nie usuwasz hijackiem tylko usuniesz Registrar Lite opis masz TUTAJ
W Dodaj/Usun poprostu odinstaluj NewDotNet (jak jest). A katalog na czerwono usuń ręcznie z dysku
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
O10 – Hijacked Internet access by New.Net
Natomiast to uźyj narzędzia LSP–Fix zaznacz "I know what I'm doing" następnie w okienku Keep zaznacz plik newdotnet7_14.dll i za pomocą strzałki (>>) przenieś go do okienka Remover i kliknij Finish
http://forum.centrumxp.pl/viewtopic.php?t=37513
Strona 1 / 1