Jump to content

Archived

This topic is now archived and is closed to further replies.

Vergil

Hijcak This i inne logi - wklejamy tutaj

Recommended Posts

Mam duzy problem gdy próbuje odpalic nietóre programy to nic się nie pojawia ale w aktywnych procesach to jest naszczescie w bardzo niewielu przypadkach tak sie dzieje również gdy prubuje coś usunąć również nie moge tez w paru przypadkach zrobiłem loga z hijcak this proszę o pomoc co mam skasowac?

Logfile of HijackThis v1.99.1

Scan saved at 08:23:24, on 2006-03-26

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSExplorer.EXE

C:WINDOWSsystem32ntvdm.exe

C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

C:Program FilesAnalog DevicesSoundMAXSmax4.exe

C:Program FilesJavajre1.5.0_05binjusched.exe

C:WINDOWSsvchost.exe

C:WINDOWSSystem32nvsvc32.exe

C:WINDOWSsvchost.exe

C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

C:WINDOWSSystem32wuauclt.exe

C:Program FilesInternet ExplorerIEXPLORE.EXE

D:RóżneHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza

F3 - REG:win.ini: load=C:YDPDictwatch.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [nwiz] nwiz.exe /install

O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit

O4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

O4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /tray

O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe

O4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_05binjusched.exe

O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background

O4 - HKCU..Run: [NBJ] "C:Program FilesAheadNero BackItUpNBJ.exe"

O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dll

O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

proszę o szybką odpowiedz z góry thx:)

Link to comment
Share on other sites

wszystko rób w trybie awaryjnym, wyłącz też przywracanie systemu. gdyby były problemy z usunięciem czegoś, użyj killbox'a. po oczyszczeniu wrzuć log do weryfikacji. i uaktualnij sobie system...

do wywalenia:

C:WINDOWSsvchost.exe (tylko nie pomyl z takim samym plikiem w system32, który tam ma być)

F3 - REG:win.ini: load=C:YDPDictwatch.exe <- jeśli jesteś pewny tego pliku, wiesz co to jest, to zostaw, w przeciwnym razie wywal.

Link to comment
Share on other sites

Zrobiłem tak jak mówiłes oto log najnowszy log:

Logfile of HijackThis v1.99.1

Scan saved at 11:58:16, on 2006-03-31

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSExplorer.EXE

C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

C:Program FilesAnalog DevicesSoundMAXSmax4.exe

C:Program FilesJavajre1.5.0_05binjusched.exe

C:WINDOWSSystem32RUNDLL32.EXE

C:WINDOWSSystem32nvsvc32.exe

C:WINDOWSsvchost.exe

C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

D:RóżneHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [nwiz] nwiz.exe /install

O4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

O4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /tray

O4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_05binjusched.exe

O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit

O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dll

O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143371666578

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

Wszystko ok?

Link to comment
Share on other sites

ciągle masz to dziadostwo:

C:WINDOWSsvchost.exe

czy to oczyszczanie robiłeś przy odłączonym necie? (powinieneś)

wywal to killbox'em.

jak wywalisz, zrób log i sprawdź czy jest odniesienie do tego pliku. jak nie ma to ok, jak jest, to mamy problemik...

odpal wtedy ten skrypt (http://www.silentrunners.org/ - jest bezpieczny) i wrzuć jego log.

choć myślę, że akcja killbox'em powinna starczyć (tylko pamiętaj, net odłączony).

Link to comment
Share on other sites

Najnowszy log:

Logfile of HijackThis v1.99.1

Scan saved at 18:48:09, on 2006-04-07

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSSystem32nvsvc32.exe

C:WINDOWSsvchost.exe

C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

C:WINDOWSExplorer.EXE

C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

C:Program FilesAnalog DevicesSoundMAXSmax4.exe

C:Program FilesJavajre1.5.0_05binjusched.exe

C:WINDOWSSystem32RUNDLL32.EXE

C:Program FilesGadu-Gadugg.exe

C:Program FilesOperaOpera.exe

D:RóżneHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [nwiz] nwiz.exe /install

O4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

O4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /tray

O4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_05binjusched.exe

O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit

O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2Office10EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_05binnpjpi150_05.dll

O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143371666578

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

Mam jeszcze pytanie czy da sie zrobic tak zeby przeglądac internet najpierw trzeba wpisac hasło?jest moze jakis program od tego?pomocy

Link to comment
Share on other sites

ciągle masz ten

C:WINDOWSsvchost.exe

opisz co zrobiłeś, jak próbowałeś go wywalić? wrzuć lego z tego skryptu silentrunners (link w poście poprzednim).

pobierz sobie trial programu ewido (http://www.ewido.net/) - przeskanuj i wyczyść nim komputer.

co do pytania o hasło - jakiś programik do kontroli rodzicielskiej powinien załatwić sprawę.

tiges -> nie rozumiem twojej wypowiedzi, chciałeś się odnieść do mojego określenia dziadostwo? jeśli tak, to polecam poczytać: plik svchost na który wskazuję to syf, a plik systemowy o którym mówisz, jest w windowssystem32 i tego pliku nie ruszam...

Link to comment
Share on other sites

no a dalem linka, w ktorym jasno widac, ze pod to sie podszywaja trojany

Note: svchost.exe is also a process which is registered as the Trojan.W32.Dasher. It takes advantage of the Windows LSASS vulnerability, which creates a buffer overflow and instigates your computer to shut down. To see more information about this vulnerability please look at the following Microsoft bulletin: http://www.microsoft.com/technet/security/...n/ms04-011.mspx

skilowac proces i zobaczyc czy cos sie zmieni ;)

Link to comment
Share on other sites

skilowac proces i zobaczyc czy cos sie zmieni ;)

nie przejdzie, bo proces jest newralgiczny dla systemu.

poza tym, gdyby tam był trojan "which creates a buffer overflow and instigates your computer to shut down" to system by się zwieszał lub wyłączał (tym bardziej, że system jest bez aktualizacji), a to się nie dzieje (lub Vergil o tym nie napisał).

jeśli będziemy próbować zabić tego svchost'a, którego próbuję skasować, nic nie zyskamy, bo proces się odnowi. dlatego chcę to zrobić w awaryjnym + czyszczenie rejestru. po to też ewido polecam i log z silentrunners.

mj -> google wie...

http://www.liutilities.com/products/wintas...ibrary/nvsvc32/.

takie lenistwo...

Link to comment
Share on other sites

z hijack this?

odpalasz program i klikasz "do a system scan and save a logfile". otwiera się notatnik z treścią loga. kopiujesz, wklejasz tu do analizy, albo sam próbujesz pod www.hijackthis.de (tylko ostrożnie).

---[edit]---

do ps z posta poniżej:

nie mnie o tym dyskutować, ale z tego co widzę, ostrzeżeniach dostałeś za piractwo - posty traktujące o tym "zjawisku".

Link to comment
Share on other sites

Tak jak mówiłes wies.niak

Najpierw odłączyłem neta potem odpaliłem killboxa podałem mu ścieżke co ma usunać czyli: CWIONDOWS|svhost.exe(czy cos w podobie) potem sie mnie ocos pytał i niby że go usuną i musiałem zapisać wszystko co aktualnie robiłęm bo program uruchomi ponownie komputer i prawie w ostatnich sekundach kliknąłm na jakims programie aby zapisał czy wyszedł nie pamiętam ale przy: trwa zapisywanie ustawien osobistych(podczas uruchamiania ponownie komputera) komputer sie zawiesił i musiałem go zresetowac i to wszystko potem zrobiłem loga hijcak this.

PS a masz moze link do takiego programu i jak bys mógł to opisał mi dokładniej jak on działa pls

Link to comment
Share on other sites

ewido pobierzesz stąd: http://www.ewido.net/en/, tam też opis jest itd...

wnioskuję, że killbox zasugerował usunięcie pliku przy restarcie i kiedy miał to usunąć, komp się zawiesił przez co nie usunął pliku.

skoro nie napisałeś, domyślam się, że nie robiłeś tego w trybie awaryjnym?

spróbuj jeszcze raz, tym razem w awaryjnym. spróbuj też włączyć menadżer urządzeń i zabić proces przed jego usunięciem.

cięzko tu poradzić coś więcej, po prostu czasem trzeba kilka razy aż do skutku.

i jeszcze raz, wrzuć też log z http://www.silentrunners.org/.

Link to comment
Share on other sites

Zrobiłem sobie loga i dałem do analizy www.hijackthis.de i wykryło mi kilka syfów ale nie jestem pewien czy mam to na pewno wyrzucać więc daję tu log:

Logfile of HijackThis v1.99.1

Scan saved at 15:06:46, on 2006-04-08

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSSYSTEM32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32spoolsv.exe

D:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

D:Program FilesAlwil SoftwareAvast4ashServ.exe

C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE

C:WINDOWSsystem32nvsvc32.exe

D:Program FilesAlwil SoftwareAvast4ashMaiSv.exe

D:Program FilesAlwil SoftwareAvast4ashWebSv.exe

C:WINDOWSExplorer.EXE

C:WINDOWSsystem32WgaTray.exe

C:WINDOWSSOUNDMAN.EXE

C:Program FilesJavajre1.5.0_06binjusched.exe

D:Program FilesCyberLinkPowerDVDPDVDServ.exe

C:WINDOWSsystem32rundll32.exe

D:PROGRA~1ALWILS~1Avast4ashDisp.exe

C:Program FilesWinampwinampa.exe

C:WINDOWSsystem32ctfmon.exe

C:Program FilesCursorXPCursorXP.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSBricoPacksVista InspiratObjectDockObjectDock.exe

C:WINDOWSBricoPacksVista InspiratYzToolbarYzToolBar.exe

D:Program FilesAzureusAzureus.exe

C:Program FilesMozilla Firefoxfirefox.exe

C:Documents and SettingsBartekPulpitHijackThis.exe

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://VeryCD.265.com

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:Program FilesNewDotNetnewdotnet7_22.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dll

O4 - HKLM..Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe

O4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exe

O4 - HKLM..Run: [RemoteControl] "D:Program FilesCyberLinkPowerDVDPDVDServ.exe"

O4 - HKLM..Run: [WhenUSave] "C:Program FilesSaveSave.exe"

O4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,ClientStartup -s

O4 - HKLM..Run: [3DNADesktop] "D:Program Files3DNAResources3dnasys.exe" -open

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [nwiz] nwiz.exe /install

O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit

O4 - HKLM..Run: [avast!] D:PROGRA~1ALWILS~1Avast4ashDisp.exe

O4 - HKLM..Run: [sysMetrix] C:Program FilesSysMetrixSysMetrix.exe

O4 - HKLM..Run: [LogonStudio] "C:Program FilesWinCustomizeLogonStudiologonstudio.exe" /RANDOM

O4 - HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exe

O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe

O4 - HKCU..Run: [NBJ] "C:Program FilesAheadNero BackItUpNBJ.exe"

O4 - HKCU..Run: [shell] "C:Program FilesCommon FilesMicrosoft SharedWeb Foldersibm00001.exe"

O4 - HKCU..Run: [CursorXP] C:Program FilesCursorXPCursorXP.exe

O4 - Startup: Stardock ObjectDock.lnk = C:WINDOWSBricoPacksVista InspiratObjectDockObjectDock.exe

O4 - Startup: Y'z ToolBar.lnk = C:WINDOWSBricoPacksVista InspiratYzToolbarYzToolBar.exe

O4 - Startup: Rainlendar.lnk = C:Program FilesRainlendarRainlendar.exe

O4 - Global Startup: PC Alert 4.lnk = C:Program FilesMSIPC Alert 4PCAlert4.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe

O8 - Extra context menu item: &Download with &DAP - D:Program FilesDAPdapextie.htm

O8 - Extra context menu item: Download &all with DAP - D:Program FilesDAPdapextie2.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:PROGRA~1FRONTP~1OFFICE11EXCEL.EXE/3000

O8 - Extra context menu item: Pobierz z &BitSpirit - D:Program FilesBitSpiritbsurl.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:PROGRA~1FRONTP~1OFFICE11REFIEBAR.DLL

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O12 - Plugin for .pdf: C:Program FilesInternet ExplorerPLUGINSnppdf32.dll

O17 - HKLMSystemCCSServicesTcpip..{88F9AA6D-7C81-460B-98D1-3FDE012896BE}: NameServer = 10.0.0.138

O17 - HKLMSystemCS1ServicesTcpip..{88F9AA6D-7C81-460B-98D1-3FDE012896BE}: NameServer = 10.0.0.138

O20 - Winlogon Notify: WgaLogon - C:WINDOWSSYSTEM32WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - D:Program FilesAlwil SoftwareAvast4ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - D:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - D:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe

Link to comment
Share on other sites

podobnie jak poprzednicy, odłączony net, wyłączone przywracanie systemu, najlepiej w awaryjnym. jeśli jakiś plik nie chce się usunąć, użyj killbox'a (jeśli więcej plików - zaznaczasz delete on reboot, wrzucasz plik, dostajesz info że plik zostanie skasowany po restarcie, zgadzasz się, wyskoczy pytanie czy zrestartować, nie zgadzasz się. teraz wrzucasz kolejny plik i znów ta sama procedura. kiedy już wrzucisz wszystkie pliki, wtedy kasujesz killbox'em. on zrestartuje komputer i wywali syf)

do wywalenia:

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://VeryCD.265.com <- wywal jeśli sam tego nie ustawiałeś, strona podejrzana

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:Program FilesNewDotNetnewdotnet7_22.dll

O4 - HKLM..Run: [WhenUSave] "C:Program FilesSaveSave.exe"

O4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,ClientStartup -s

O4 - HKCU..Run: [shell] "C:Program FilesCommon FilesMicrosoft SharedWeb Foldersibm00001.exe"

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

Link to comment
Share on other sites

Chyba znowu mam syfy.Tak dla bezpieczeństwa wrzucam loga proszę o pomoc

Logfile of HijackThis v1.99.1

Scan saved at 20:15:32, on 2006-05-11

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSExplorer.EXE

C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

C:Program FilesAnalog DevicesSoundMAXSmax4.exe

C:Program FilesJavajre1.5.0_06binjusched.exe

C:WINDOWSSystem32RUNDLL32.EXE

C:Program FilesCyberLinkPowerDVDPDVDServ.exe

C:WINDOWSsvchost.exe

C:WINDOWSSystem32nvsvc32.exe

C:WINDOWSsvchost.exe

C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

C:Program FilesAlcohol SoftAlcohol 120StarWindStarWindService.exe

C:WINDOWSSystem32wuauclt.exe

D:RóżneHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [nwiz] nwiz.exe /install

O4 - HKLM..Run: [soundMAXPnP] C:Program FilesAnalog DevicesSoundMAXSMax4PNP.exe

O4 - HKLM..Run: [soundMAX] "C:Program FilesAnalog DevicesSoundMAXSmax4.exe" /tray

O4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exe

O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSSystem32NvMcTray.dll,NvTaskbarInit

O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"

O4 - HKLM..Run: [DAEMON Tools] "C:Program FilesDAEMON Toolsdaemon.exe" -lang 1033

O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOffice10OSA.EXE

O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1143371666578

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSSystem32nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:Program FilesAnalog DevicesSoundMAXSMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:Program FilesAlcohol SoftAlcohol 120StarWindStarWindService.exe

Link to comment
Share on other sites

Oprocz niezaktualizowanego Internet Explorera (o ile go uzywasz), niepokojacy jest tez svhost.exe, bo nie pochodzi z system32.

Obydwa, pochodzace z C:/windows/ sa prawdopodobnie wirusami.

Radze killboxa + skan antywirem przy wylaczonym necie.

Link to comment
Share on other sites

Czy mogli byście sprawdzic mojego loga??? niejestem pewien czy jest ok pozatym ma problem z odblokowaniem menedżera zadań

oto log:

Logfile of HijackThis v1.99.1

Scan saved at 21:18:08, on 2006-06-08

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:Program FilesAheadInCDInCDsrv.exe

C:WINDOWSsystem32spoolsv.exe

C:Program FilesMKSBinNetMonSV.exe

C:Program FilesMKSBinmksmonsv.exe

C:WINDOWSsystem32nvsvc32.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSExplorer.EXE

C:WINDOWSsystem32RunDll32.exe

C:WINDOWSsystem32RUNDLL32.EXE

C:Program FilesMKSBinmks_menu.exe

C:Program FilesMKSBinABregmon.exe

C:WINDOWSsystem32rundll32.exe

C:Program FilesLogitechVideoLogiTray.exe

C:Program FilesHPHP Software UpdateHPWuSchd2.exe

C:Program FilesHPhpcoretechhpcmpmgr.exe

C:Program FilesCyberLinkPowerDVDPDVDServ.exe

C:Program FilesAheadInCDInCD.exe

C:Program FilesD-Toolsdaemon.exe

C:Program FilesJavajre1.5.0_06binjusched.exe

C:WINDOWSsystem32rundll32.exe

C:Program Filesoutlookoutlook.exe

C:WINDOWSsystem32ctfmon.exe

C:WINDOWSsystem32LVComS.exe

C:Program FilesHPDigital Imagingbinhpqtra08.exe

C:Documents and SettingsAll UsersMenu StartProgramyAutostartmsconfig.exe

C:Documents and SettingsAll UsersMenu StartProgramyAutostarttaskmgr.exe

C:WINDOWSsystem32wuauclt.exe

C:Program FilesHPDigital Imagingbinhpqgalry.exe

C:Program FilesMKSBinmks_scan.exe

C:Program FilesSnowball WarsLicense.exe

C:WINDOWSMicrosoft.NETFrameworkv2.0.50727mscorsvw.exe

C:Program FilesMozilla Firefoxfirefox.exe

C:Documents and SettingsPiotrMoje dokumentyprogramyHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page =

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:Program FilesNewDotNetnewdotnet7_22.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.5.0_06binssv.dll

O3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:Program FilesToolBar888MyToolBar.dll

O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup

O4 - HKLM..Run: [nwiz] nwiz.exe /install

O4 - HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit

O4 - HKLM..Run: [MKS_MENU] C:Program FilesMKSBinmks_menu.exe

O4 - HKLM..Run: [ABREGMON] C:Program FilesMKSBinABregmon.exe

O4 - HKLM..Run: [LogitechVideoRepair] C:Program FilesLogitechVideoISStart.exe

O4 - HKLM..Run: [LogitechVideoTray] C:Program FilesLogitechVideoLogiTray.exe

O4 - HKLM..Run: [HP Software Update] "C:Program FilesHPHP Software UpdateHPWuSchd2.exe"

O4 - HKLM..Run: [HP Component Manager] "C:Program FilesHPhpcoretechhpcmpmgr.exe"

O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"

O4 - HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe

O4 - HKLM..Run: [inCD] C:Program FilesAheadInCDInCD.exe

O4 - HKLM..Run: [DAEMON Tools-1033] "C:Program FilesD-Toolsdaemon.exe" -lang 1033

O4 - HKLM..Run: [sunJavaUpdateSched] C:Program FilesJavajre1.5.0_06binjusched.exe

O4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,ClientStartup -s

O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe

O4 - HKLM..Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM..Run: [bearShare] "C:Program FilesBearShareBearShare.exe" /pause

O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k

O4 - HKLM..Run: [outlook] C:Program Filesoutlookoutlook.exe /auto

O4 - HKLM..Run: [winlog] winlog.exe

O4 - HKLM..RunServices: [winlog] winlog.exe

O4 - HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe

O4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /tray

O4 - HKCU..Run: [MSMSGS] "C:Program FilesMessengermsmsgs.exe" /background

O4 - HKCU..Run: [skype] "C:Program FilesSkypePhoneSkype.exe" /nosplash /minimized

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:Program FilesHPDigital Imagingbinhpqtra08.exe

O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = C:Program FilesHPDigital Imagingbinhpqthb08.exe

O4 - Global Startup: msconfig.exe

O4 - Global Startup: taskmgr.exe

O8 - Extra context menu item: &MyToolBar Search - res://C:Program FilesToolBar888MyToolBar.dll/MENUSEARCH.HTM

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.5.0_06binssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - C:Program FilesMKSBinNetMonSV.exe

O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:Program FilesAheadInCDInCDsrv.exe

O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - C:Program FilesMKSbinMkSUpdateInt.exe

O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - C:Program FilesMKSBinmksmonsv.exe

O23 - Service: MkS_Scan - Unknown owner - C:Program FilesMKSBinmks_scan.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:WINDOWSsystem32nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:WINDOWSsystem32HPZipm12.exe

Link to comment
Share on other sites

Użyj: WWDC przestaw znaczki z Disable na Enable.

R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant =

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:Program FilesNewDotNetnewdotnet7_22.dll

O3 - Toolbar: ToolBar888 - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:Program FilesToolBar888MyToolBar.dll

O4 - HKLM..Run: [New.net Startup] rundll32 C:PROGRA~1NEWDOT~1NEWDOT~2.DLL,ClientStartup -s

O4 - Global Startup: msconfig.exe

O4 - Global Startup: taskmgr.exe

O8 - Extra context menu item: &MyToolBar Search - res://C:Program FilesToolBar888MyToolBar.dll/MENUSEARCH.HTM

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

1. Ściągnij LSPFix

2. Nastepnie uruchom, zaptasz "I'm know what I'm doing" -> zaznacz newdotnet7_22.dll (innych plików nie ruszać bo net padnie!) i naciśnij na ">>" a potem Naciśnij na przycisk "Finish".

3. Zafiksuj wymienione wyżej wpisy w Hijacku (O10 już nie będzie).

Wejdź do Trybu awaryjnego F8 przed botem systemu i odinstaluj w Start -> Panel sterowania -> Dodaj/Usuń -> NewDotNet i ToolBar888 . Usuń resztki po NewDotNet i ToolBar888

Start -> Uruchom-> cmd wklepać komendy:

RD /S /Q "C:Program FilesNewDotNet"

RD /S /Q "C:Program FilesToolBar888"

RD /S /Q "C:Documents and settingsNazwa twojego kontaUstawienia lokalneTemp"

O4 - HKLM..Run: [KernelFaultCheck] %systemroot%system32dumprep 0 -k

Start >>> Ustawienia >>> Panel sterowania >>> System >>> Zaawansowne >>> Uruchamianie i Odzyskiwanie >>> Ustawienia >>> Zapisywanie informacji o debugowaniu >>> Ustaw na Brak

Przeskanuj się EWIDO po update.

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.


  • Recently Browsing   0 members

    • No registered users viewing this page.

×
×
  • Create New...