wkr...ia mnie to
mam denerwojący problem po właczeniu kompa i uruchomieniu systemu prze 10 do 30 min mysz szaleje kieszeń otwiera sie kiedy chce zamyka i otwieram mi wszystko co znajdzie na pulpicie albo blokuje w jakim okienku i nie da rady zrobić nic myszką. próbowałem wszytkich dostepnych programów do wykrycia co to jest i nic z tego. :x
Odpowiedzi: 18
Zamykając proces Svchost.exe spowodujesz ponowne uruchomienie komputera po 60 sekundach. Jak ma to miejsce w Blasterze, co nie będzie znaczyło, źe masz Blastera ;–)
Co to za program – D:uruchom.exe ?
Usun:
Svchosta nie zamkniesz tak prosto, bo to wazny proces systemowy.
Usun:
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.usineagaz.ch/admin
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.bluewin.ch/index_f.html
O8 – Extra context menu item: &Google Search – res://c:program filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: Backward &Links – res://c:program filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cac&hed Snapshot of Page – res://c:program filesgoogleGoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: E&xporter vers Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 – Extra context menu item: Si&milar Pages – res://c:program filesgoogleGoogleToolbar2.dll/cmsimilar.html
O16 – DPF: {485D813E–EE26–4DF8–9FAF–DEDF2885306E} (NSHelp Class) – http://usine/connectcomputer/nshelp.dll
O17 – HKLMSystemCCSServicesTcpipParameters: Domain = uag.local
O17 – HKLMSystemCCSServicesTcpip..{D91E9355–C266–4EA3–9143–26B970384558}: NameServer = 192.169.3.100,195.186.1.111
O17 – HKLMSystemCS1ServicesTcpipParameters: Domain = uag.local
O17 – HKLMSystemCS2ServicesTcpipParameters: Domain = uag.local
Svchosta nie zamkniesz tak prosto, bo to wazny proces systemowy.
EL NINO:
Mozesz napisac jeszcze raz co sie dzieje u Ciebie ? Ale dokladnie. Dolacz zrzut okienka podgladu procesow i log z HiJacka.
Logfile of HijackThis v1.97.7
Scan saved at 13:36:13, on 02.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:WINNTSystem32DRIVERSCDANTSRV.EXE
C:WINNTSystem32svchost.exe
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:Program FilesNorton AntiVirusAdvToolsNPROTECT.EXE
C:WINNTsystem32 vsvc32.exe
C:WINNTsystem32 egsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTsystem32stisvc.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:WINNTSystem32mspmspsv.exe
C:WINNTsystem32svchost.exe
C:WINNTExplorer.EXE
C:Program FilesCompaqCompaq EAB Softwarecpqek.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:PROGRA~1MOUSEW~1SYSTEMEM_EXEC.EXE
C:Program FilesSpybot – Search & DestroyTeaTimer.exe
C:WINNTsystem32ctfmon.exe
C:Program FilesFotoStation EasyFotoStation Easy AutoLaunch.exe
C:Program FilesNikonNkView5NkvMon.exe
C:Program FilesHandspringHOTSYNC.EXE
C:WINNTsystem32 askmgr.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
D:uruchom.exe
D:ProgramyWindowsNarzedzioweBezpieczenstwoHijackThisHijackThis.exe
D:ProgramyWindowsNarzedzioweBezpieczenstwoHijackThisHijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.usineagaz.ch/admin
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.bluewin.ch/index_f.html
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:Program FilesSpybot – Search & DestroySDHelper.dll
O2 – BHO: Firepad FireConverter – {6427806D–3820–11D5–9939–00B0D0522EB5} – C:Program FilesHandspringFireConverterBrowserHelperObject.dll
O2 – BHO: (no name) – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:program filesgooglegoogletoolbar2.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:program filesgooglegoogletoolbar2.dll
O4 – HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 – HKLM..Run: [cpqek] C:Program FilesCompaqCompaq EAB Softwarecpqek.exe
O4 – HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program FilesAlcatelSpeedTouch USBDragdiag.exe" /icon
O4 – HKLM..Run: [hpppta] C:Program FilesHewlett–PackardHP PrecisionScanPrecisionScanhpppta.exe /ICON
O4 – HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec SharedccApp.exe"
O4 – HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec SharedccRegVfy.exe"
O4 – HKLM..Run: [Advanced Tools Check] C:PROGRA~1NORTON~1AdvToolsADVCHK.EXE
O4 – HKLM..Run: [EM_EXEC] C:PROGRA~1MOUSEW~1SYSTEMEM_EXEC.EXE
O4 – HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot – Search & DestroyTeaTimer.exe
O4 – HKCU..Run: [ctfmon.exe] ctfmon.exe
O4 – Startup: HotSync Manager.lnk = C:Program FilesHandspringHOTSYNC.EXE
O4 – Global Startup: FotoStation Easy AutoLaunch.lnk = C:Program FilesFotoStation EasyFotoStation Easy AutoLaunch.exe
O4 – Global Startup: NkvMon.exe.lnk = C:Program FilesNikonNkView5NkvMon.exe
O8 – Extra context menu item: &Google Search – res://c:program filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: Backward &Links – res://c:program filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cac&hed Snapshot of Page – res://c:program filesgoogleGoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: E&xporter vers Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 – Extra context menu item: Si&milar Pages – res://c:program filesgoogleGoogleToolbar2.dll/cmsimilar.html
O9 – Extra button: Create Mobile Favorite (HKLM)
O9 – Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 – Extra button: Recherche (HKLM)
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 – Extra button: Real.com (HKLM)
O12 – Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O16 – DPF: {2BC66F54–93A8–11D3–BEB6–00105AA9B6AE} (Symantec AntiVirus scanner) – http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 – DPF: {485D813E–EE26–4DF8–9FAF–DEDF2885306E} (NSHelp Class) – http://usine/connectcomputer/nshelp.dll
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37938.1284027778
O16 – DPF: {A3009861–330C–4E10–822B–39D16EC8829D} (CRAVOnline Object) – http://www.ravantivirus.com/scan/ravonline.cab
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLMSystemCCSServicesTcpipParameters: Domain = uag.local
O17 – HKLMSystemCCSServicesTcpip..{D91E9355–C266–4EA3–9143–26B970384558}: NameServer = 192.169.3.100,195.186.1.111
O17 – HKLMSystemCS1ServicesTcpipParameters: Domain = uag.local
O17 – HKLMSystemCS2ServicesTcpipParameters: Domain = uag.local
po jakims czasie wylacza mi sie wszystko i nie moge nic zrobic skanowalem panda i ravenem wykryl i ten i ten ale nie usunal wiec recznie usunalem ta pliki i teraz jak skanuje to nic nie wykrywa ale komp sie dalej wiesza staje i nic sie nie da wlaczyc. mialem miedzy innymi tirvila i bugebara ale nie wiem czy mam je dalej podobno torvil sie uruchamia pod svchost.exe spoolsv.exe i smss.exe ale zamykam te procesy i dalej to samo nie noge tylko zamknac svchost
Mozesz napisac jeszcze raz co sie dzieje u Ciebie ? Ale dokladnie. Dolacz zrzut okienka podgladu procesow i log z HiJacka.
oki zrobilem tak jak tam bylo napisane ale nie poskutkowalo pisze tam ze uruchamia sie on pod nazwa spoolsv.exe svchost.exe i smss.exe mam dalej wszystkie te procesy i nie wiem co zrobic
gacek777 – niem ieszaj. Proces bezczynnosci systemu – jak sama nazwa wskazuje to informacja o wolnejm ocy procesora. Czyli im więcej % tam jest tym mniej procesor jest obciązony – odwrotnie niź w wypadku pozostałych procesów w menagerze listowanych .
oki nie wiedzialem a poza tym to przeskanowalem skanerem pandy i ravaneta i panda wykryla mi bugebara.b.dam jak mam go usunac i mam jeszcze torvil.b.worm tak zebym byl szczesliwszy
gacek777 – niem ieszaj. Proces bezczynnosci systemu – jak sama nazwa wskazuje to informacja o wolnejm ocy procesora. Czyli im więcej % tam jest tym mniej procesor jest obciązony – odwrotnie niź w wypadku pozostałych procesów w menagerze listowanych .
W takim razie nalezy sie modlic, zebys nie napisal: FORMAT C: :mrgreen: :mrgreen:O Drugiej w nocy kaźdy moźe się pomylić :P
przynajmniej by poskutkowalo bo dalej jestem tam gdzie bylem. usunalem te wpisy co mowiliscie ale to nie pomoglo mam win2000. jest jeszcze jedna rzecz
w uruchomionych procesach mam taki proces ktory sie nazywa proces niaktywnosci systemu nie wiem dokladnie czy to to i co to jest ale zwalnia komputer raz jest ok a za sekunde uzycie procesora 100 i tak w kolko co dwie sekundy. w starterze takim programiku dalem zeby mi wyszukal folder docelowy i jest to w 3dsmax4 taki program do animacji 3d. :( :( :( :(
W takim razie nalezy sie modlic, zebys nie napisal: FORMAT C: :mrgreen: :mrgreen:O Drugiej w nocy kaźdy moźe się pomylić :P
O Drugiej w nocy kaźdy moźe się pomylić :P
Pozdrawiam :)
Pozdrawiam :)
Tylko po co te, skoro jeden to plugin Acrobata a drugi to RealPlayer ?Usuń następujące wpisy:O9 – Extra button: Real.com (HKLM)
O12 – Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
Usuń następujące wpisy:
A następnie skan programami:
Ad–Aware, Spybot Search & Destroy, Spy Sweeper.
Ściągniesz je ze strony:
http://www.majorgeeks.com
P.S. Jeźeli juź mówiliście o tych programach, to nie zwracajcie mi uwagi. Nie chciało mi się czytać w pełni tego tematu. Zauwaźyłem, źe jest log, więc stwierdziłem, źe fajnie będzie, jak wezmę udział w dyskusji.
Pozdrawiam :)
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.usineagaz.ch/admin
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.bluewin.ch/index_f.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://companyweb
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = about:blank
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
F2 – REG:system.ini: UserInit=
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O9 – Extra button: Real.com (HKLM)
O12 – Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O14 – IERESET.INF: START_PAGE_URL=http://companyweb
O16 – DPF: {485D813E–EE26–4DF8–9FAF–DEDF2885306E} (NSHelp Class) – http://usine/connectcomputer/nshelp.dll
A następnie skan programami:
Ad–Aware, Spybot Search & Destroy, Spy Sweeper.
Ściągniesz je ze strony:
http://www.majorgeeks.com
P.S. Jeźeli juź mówiliście o tych programach, to nie zwracajcie mi uwagi. Nie chciało mi się czytać w pełni tego tematu. Zauwaźyłem, źe jest log, więc stwierdziłem, źe fajnie będzie, jak wezmę udział w dyskusji.
Pozdrawiam :)
nie wywaliło mi tego i nie pomogły wasze rady jedyne co mnie meczyto to ze ni eidzie tego znaleźc czy ma znaczenie to źe jak spay bot zwalnia na plikach AdGoblin podczas skanowania i wynik zawsze ma bład i nie mozna go usunąć
Sygnatura była zaktualizowana przy skanowaniu, Skaner wykrył infekcję, sklasyfikował ją jakoś :?:
Przeglądnełeś Task , klucze Run.
Napisz co robiłeś bo wierzyć mi sie nie chce, źe z typowymi obiawami Backdoora stosując się do opisanych porad nic nie znalazłeś.
Co to błędu w Spybot – S&D to czego on dotyczy jaka jest jego treść, czego nie moźe usunąć – DSO Exploit :?:
Podczas scan`u S&D skaner zwalnia przy sygnaturze AdGoblin poniewaź w niektórych jego wariantach wykorzystywana jest technika Stealtch, skaner potrzebuje w tym momencie troche więcej czasu na dokładną analizę, co jest rzeczą normalna.
ja mama podobny problem tylko ze po jakims czasie przestaje mi dzialac prawy przycisk myszki i nie moge wejsc we wlasciwosci. po chwili nie dzialy nic i nie moge wylaczyc komputera
loga z hijacka
Logfile of HijackThis v1.97.7
Scan saved at 11:25:03, on 29.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:WINNTSystem32DRIVERSCDANTSRV.EXE
C:WINNTSystem32svchost.exe
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:Program FilesNorton AntiVirusAdvToolsNPROTECT.EXE
C:WINNTsystem32 vsvc32.exe
C:WINNTsystem32 egsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTsystem32stisvc.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:WINNTSystem32mspmspsv.exe
C:WINNTsystem32svchost.exe
C:WINNTExplorer.EXE
C:Program FilesCompaqCompaq EAB Softwarecpqek.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesSpybot – Search & DestroyTeaTimer.exe
C:WINNTsystem32ctfmon.exe
C:Program FilesFotoStation EasyFotoStation Easy AutoLaunch.exe
C:Program FilesNikonNkView5NkvMon.exe
C:Program FilesHandspringHOTSYNC.EXE
C:PROGRA~1NORTON~1 avw32.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:WINNTSystem32svchost.exe
D:uruchom.exe
D:ProgramyWindowsNarzedzioweBezpieczenstwoHijackThisHijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.usineagaz.ch/admin
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.bluewin.ch/index_f.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://companyweb
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = about:blank
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
F2 – REG:system.ini: UserInit=
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:Program FilesSpybot – Search & DestroySDHelper.dll
O2 – BHO: Firepad FireConverter – {6427806D–3820–11D5–9939–00B0D0522EB5} – C:Program FilesHandspringFireConverterBrowserHelperObject.dll
O2 – BHO: (no name) – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:program filesgooglegoogletoolbar2.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINNTSystem32msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:program filesgooglegoogletoolbar2.dll
O4 – HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 – HKLM..Run: [cpqek] C:Program FilesCompaqCompaq EAB Softwarecpqek.exe
O4 – HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program FilesAlcatelSpeedTouch USBDragdiag.exe" /icon
O4 – HKLM..Run: [hpppta] C:Program FilesHewlett–PackardHP PrecisionScanPrecisionScanhpppta.exe /ICON
O4 – HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec SharedccApp.exe"
O4 – HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec SharedccRegVfy.exe"
O4 – HKLM..Run: [Advanced Tools Check] C:PROGRA~1NORTON~1AdvToolsADVCHK.EXE
O4 – HKLM..Run: [EM_EXEC] C:PROGRA~1MOUSEW~1SYSTEMEM_EXEC.EXE
O4 – HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot – Search & DestroyTeaTimer.exe
O4 – HKCU..Run: [ctfmon.exe] ctfmon.exe
O4 – Startup: HotSync Manager.lnk = C:Program FilesHandspringHOTSYNC.EXE
O4 – Global Startup: FotoStation Easy AutoLaunch.lnk = C:Program FilesFotoStation EasyFotoStation Easy AutoLaunch.exe
O4 – Global Startup: NkvMon.exe.lnk = C:Program FilesNikonNkView5NkvMon.exe
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 – Extra context menu item: &Google Search – res://c:program filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: Backward &Links – res://c:program filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cac&hed Snapshot of Page – res://c:program filesgoogleGoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: E&xporter vers Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 – Extra context menu item: Si&milar Pages – res://c:program filesgoogleGoogleToolbar2.dll/cmsimilar.html
O9 – Extra button: Create Mobile Favorite (HKLM)
O9 – Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 – Extra button: Recherche (HKLM)
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 – Extra button: Real.com (HKLM)
O12 – Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O14 – IERESET.INF: START_PAGE_URL=http://companyweb
O16 – DPF: {485D813E–EE26–4DF8–9FAF–DEDF2885306E} (NSHelp Class) – http://usine/connectcomputer/nshelp.dll
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37938.1284027778
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLMSystemCCSServicesTcpipParameters: Domain = uag.local
O17 – HKLMSystemCCSServicesTcpip..{D91E9355–C266–4EA3–9143–26B970384558}: NameServer = 192.169.3.100,195.186.1.111
O17 – HKLMSystemCS1ServicesTcpipParameters: Domain = uag.local
O17 – HKLMSystemCS2ServicesTcpipParameters: Domain = uag.local
loga z hijacka
Logfile of HijackThis v1.97.7
Scan saved at 11:25:03, on 29.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINNTSystem32smss.exe
C:WINNTsystem32winlogon.exe
C:WINNTsystem32services.exe
C:WINNTsystem32lsass.exe
C:WINNTsystem32svchost.exe
C:WINNTsystem32spoolsv.exe
C:Program FilesFichiers communsSymantec SharedccEvtMgr.exe
C:WINNTSystem32DRIVERSCDANTSRV.EXE
C:WINNTSystem32svchost.exe
C:Program FilesFichiers communsMicrosoft SharedVS7Debugmdm.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:Program FilesNorton AntiVirusAdvToolsNPROTECT.EXE
C:WINNTsystem32 vsvc32.exe
C:WINNTsystem32 egsvc.exe
C:WINNTsystem32MSTask.exe
C:WINNTsystem32stisvc.exe
C:WINNTSystem32WBEMWinMgmt.exe
C:WINNTSystem32mspmspsv.exe
C:WINNTsystem32svchost.exe
C:WINNTExplorer.EXE
C:Program FilesCompaqCompaq EAB Softwarecpqek.exe
C:Program FilesFichiers communsSymantec SharedccApp.exe
C:Program FilesSpybot – Search & DestroyTeaTimer.exe
C:WINNTsystem32ctfmon.exe
C:Program FilesFotoStation EasyFotoStation Easy AutoLaunch.exe
C:Program FilesNikonNkView5NkvMon.exe
C:Program FilesHandspringHOTSYNC.EXE
C:PROGRA~1NORTON~1 avw32.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:WINNTSystem32svchost.exe
D:uruchom.exe
D:ProgramyWindowsNarzedzioweBezpieczenstwoHijackThisHijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.usineagaz.ch/admin
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.bluewin.ch/index_f.html
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = about:blank
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://companyweb
R1 – HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = about:blank
R1 – HKCUSoftwareMicrosoftInternet ExplorerSearchURL,(Default) = about:blank
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens
F2 – REG:system.ini: UserInit=
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 – BHO: (no name) – {53707962–6F74–2D53–2644–206D7942484F} – C:Program FilesSpybot – Search & DestroySDHelper.dll
O2 – BHO: Firepad FireConverter – {6427806D–3820–11D5–9939–00B0D0522EB5} – C:Program FilesHandspringFireConverterBrowserHelperObject.dll
O2 – BHO: (no name) – {AA58ED58–01DD–4d91–8333–CF10577473F7} – c:program filesgooglegoogletoolbar2.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINNTSystem32msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Google – {2318C2B1–4965–11d4–9B18–009027A5CD4F} – c:program filesgooglegoogletoolbar2.dll
O4 – HKLM..Run: [Synchronization Manager] mobsync.exe /logon
O4 – HKLM..Run: [cpqek] C:Program FilesCompaqCompaq EAB Softwarecpqek.exe
O4 – HKLM..Run: [SpeedTouch USB Diagnostics] "C:Program FilesAlcatelSpeedTouch USBDragdiag.exe" /icon
O4 – HKLM..Run: [hpppta] C:Program FilesHewlett–PackardHP PrecisionScanPrecisionScanhpppta.exe /ICON
O4 – HKLM..Run: [ccApp] "C:Program FilesFichiers communsSymantec SharedccApp.exe"
O4 – HKLM..Run: [ccRegVfy] "C:Program FilesFichiers communsSymantec SharedccRegVfy.exe"
O4 – HKLM..Run: [Advanced Tools Check] C:PROGRA~1NORTON~1AdvToolsADVCHK.EXE
O4 – HKLM..Run: [EM_EXEC] C:PROGRA~1MOUSEW~1SYSTEMEM_EXEC.EXE
O4 – HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot – Search & DestroyTeaTimer.exe
O4 – HKCU..Run: [ctfmon.exe] ctfmon.exe
O4 – Startup: HotSync Manager.lnk = C:Program FilesHandspringHOTSYNC.EXE
O4 – Global Startup: FotoStation Easy AutoLaunch.lnk = C:Program FilesFotoStation EasyFotoStation Easy AutoLaunch.exe
O4 – Global Startup: NkvMon.exe.lnk = C:Program FilesNikonNkView5NkvMon.exe
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions present
O6 – HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel present
O8 – Extra context menu item: &Google Search – res://c:program filesgoogleGoogleToolbar2.dll/cmsearch.html
O8 – Extra context menu item: Backward &Links – res://c:program filesgoogleGoogleToolbar2.dll/cmbacklinks.html
O8 – Extra context menu item: Cac&hed Snapshot of Page – res://c:program filesgoogleGoogleToolbar2.dll/cmcache.html
O8 – Extra context menu item: E&xporter vers Microsoft Excel – res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000
O8 – Extra context menu item: Si&milar Pages – res://c:program filesgoogleGoogleToolbar2.dll/cmsimilar.html
O9 – Extra button: Create Mobile Favorite (HKLM)
O9 – Extra 'Tools' menuitem: Create Mobile Favorite... (HKLM)
O9 – Extra button: Recherche (HKLM)
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 – Extra button: Real.com (HKLM)
O12 – Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll
O14 – IERESET.INF: START_PAGE_URL=http://companyweb
O16 – DPF: {485D813E–EE26–4DF8–9FAF–DEDF2885306E} (NSHelp Class) – http://usine/connectcomputer/nshelp.dll
O16 – DPF: {9F1C11AA–197B–4942–BA54–47A8489BB47F} (Update Class) – http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37938.1284027778
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLMSystemCCSServicesTcpipParameters: Domain = uag.local
O17 – HKLMSystemCCSServicesTcpip..{D91E9355–C266–4EA3–9143–26B970384558}: NameServer = 192.169.3.100,195.186.1.111
O17 – HKLMSystemCS1ServicesTcpipParameters: Domain = uag.local
O17 – HKLMSystemCS2ServicesTcpipParameters: Domain = uag.local
nie wywaliło mi tego i nie pomogły wasze rady jedyne co mnie meczyto to ze ni eidzie tego znaleźc czy ma znaczenie to źe jak spay bot zwalnia na plikach AdGoblin podczas skanowania i wynik zawsze ma bład i nie mozna go usunąć
No i mozna przegladnac recznie autostart w msconfigu oraz klucze startowe RUN w rejestrze w poszukiwaniu dziwnych wpisow.
Typowy objaw Backdoor`a, przeskanuj aplikacją antywirusowym z najnowszą sygnaturą, jeśli takowej nie posiadasz to moźesz spróbować on–line :
:arrow: http://www.pandasoftware.com/activescan/pol/activescan_principal.htm zaznaczając wykrywanie trojanów i infekcji opartych na heurustce,
:arrow: http://www.ravantivirus.com/scan/indexie.php
Załącz systemowego Firewall`a jeśli to Win XP i postaraj się o zaporę ogniową firm trzecich.
:arrow: http://www.pandasoftware.com/activescan/pol/activescan_principal.htm zaznaczając wykrywanie trojanów i infekcji opartych na heurustce,
:arrow: http://www.ravantivirus.com/scan/indexie.php
Załącz systemowego Firewall`a jeśli to Win XP i postaraj się o zaporę ogniową firm trzecich.
Strona 1 / 1