Vergil Napisano Marzec 26, 2006 Zgłoś Share Napisano Marzec 26, 2006 Mam duzy problem gdy próbuje odpalic nietóre programy to nic się nie pojawia ale w aktywnych procesach to jest naszczescie w bardzo niewielu przypadkach tak sie dzieje również gdy prubuje coś usunąć również nie moge tez w paru przypadkach zrobiłem loga z hijcak this proszę o pomoc co mam skasowac?Logfile of HijackThis v1.99.1Scan saved at 08:23:24, on 2006-03-26Platform: Windows XP (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSExplorer.EXEC:WINDOWSsystem32ntvdm.exeC:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeC:Program FilesAnalog DevicesSoundMAXSmax4.exeC:Program FilesJavajre1.5.0_05binjusched.exeC:WINDOWSsvchost.exeC:WINDOWSSystem32nvsvc32.exeC:WINDOWSsvchost.exeC:Program FilesAnalog DevicesSoundMAXSMAgent.exeC:WINDOWSSystem32wuauclt.exeC:Program FilesInternet ExplorerIEXPLORE.EXED:RóżneHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaF3 - REG:win.ini: load=C:YDPDictwatch.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocxO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocxO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInitO4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeO4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /trayO4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exeO4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_05binjusched.exeO4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /backgroundO4 - HKCU..Run: [NBJ] "C:Program FilesAheadNero BackItUpNBJ.exe"O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXEO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dllO12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dllO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exeproszę o szybką odpowiedz z góry thx:) Link do komentarza Udostępnij na innych stronach More sharing options...
wies.niak Napisano Marzec 26, 2006 Zgłoś Share Napisano Marzec 26, 2006 wszystko rób w trybie awaryjnym, wyłącz też przywracanie systemu. gdyby były problemy z usunięciem czegoś, użyj killbox'a. po oczyszczeniu wrzuć log do weryfikacji. i uaktualnij sobie system...do wywalenia:C:WINDOWSsvchost.exe (tylko nie pomyl z takim samym plikiem w system32, który tam ma być)F3 - REG:win.ini: load=C:YDPDictwatch.exe <- jeśli jesteś pewny tego pliku, wiesz co to jest, to zostaw, w przeciwnym razie wywal. Link do komentarza Udostępnij na innych stronach More sharing options...
Vergil Napisano Marzec 31, 2006 Autor Zgłoś Share Napisano Marzec 31, 2006 Zrobiłem tak jak mówiłes oto log najnowszy log:Logfile of HijackThis v1.99.1Scan saved at 11:58:16, on 2006-03-31Platform: Windows XP (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSExplorer.EXEC:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeC:Program FilesAnalog DevicesSoundMAXSmax4.exeC:Program FilesJavajre1.5.0_05binjusched.exeC:WINDOWSSystem32RUNDLL32.EXEC:WINDOWSSystem32nvsvc32.exeC:WINDOWSsvchost.exeC:Program FilesAnalog DevicesSoundMAXSMAgent.exeD:RóżneHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocxO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocxO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeO4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /trayO4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_05binjusched.exeO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInitO4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXEO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dllO12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dllO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143371666578O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exeWszystko ok? Link do komentarza Udostępnij na innych stronach More sharing options...
wies.niak Napisano Marzec 31, 2006 Zgłoś Share Napisano Marzec 31, 2006 ciągle masz to dziadostwo:C:WINDOWSsvchost.execzy to oczyszczanie robiłeś przy odłączonym necie? (powinieneś)wywal to killbox'em.jak wywalisz, zrób log i sprawdź czy jest odniesienie do tego pliku. jak nie ma to ok, jak jest, to mamy problemik...odpal wtedy ten skrypt (http://www.silentrunners.org/ - jest bezpieczny) i wrzuć jego log.choć myślę, że akcja killbox'em powinna starczyć (tylko pamiętaj, net odłączony). Link do komentarza Udostępnij na innych stronach More sharing options...
tiges Napisano Kwiecień 7, 2006 Zgłoś Share Napisano Kwiecień 7, 2006 http://www.liutilities.com/products/wintas...ibrary/svchost/no dziadostwo MIcrosoftu ... Microsoft Service Host Processjest trojan pod, ktory pod to sie podszywa Link do komentarza Udostępnij na innych stronach More sharing options...
Vergil Napisano Kwiecień 7, 2006 Autor Zgłoś Share Napisano Kwiecień 7, 2006 Najnowszy log:Logfile of HijackThis v1.99.1Scan saved at 18:48:09, on 2006-04-07Platform: Windows XP (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSSystem32nvsvc32.exeC:WINDOWSsvchost.exeC:Program FilesAnalog DevicesSoundMAXSMAgent.exeC:WINDOWSExplorer.EXEC:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeC:Program FilesAnalog DevicesSoundMAXSmax4.exeC:Program FilesJavajre1.5.0_05binjusched.exeC:WINDOWSSystem32RUNDLL32.EXEC:Program FilesGadu-Gadugg.exeC:Program FilesOperaOpera.exeD:RóżneHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocxO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocxO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeO4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /trayO4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_05binjusched.exeO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInitO4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXEO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dllO12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dllO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143371666578O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exeMam jeszcze pytanie czy da sie zrobic tak zeby przeglądac internet najpierw trzeba wpisac hasło?jest moze jakis program od tego?pomocy Link do komentarza Udostępnij na innych stronach More sharing options...
wies.niak Napisano Kwiecień 7, 2006 Zgłoś Share Napisano Kwiecień 7, 2006 ciągle masz tenC:WINDOWSsvchost.exeopisz co zrobiłeś, jak próbowałeś go wywalić? wrzuć lego z tego skryptu silentrunners (link w poście poprzednim).pobierz sobie trial programu ewido (http://www.ewido.net/) - przeskanuj i wyczyść nim komputer.co do pytania o hasło - jakiś programik do kontroli rodzicielskiej powinien załatwić sprawę.tiges -> nie rozumiem twojej wypowiedzi, chciałeś się odnieść do mojego określenia dziadostwo? jeśli tak, to polecam poczytać: plik svchost na który wskazuję to syf, a plik systemowy o którym mówisz, jest w windowssystem32 i tego pliku nie ruszam... Link do komentarza Udostępnij na innych stronach More sharing options...
tiges Napisano Kwiecień 7, 2006 Zgłoś Share Napisano Kwiecień 7, 2006 no a dalem linka, w ktorym jasno widac, ze pod to sie podszywaja trojanyNote: svchost.exe is also a process which is registered as the Trojan.W32.Dasher. It takes advantage of the Windows LSASS vulnerability, which creates a buffer overflow and instigates your computer to shut down. To see more information about this vulnerability please look at the following Microsoft bulletin: http://www.microsoft.com/technet/security/...n/ms04-011.mspxskilowac proces i zobaczyc czy cos sie zmieni Link do komentarza Udostępnij na innych stronach More sharing options...
mj Napisano Kwiecień 7, 2006 Zgłoś Share Napisano Kwiecień 7, 2006 Witam, wlasnie zrobilem scan hijackiem, tak profilaktycznie i zauwzylem cos takiego:C:WINDOWSsystem32nvsvc32.execzy ktos wiec co to moze byc? Link do komentarza Udostępnij na innych stronach More sharing options...
wies.niak Napisano Kwiecień 7, 2006 Zgłoś Share Napisano Kwiecień 7, 2006 skilowac proces i zobaczyc czy cos sie zmieni nie przejdzie, bo proces jest newralgiczny dla systemu.poza tym, gdyby tam był trojan "which creates a buffer overflow and instigates your computer to shut down" to system by się zwieszał lub wyłączał (tym bardziej, że system jest bez aktualizacji), a to się nie dzieje (lub Vergil o tym nie napisał).jeśli będziemy próbować zabić tego svchost'a, którego próbuję skasować, nic nie zyskamy, bo proces się odnowi. dlatego chcę to zrobić w awaryjnym + czyszczenie rejestru. po to też ewido polecam i log z silentrunners.mj -> google wie...http://www.liutilities.com/products/wintas...ibrary/nvsvc32/.takie lenistwo... Link do komentarza Udostępnij na innych stronach More sharing options...
mj Napisano Kwiecień 7, 2006 Zgłoś Share Napisano Kwiecień 7, 2006 aha, zapomnialem ;P Link do komentarza Udostępnij na innych stronach More sharing options...
tiges Napisano Kwiecień 7, 2006 Zgłoś Share Napisano Kwiecień 7, 2006 hmm .. jest tez inna mozliwosc .. zaden trojan, tylko jakis program popodmienial jakies biblioteki systemowe na starsze i jest klopot. Link do komentarza Udostępnij na innych stronach More sharing options...
wies.niak Napisano Kwiecień 7, 2006 Zgłoś Share Napisano Kwiecień 7, 2006 sfc /scannowi możemy zobaczyć czy coś zostało zmienione. zresztą proponuję poczekać na odpowiedź samego zainteresowanego. Link do komentarza Udostępnij na innych stronach More sharing options...
Makdonald Napisano Kwiecień 7, 2006 Zgłoś Share Napisano Kwiecień 7, 2006 ehhh :? jak z tego programu korzystac ??? Link do komentarza Udostępnij na innych stronach More sharing options...
wies.niak Napisano Kwiecień 7, 2006 Zgłoś Share Napisano Kwiecień 7, 2006 z hijack this?odpalasz program i klikasz "do a system scan and save a logfile". otwiera się notatnik z treścią loga. kopiujesz, wklejasz tu do analizy, albo sam próbujesz pod www.hijackthis.de (tylko ostrożnie).---[edit]---do ps z posta poniżej:nie mnie o tym dyskutować, ale z tego co widzę, ostrzeżeniach dostałeś za piractwo - posty traktujące o tym "zjawisku". Link do komentarza Udostępnij na innych stronach More sharing options...
Makdonald Napisano Kwiecień 7, 2006 Zgłoś Share Napisano Kwiecień 7, 2006 dobra dzieki widze ze Ewido sobie poradził ps : dostałem ostrzezenia za to ze sie słabo znam na kompach i na oprogramowaniu ?? tak ?? dzieki :?wiki-yu: informacja za co jest ostrzeżenie jest w dziale: "Banicja i Ostrzeżenia" Link do komentarza Udostępnij na innych stronach More sharing options...
Vergil Napisano Kwiecień 8, 2006 Autor Zgłoś Share Napisano Kwiecień 8, 2006 Tak jak mówiłes wies.niak Najpierw odłączyłem neta potem odpaliłem killboxa podałem mu ścieżke co ma usunać czyli: CWIONDOWS|svhost.exe(czy cos w podobie) potem sie mnie ocos pytał i niby że go usuną i musiałem zapisać wszystko co aktualnie robiłęm bo program uruchomi ponownie komputer i prawie w ostatnich sekundach kliknąłm na jakims programie aby zapisał czy wyszedł nie pamiętam ale przy: trwa zapisywanie ustawien osobistych(podczas uruchamiania ponownie komputera) komputer sie zawiesił i musiałem go zresetowac i to wszystko potem zrobiłem loga hijcak this.PS a masz moze link do takiego programu i jak bys mógł to opisał mi dokładniej jak on działa pls Link do komentarza Udostępnij na innych stronach More sharing options...
wies.niak Napisano Kwiecień 8, 2006 Zgłoś Share Napisano Kwiecień 8, 2006 ewido pobierzesz stąd: http://www.ewido.net/en/, tam też opis jest itd...wnioskuję, że killbox zasugerował usunięcie pliku przy restarcie i kiedy miał to usunąć, komp się zawiesił przez co nie usunął pliku.skoro nie napisałeś, domyślam się, że nie robiłeś tego w trybie awaryjnym?spróbuj jeszcze raz, tym razem w awaryjnym. spróbuj też włączyć menadżer urządzeń i zabić proces przed jego usunięciem.cięzko tu poradzić coś więcej, po prostu czasem trzeba kilka razy aż do skutku.i jeszcze raz, wrzuć też log z http://www.silentrunners.org/. Link do komentarza Udostępnij na innych stronach More sharing options...
footman Napisano Kwiecień 8, 2006 Zgłoś Share Napisano Kwiecień 8, 2006 Zrobiłem sobie loga i dałem do analizy www.hijackthis.de i wykryło mi kilka syfów ale nie jestem pewien czy mam to na pewno wyrzucać więc daję tu log:Logfile of HijackThis v1.99.1Scan saved at 15:06:46, on 2006-04-08Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSSYSTEM32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSsystem32spoolsv.exeD:Program FilesAlwil SoftwareAvast4aswUpdSv.exeD:Program FilesAlwil SoftwareAvast4ashServ.exeC:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXEC:WINDOWSsystem32nvsvc32.exeD:Program FilesAlwil SoftwareAvast4ashMaiSv.exeD:Program FilesAlwil SoftwareAvast4ashWebSv.exeC:WINDOWSExplorer.EXEC:WINDOWSsystem32WgaTray.exeC:WINDOWSSOUNDMAN.EXEC:Program FilesJavajre1.5.0_06binjusched.exeD:Program FilesCyberLinkPowerDVDPDVDServ.exeC:WINDOWSsystem32rundll32.exeD:PROGRA~1ALWILS~1Avast4ashDisp.exeC:Program FilesWinampwinampa.exeC:WINDOWSsystem32ctfmon.exeC:Program FilesCursorXPCursorXP.exeC:WINDOWSSystem32svchost.exeC:WINDOWSBricoPacksVista InspiratObjectDockObjectDock.exeC:WINDOWSBricoPacksVista InspiratYzToolbarYzToolBar.exeD:Program FilesAzureusAzureus.exeC:Program FilesMozilla Firefoxfirefox.exeC:Documents and SettingsBartekPulpitHijackThis.exeR0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://VeryCD.265.comR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page = R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dllO2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:Program FilesNewDotNetnewdotnet7_22.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dllO4 - HKLM..Run: [soundMan] SOUNDMAN.EXEO4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exeO4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exeO4 - HKLM..Run: [RemoteControl] "D:Program FilesCyberLinkPowerDVDPDVDServ.exe"O4 - HKLM..Run: [WhenUSave] "C:Program FilesSaveSave.exe"O4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,ClientStartup -sO4 - HKLM..Run: [3DNADesktop] "D:Program Files3DNAResources3dnasys.exe" -openO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInitO4 - HKLM..Run: [avast!] D:PROGRA~1ALWILS~1Avast4ashDisp.exeO4 - HKLM..Run: [sysMetrix] C:Program FilesSysMetrixSysMetrix.exeO4 - HKLM..Run: [LogonStudio] "C:Program FilesWinCustomizeLogonStudiologonstudio.exe" /RANDOMO4 - HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exeO4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exeO4 - HKCU..Run: [NBJ] "C:Program FilesAheadNero BackItUpNBJ.exe"O4 - HKCU..Run: [shell] "C:Program FilesCommon FilesMicrosoft SharedWeb Foldersibm00001.exe"O4 - HKCU..Run: [CursorXP] C:Program FilesCursorXPCursorXP.exeO4 - Startup: Stardock ObjectDock.lnk = C:WINDOWSBricoPacksVista InspiratObjectDockObjectDock.exeO4 - Startup: Y'z ToolBar.lnk = C:WINDOWSBricoPacksVista InspiratYzToolbarYzToolBar.exeO4 - Startup: Rainlendar.lnk = C:Program FilesRainlendarRainlendar.exeO4 - Global Startup: PC Alert 4.lnk = C:Program FilesMSIPC Alert 4PCAlert4.exeO4 - Global Startup: Adobe Gamma Loader.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exeO8 - Extra context menu item: &Download with &DAP - D:Program FilesDAPdapextie.htmO8 - Extra context menu item: Download &all with DAP - D:Program FilesDAPdapextie2.htmO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:PROGRA~1FRONTP~1OFFICE11EXCEL.EXE/3000O8 - Extra context menu item: Pobierz z &BitSpirit - D:Program FilesBitSpiritbsurl.htmO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dllO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:PROGRA~1FRONTP~1OFFICE11REFIEBAR.DLLO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO12 - Plugin for .pdf: C:Program FilesInternet ExplorerPLUGINSnppdf32.dllO17 - HKLMSystemCCSServicesTcpip..{88F9AA6D-7C81-460B-98D1-3FDE012896BE}: NameServer = 10.0.0.138O17 - HKLMSystemCS1ServicesTcpip..{88F9AA6D-7C81-460B-98D1-3FDE012896BE}: NameServer = 10.0.0.138O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dllO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:Program FilesAlwil SoftwareAvast4aswUpdSv.exeO23 - Service: avast! Antivirus - Unknown owner - D:Program FilesAlwil SoftwareAvast4ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - D:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - D:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe Link do komentarza Udostępnij na innych stronach More sharing options...
wies.niak Napisano Kwiecień 8, 2006 Zgłoś Share Napisano Kwiecień 8, 2006 podobnie jak poprzednicy, odłączony net, wyłączone przywracanie systemu, najlepiej w awaryjnym. jeśli jakiś plik nie chce się usunąć, użyj killbox'a (jeśli więcej plików - zaznaczasz delete on reboot, wrzucasz plik, dostajesz info że plik zostanie skasowany po restarcie, zgadzasz się, wyskoczy pytanie czy zrestartować, nie zgadzasz się. teraz wrzucasz kolejny plik i znów ta sama procedura. kiedy już wrzucisz wszystkie pliki, wtedy kasujesz killbox'em. on zrestartuje komputer i wywali syf)do wywalenia:R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://VeryCD.265.com <- wywal jeśli sam tego nie ustawiałeś, strona podejrzanaO2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:Program FilesNewDotNetnewdotnet7_22.dllO4 - HKLM..Run: [WhenUSave] "C:Program FilesSaveSave.exe"O4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,ClientStartup -sO4 - HKCU..Run: [shell] "C:Program FilesCommon FilesMicrosoft SharedWeb Foldersibm00001.exe"O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net Link do komentarza Udostępnij na innych stronach More sharing options...
Vergil Napisano Maj 11, 2006 Autor Zgłoś Share Napisano Maj 11, 2006 Chyba znowu mam syfy.Tak dla bezpieczeństwa wrzucam loga proszę o pomocLogfile of HijackThis v1.99.1Scan saved at 20:15:32, on 2006-05-11Platform: Windows XP (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSExplorer.EXEC:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeC:Program FilesAnalog DevicesSoundMAXSmax4.exeC:Program FilesJavajre1.5.0_06binjusched.exeC:WINDOWSSystem32RUNDLL32.EXEC:Program FilesCyberLinkPowerDVDPDVDServ.exeC:WINDOWSsvchost.exeC:WINDOWSSystem32nvsvc32.exeC:WINDOWSsvchost.exeC:Program FilesAnalog DevicesSoundMAXSMAgent.exeC:Program FilesAlcohol SoftAlcohol 120StarWindStarWindService.exeC:WINDOWSSystem32wuauclt.exeD:RóżneHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocxO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocxO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exeO4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /trayO4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exeO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInitO4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"O4 - HKLM..Run: [DAEMON Tools] "C:Program FilesDAEMON Toolsdaemon.exe" -lang 1033O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXEO12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dllO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143371666578O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exeO23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:Program FilesAlcohol SoftAlcohol 120StarWindStarWindService.exe Link do komentarza Udostępnij na innych stronach More sharing options...
wies.niak Napisano Maj 11, 2006 Zgłoś Share Napisano Maj 11, 2006 ano masz. dokładnie to samo co wtedy, czyli postępowanie takie samo. plik C:WINDOWSsvchost.exe do wywalenia. Link do komentarza Udostępnij na innych stronach More sharing options...
mj Napisano Maj 11, 2006 Zgłoś Share Napisano Maj 11, 2006 Oprocz niezaktualizowanego Internet Explorera (o ile go uzywasz), niepokojacy jest tez svhost.exe, bo nie pochodzi z system32.Obydwa, pochodzace z C:/windows/ sa prawdopodobnie wirusami.Radze killboxa + skan antywirem przy wylaczonym necie. Link do komentarza Udostępnij na innych stronach More sharing options...
Turok Napisano Czerwiec 8, 2006 Zgłoś Share Napisano Czerwiec 8, 2006 Czy mogli byście sprawdzic mojego loga??? niejestem pewien czy jest ok pozatym ma problem z odblokowaniem menedżera zadańoto log:Logfile of HijackThis v1.99.1Scan saved at 21:18:08, on 2006-06-08Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:Program FilesAheadInCDInCDsrv.exeC:WINDOWSsystem32spoolsv.exeC:Program FilesMKSBinNetMonSV.exeC:Program FilesMKSBinmksmonsv.exeC:WINDOWSsystem32nvsvc32.exeC:WINDOWSsystem32svchost.exeC:WINDOWSExplorer.EXEC:WINDOWSsystem32RunDll32.exeC:WINDOWSsystem32RUNDLL32.EXEC:Program FilesMKSBinmks_menu.exeC:Program FilesMKSBinABregmon.exeC:WINDOWSsystem32rundll32.exeC:Program FilesLogitechVideoLogiTray.exeC:Program FilesHPHP Software UpdateHPWuSchd2.exeC:Program FilesHPhpcoretechhpcmpmgr.exeC:Program FilesCyberLinkPowerDVDPDVDServ.exeC:Program FilesAheadInCDInCD.exeC:Program FilesD-Toolsdaemon.exeC:Program FilesJavajre1.5.0_06binjusched.exeC:WINDOWSsystem32rundll32.exeC:Program Filesoutlookoutlook.exeC:WINDOWSsystem32ctfmon.exeC:WINDOWSsystem32LVComS.exeC:Program FilesHPDigital Imagingbinhpqtra08.exeC:Documents and SettingsAll UsersMenu StartProgramyAutostartmsconfig.exeC:Documents and SettingsAll UsersMenu StartProgramyAutostarttaskmgr.exeC:WINDOWSsystem32wuauclt.exeC:Program FilesHPDigital Imagingbinhpqgalry.exeC:Program FilesMKSBinmks_scan.exeC:Program FilesSnowball WarsLicense.exeC:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exeC:Program FilesMozilla Firefoxfirefox.exeC:Documents and SettingsPiotrMoje dokumentyprogramyHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaO2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:Program FilesNewDotNetnewdotnet7_22.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dllO3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:Program FilesToolBar888MyToolBar.dllO4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWndO4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartupO4 - HKLM..Run: [nwiz] nwiz.exe /installO4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInitO4 - HKLM..Run: [MKS_MENU] C:Program FilesMKSBinmks_menu.exeO4 - HKLM..Run: [ABREGMON] C:Program FilesMKSBinABregmon.exeO4 - HKLM..Run: [LogitechVideoRepair] C:Program FilesLogitechVideoISStart.exeO4 - HKLM..Run: [LogitechVideoTray] C:Program FilesLogitechVideoLogiTray.exeO4 - HKLM..Run: [HP Software Update] "C:Program FilesHPHP Software UpdateHPWuSchd2.exe"O4 - HKLM..Run: [HP Component Manager] "C:Program FilesHPhpcoretechhpcmpmgr.exe"O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exeO4 - HKLM..Run: [inCD] C:Program FilesAheadInCDInCD.exeO4 - HKLM..Run: [DAEMON Tools-1033] "C:Program FilesD-Toolsdaemon.exe" -lang 1033O4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exeO4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,ClientStartup -sO4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exeO4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exeO4 - HKLM..Run: [bearShare] "C:Program FilesBearShareBearShare.exe" /pauseO4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -kO4 - HKLM..Run: [outlook] C:Program Filesoutlookoutlook.exe /autoO4 - HKLM..Run: [winlog] winlog.exeO4 - HKLM..RunServices: [winlog] winlog.exeO4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exeO4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /trayO4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /backgroundO4 - HKCU..Run: [skype] "C:Program FilesSkypePhoneSkype.exe" /nosplash /minimizedO4 - Global Startup: HP Digital Imaging Monitor.lnk = C:Program FilesHPDigital Imagingbinhpqtra08.exeO4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:Program FilesHPDigital Imagingbinhpqthb08.exeO4 - Global Startup: msconfig.exeO4 - Global Startup: taskmgr.exeO8 - Extra context menu item: &MyToolBar Search - res://C:Program FilesToolBar888MyToolBar.dll/MENUSEARCH.HTMO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dllO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exeO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO10 - Hijacked Internet access by New.NetO23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - C:Program FilesMKSBinNetMonSV.exeO23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exeO23 - Service: InCD Helper (InCDsrv) - Nero AG - C:Program FilesAheadInCDInCDsrv.exeO23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:Program FilesMKSbinMkSUpdateInt.exeO23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:Program FilesMKSBinmksmonsv.exeO23 - Service: MkS_Scan - Unknown owner - C:Program FilesMKSBinmks_scan.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exeO23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe Link do komentarza Udostępnij na innych stronach More sharing options...
José de Calasanza Napisano Czerwiec 8, 2006 Zgłoś Share Napisano Czerwiec 8, 2006 Użyj: WWDC przestaw znaczki z Disable na Enable.R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:Program FilesNewDotNetnewdotnet7_22.dllO3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:Program FilesToolBar888MyToolBar.dllO4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,ClientStartup -sO4 - Global Startup: msconfig.exe O4 - Global Startup: taskmgr.exe O8 - Extra context menu item: &MyToolBar Search - res://C:Program FilesToolBar888MyToolBar.dll/MENUSEARCH.HTMO10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net1. Ściągnij LSPFix2. Nastepnie uruchom, zaptasz "I'm know what I'm doing" -> zaznacz newdotnet7_22.dll (innych plików nie ruszać bo net padnie!) i naciśnij na ">>" a potem Naciśnij na przycisk "Finish". 3. Zafiksuj wymienione wyżej wpisy w Hijacku (O10 już nie będzie). Wejdź do Trybu awaryjnego F8 przed botem systemu i odinstaluj w Start -> Panel sterowania -> Dodaj/Usuń -> NewDotNet i ToolBar888 . Usuń resztki po NewDotNet i ToolBar888 Start -> Uruchom-> cmd wklepać komendy:RD /S /Q "C:Program FilesNewDotNet"RD /S /Q "C:Program FilesToolBar888"RD /S /Q "C:Documents and settingsNazwa twojego kontaUstawienia lokalneTemp"O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -kStart >>> Ustawienia >>> Panel sterowania >>> System >>> Zaawansowne >>> Uruchamianie i Odzyskiwanie >>> Ustawienia >>> Zapisywanie informacji o debugowaniu >>> Ustaw na BrakPrzeskanuj się EWIDO po update. Link do komentarza Udostępnij na innych stronach More sharing options...