spyware pomocy
kurde dziś szukałem seriala do gry. i wszedłem na jakąś stronę, i nagle mi się zwaliło na dysk pełno spyware :/ strona startowa mi się zmieniła i nei da się jej zmienić na taką co zawsze. wogóle ciągle na pulpit mi wksakują ikonki (skróty) do jakiś stron pornograficznych, ciągle jakieś komunikaty źe mam spyware, jakieś strony zboczone mi wyskakują :/
poradźcie jakim programem to usunąć?
próbowałem juź kilku m.in. ad–aware ale nie usunęło mi.
poradźcie jakim programem to usunąć?
próbowałem juź kilku m.in. ad–aware ale nie usunęło mi.
Odpowiedzi: 20
W porzadku nie ma sprawy.
Chciałem zwrocić uwage na jeszcze jedna rzecz, mianowicie:
Jesli IE uzywasz tylko od swieta to uaktualnij przynajmniej do SP1 lub wyzej.
Z Windowsem tak samo.
Przegladarke zmien na Opere (nową ósemke) lub Firefoxa, a gwarantuje ze takich niespodzianek bedzie na pewno mniej, a nawet byc moze wcale.
PS: Zycze zebys do tego działu jak najrzadzej wpadał.
Chciałem zwrocić uwage na jeszcze jedna rzecz, mianowicie:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Jesli IE uzywasz tylko od swieta to uaktualnij przynajmniej do SP1 lub wyzej.
Z Windowsem tak samo.
Przegladarke zmien na Opere (nową ósemke) lub Firefoxa, a gwarantuje ze takich niespodzianek bedzie na pewno mniej, a nawet byc moze wcale.
PS: Zycze zebys do tego działu jak najrzadzej wpadał.
człowieku jesteś wielki.
wielkie dzięki, nie ma juź innej strony starowej ani tych ikonek. WIELKIE DZIĘKI. kurde no nie wierze :lol:
ehh są jeszcze porządni ludzi na tym świecie :)
następnym razem bede wiedział gdzie się zgłosić :wink:
jeszcze raz dziękuje :P
wielkie dzięki, nie ma juź innej strony starowej ani tych ikonek. WIELKIE DZIĘKI. kurde no nie wierze :lol:
ehh są jeszcze porządni ludzi na tym świecie :)
następnym razem bede wiedział gdzie się zgłosić :wink:
jeszcze raz dziękuje :P
R_Gilu:
kurde nie da się go usunąć :?
Kurna wiedziałem, ze to powiesz, a ja głupi nie uprzedziłem faktów.
Krzyczy ze plik jest uzywany ??
Drog jest pełno:
– w awaryjnym usuwasz
– z konsoli
– przez Hijacka, Config >> Misc Tools >> Delete a file on reboot i tu wskazujesz plik i resetujesz system
– Killbox i dopisuejsz sciezke do pliku
– w awaryjnym z wierszem polecen i DEL ...
Tak wiec sposobów jest wiele, działaj i nie zawracaj gitary :wink:
kurde nie da się go usunąć :?
odmowa dostępu, sprawdź czy plik nie jest chroniony lub czy nie jest uźywany (czy jakoś tak to pisało)
odmowa dostępu, sprawdź czy plik nie jest chroniony lub czy nie jest uźywany (czy jakoś tak to pisało)
Czyli dobrze plik nie był zarejestrowany wiec pozostaje tylko wywalić go z dysku.
Potem tylko doprawiasz wpisy w Hijacku i to by było na tyle.
Potem tylko doprawiasz wpisy w Hijacku i to by było na tyle.
nie wiem co sie stało ale wyskoczyło mi takie okno z napisem:
załadowano plik param32.dll, ale nie moźna odnaleźć punktu wyjścia DllUnregisterServer. Nie moźna zarejestrować tego pliku.
załadowano plik param32.dll, ale nie moźna odnaleźć punktu wyjścia DllUnregisterServer. Nie moźna zarejestrować tego pliku.
regsvr32 /u ... a jak się nazywa moja biblioteka?
Czytaj uwaznie posty >> param32.dll
Wpisujesz ja w miejsce tych kropek
regsvr32 /u ... a jak się nazywa moja biblioteka?
HKLM to skrot od HKEY_LOCAL_MACHINE
Usuwasz klucz HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{D56A1203–1452–EBA1–7294–EE3377770000}
Wyrejestrowywanie bibliotek masz w FAQ, a plik ktory masz usunać i wyrejestrowac wczesniej to
param32.dll
Usuwasz klucz HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{D56A1203–1452–EBA1–7294–EE3377770000}
Wyrejestrowywanie bibliotek masz w FAQ, a plik ktory masz usunać i wyrejestrowac wczesniej to
param32.dll
hmm nie mam w rejestrze nic zaczynającego się na HKLM, jak wyrejestrować bibliotekę? jaki plik usunąć?
acha juź kumam hk local machine
p.s. jakby się dało to za tą pomoc juź byś miał piwo heh
acha juź kumam hk local machine
p.s. jakby się dało to za tą pomoc juź byś miał piwo heh
Czyli jest tak jak przypuszczałem:
– Rejestr ze wpisu czyscisz
– Biblioteke wyrejestrowujesz
– Plik usuwasz
– Wejscie w HJT fixujesz
PS: Uzywaj przycisku
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{D56A1203–1452–EBA1–7294–EE3377770000}" = "Interlinking Memory Support"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\param32.dll" [null data]
– Rejestr ze wpisu czyscisz
– Biblioteke wyrejestrowujesz
– Plik usuwasz
– Wejscie w HJT fixujesz
PS: Uzywaj przycisku
sorry takie coś:
"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"Anty_16BitNT Automatyczna Ochrona" = "C:\WINDOWS\Anty_16BitNT.exe AO" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"AVGCtrl" = "C:\Program Files\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F–C8D7–4D59–B87D–784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714–76d4–11d1–8b24–00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
–> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860–8EE4–11D2–9906–E49FADC173CA}" = "WinRAR shell extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{D56A1203–1452–EBA1–7294–EE3377770000}" = "Interlinking Memory Support"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\param32.dll" [null data]
Enabled Wallpaper and Active Desktop:
–––––––––––––––––––––––––––––––––––––
Active Desktop is disabled.
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\IrfanView_Wallpaper.bmp"
Startup items in "r" & "All Users" startup folders:
–––––––––––––––––––––––––––––––––––––––––––––––––––
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"Adobe Gamma Loader.exe" –> shortcut to: "C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 – 03, 06 – 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 – 05
Toolbars, Explorer Bars, Extensions:
––––––––––––––––––––––––––––––––––––
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0–4FCB–11CF–AAA5–00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{CAFEEFAC–0015–0000–0002–ABCDEFFEDCBC}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]
Running Services (Display Name, Service Name, Path {Service DLL}):
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
AntiVir Service, AntiVirService, "C:\Program Files\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Program Files\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
––––––––––
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
––––––––––
"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"Anty_16BitNT Automatyczna Ochrona" = "C:\WINDOWS\Anty_16BitNT.exe AO" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"AVGCtrl" = "C:\Program Files\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F–C8D7–4D59–B87D–784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714–76d4–11d1–8b24–00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
–> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860–8EE4–11D2–9906–E49FADC173CA}" = "WinRAR shell extension"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\
INFECTION WARNING! "{D56A1203–1452–EBA1–7294–EE3377770000}" = "Interlinking Memory Support"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\param32.dll" [null data]
Enabled Wallpaper and Active Desktop:
–––––––––––––––––––––––––––––––––––––
Active Desktop is disabled.
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\IrfanView_Wallpaper.bmp"
Startup items in "r" & "All Users" startup folders:
–––––––––––––––––––––––––––––––––––––––––––––––––––
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
"Adobe Gamma Loader.exe" –> shortcut to: "C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
Winsock2 Service Provider DLLs:
–––––––––––––––––––––––––––––––
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 – 03, 06 – 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 – 05
Toolbars, Explorer Bars, Extensions:
––––––––––––––––––––––––––––––––––––
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0–4FCB–11CF–AAA5–00401C608501}\
"MenuText" = "Sun Java Console"
"CLSIDExtension" = "{CAFEEFAC–0015–0000–0002–ABCDEFFEDCBC}"
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]
Running Services (Display Name, Service Name, Path {Service DLL}):
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
AntiVir Service, AntiVirService, "C:\Program Files\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Program Files\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
––––––––––
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the –all parameter.
––––––––––
nie wiem czy dobrze zrobiłem ale ściągłem plik silentrunners.vbs uruchomiłem go i jes takie coś:
"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"Anty_16BitNT Automatyczna Ochrona" = "C:\WINDOWS\Anty_16BitNT.exe AO" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"AVGCtrl" = "C:\Program Files\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F–C8D7–4D59–B87D–784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714–76d4–11d1–8b24–00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
–> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"Silent Runners.vbs", revision 36, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non–default values, except where indicated by "{++}"
Startup items buried in registry:
–––––––––––––––––––––––––––––––––
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
"Anty_16BitNT Automatyczna Ochrona" = "C:\WINDOWS\Anty_16BitNT.exe AO" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"AVGCtrl" = "C:\Program Files\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F–C8D7–4D59–B87D–784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
–> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714–76d4–11d1–8b24–00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
–> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560–9AA2–1069–930E–00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
–> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
Czyli mamy cos krytego.
Usuwałes juz z dysku biblioteki wymienione w moim pierwszym poscie ??
W logu mamy tylko nieszczesne R0 i R3.
Sciagnij Silent Runners i stworz nowy log
Usuwałes juz z dysku biblioteki wymienione w moim pierwszym poscie ??
W logu mamy tylko nieszczesne R0 i R3.
Sciagnij Silent Runners i stworz nowy log
Logfile of HijackThis v1.99.1
Scan saved at 22:52:23, on 2005–05–19
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Gadu–Gadu\gg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\r\Pulpit\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0415/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Anty_16BitNT Automatyczna Ochrona] C:\WINDOWS\Anty_16BitNT.exe AO
O4 – Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 – Service: AntiVir Service (AntiVirService) – H+BEDV Datentechnik GmbH – C:\Program Files\AVPersonal\AVGUARD.EXE
O23 – Service: AntiVir Update (AVWUpSrv) – H+BEDV Datentechnik GmbH, Germany – C:\Program Files\AVPersonal\AVWUPSRV.EXE
to mój najnowszy log :\
kurde nie radzę sobie. ten R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0415/
wogóle mi się nie usuwa, zaznaczam, daje FIX potem daje jeszcze raz źeby skanował i dalej to jest :\
Scan saved at 22:52:23, on 2005–05–19
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Gadu–Gadu\gg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\r\Pulpit\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0415/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – Default URLSearchHook is missing
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 – HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 – HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 – HKCU\..\Run: [Anty_16BitNT Automatyczna Ochrona] C:\WINDOWS\Anty_16BitNT.exe AO
O4 – Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O12 – Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O23 – Service: AntiVir Service (AntiVirService) – H+BEDV Datentechnik GmbH – C:\Program Files\AVPersonal\AVGUARD.EXE
O23 – Service: AntiVir Update (AVWUpSrv) – H+BEDV Datentechnik GmbH, Germany – C:\Program Files\AVPersonal\AVWUPSRV.EXE
to mój najnowszy log :\
kurde nie radzę sobie. ten R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0415/
wogóle mi się nie usuwa, zaznaczam, daje FIX potem daje jeszcze raz źeby skanował i dalej to jest :\
jak wyłączyć przywracanie systemu?
TAK
zakończyłem ntc.exe (ctrl+alt+del)
a tego crss.exe to mam dwa i nie wiem który zakończyć. zakończyłem ten przy którym nie pisało źe jest od systemu.
Czyli prawidłowo
i wogóle jak się w tym programie robi źeby usuwał to co zaznaczyłem? dać FIX?
Zahaczasz wpisy i klikasz w FIX CHECKED
"O20 – Winlogon Notify: drct16 – drct16.dll (file missing)
Haxdoor.D, w szukajke "drct16" bo wiele o nim juz zostało napisane"
Kliknij w przyciska "Szukaj" na gorze strony i wpisz w zapytaniu "drct16", dział bezpieczenstwo i ewentualnie mnie jako autora
Koniecznie usun inne pliki ktore wymieniłem w poprzednich postach oraz zastosuj fixa usuwajacego ukryte usługi
W logu nadal:
C:\WINDOWS\system32\??rss.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0415/
R3 – Default URLSearchHook is missing
O4 – HKCU\..\Run: [Rtq] C:\WINDOWS\System32\??rss.exe
Nie baw sie juz w zamykanie procesów, tylko lec do awaryjnego, zaznacz pokazywanie ukrytych i systemowych plików (wszystko masz w FAQ) i usun tego pytajnikowca wg zaleceń
Update: @Eri, sciagnij nowszego Hijacka na przyszłosc.
Acrobat. U Ciebie OK a R_Gilu Bobik wykonczy za moment :wink: .co to jest ten Rd?
spox tylko po co zakładzac kolejny post nr. 387492735 pt "sprawdzcie loga!!" :]
ziomuś zaczekaj ja pierwszy byłem :D
qrdem mi tez sie jakies syfy powgrywały (zostaw brachola na kompie to zara cos nie działa :/)
głównie mnóstwo (ponad 100) adwarów 180solution, alexia, MediaAccK.exe (?) i takie tam badziewia
bracholowi sie wieszało konto jak właził na pulpit ^^
poradziłam se jakos (adaware, s&d, hjt i tryb awaryjny ;]), ale moze ktos sprawdzic mi loga i procesy bo troche tego bylo...
screen z proscesów (co to jest ten Rd?) i czy ten svchost nie zźera troche duzo pamięci?
http://img135.echo.cx/img135/5531/xxxxx1pj.gif
XP PRO+sp2
głównie mnóstwo (ponad 100) adwarów 180solution, alexia, MediaAccK.exe (?) i takie tam badziewia
bracholowi sie wieszało konto jak właził na pulpit ^^
poradziłam se jakos (adaware, s&d, hjt i tryb awaryjny ;]), ale moze ktos sprawdzic mi loga i procesy bo troche tego bylo...
Logfile of HijackThis v1.97.7
Scan saved at 22:28:35, on 2005–05–19
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\Adobe\Acrobat 4.0\Reader\AcroRd32.exe
D:\OCHRONA KOMPA\hijackthis\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 – HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 – HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 – Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O10 – Broken Internet access because of LSP provider 'imon.dll' missing
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
screen z proscesów (co to jest ten Rd?) i czy ten svchost nie zźera troche duzo pamięci?
http://img135.echo.cx/img135/5531/xxxxx1pj.gif
XP PRO+sp2